Data Protection
CRS takes the protection of your personal data very seriously.
We ensure that your personal information is treated confidentially and in accordance with data protection laws.
Our Data Protection Officer is responsible for monitoring compliance with the statutory requirements and can be contacted at: .
The entity responsible for data protection (“controller”) within the sense of the Federal Data Protection Act (Bundesdatenschutzgesetz) is CRS Clinical Research Services Management GmbH, Friedrich-König-Str. 3-5, 68167 Mannheim, Germany, under the management of Prof. Dr. Thomas Forst and Ekkehard Herrmann.
CRS nimmt den Schutz Ihrer persönlichen Daten sehr ernst.
Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften.
Für die Überwachung der Einhaltung der gesetzlichen Vorgaben ist unsere betriebliche Datenschutzbeauftragte verantwortlich, sie steht Ihnen auch für Rückfragen zur Verfügung:
Datenschutzrechtlich Verantwortlicher im Sinne des Bundesdatenschutzgesetzes ist CRS Clinical Research Services Management GmbH, Friedrich-König-Str. 3-5, 68167 Mannheim unter der Geschäftsführung von Prof. Dr. Thomas Forst und Ekkehard Herrmann.
The use of our website generally does not require users to provide personal data and there is no automated processing of data.
Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich und es erfolgt keine automatische Auswertung.
We only collect, process or use personal data insofar as it is necessary for the establishment, definition or modification of the legal relationship (inventory data). The legal basis for this is article 6(1) b) f) EU General Data Protection Regulation (GDPR) and section 40(1) Medicinal Products Act (AMG).
CRS customer data (company name, contact person, contact data, contact content) is collected and stored in an electronic file for customer data management. This data is collected directly from the customer and is used to prepare and execute contractual relationships for clinical trials and customer acquisition. In addition, we also collect and process personal data from our suppliers (name, contact data, company assessment) within the framework of our supplier qualification procedure.
The information in the electronic customer data management file can only be accessed by employees in the Business Development and Marketing department and by the Management. It is not disclosed to third parties.
Contractual information and supplier qualification data is essentially for internal use by employees from the Business Development, Project Management and Quality Assurance departments, as well as the persons responsible for clinical trials. It may also be viewed by commissioned third parties in the event of inspections by the authorities or sponsor audits.
Information in the electronic customer data management file and on supplier qualification will be stored for as long as the company exists. Clinical trial agreements are kept for a period of at least 25 years in accordance with EU Regulation No. 536/2014.
You generally have the right to request the correction or deletion of your personal data free of charge, and to restrict the processing of your personal data at CRS. Under certain conditions, you also have the right to file an objection against the further processing of your personal data. As of 28 May 2018, you may request to receive the personal data, which you have provided to CRS, in a structured, commonly used and machine-readable format (Right to data portability). In such cases, please get in touch with your contact person in the Business Development department at CRS or contact the CRS Data Protection Officer. In addition, you also have the right to lodge a complaint with the responsible supervisory authority.
Wir erheben, verarbeiten und nutzen personenbezogene Daten nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung des Rechtsverhältnisses erforderlich sind (Bestandsdaten). Rechtsgrundlage hierfür sind Artikel 6 Abs. 1 b) f) EU DS-GVO sowie § 40 Abs. 1 AMG.
Daten der Auftraggeber von CRS (Firmenname, Name der Kontaktperson, Kontaktdaten, Kontaktinhalte) werden in einer elektronischen Datei zur Kundendatenverwaltung erfasst und gespeichert. Diese Daten werden beim Auftraggeber direkt erhoben und dienen der Vorbereitung und Ausführung von Vertragsverhältnissen für klinische Prüfungen sowie der Akquisition von Neu-Kunden. Von unseren Auftragnehmern werden darüber hinaus personenbezogene Daten (Name, Kontaktdaten, Bewertung des Unternehmens) im Rahmen des Verfahrens zur Lieferantenqualifizierung erhoben und verarbeitet.
Daten aus der elektronischen Datei zur Kundenverwaltung sind nur für Mitarbeiter des Bereichs Business Development und Marketing sowie für die Geschäftsführung zugänglich. Sie werden nicht an Dritte weiter gegeben.
Daten aus Verträgen sowie Daten zur Lieferantenqualifizierung sind grundsätzlich für den internen Gebrauch für Mitarbeiter aus den Bereichen Business Development, Projektmanagement, den für eine klinische Prüfung verantwortlichen Prüfer, sowie für Mitarbeiter der Qualitätssicherung. Sie können im Falle von Behördeninspektionen oder Überprüfungen durch die Auftraggeber (Sponsor-Audits) von beauftragten Dritten eingesehen werden.
Daten aus der elektronischen Datei zur Kundenverwaltung sowie der Lieferantenqualifizierung werden so lange gespeichert wie das Unternehmen existiert. Verträge für klinische Prüfungen werden entsprechend der EU-Verordnung 536/2014 für mindestens 25 Jahre aufbewahrt.
Sie haben grundsätzlich das Recht unentgeltlich eine Berichtigung, Löschung oder Einschränkung der Bearbeitung Ihrer personenbezogenen Daten bei CRS einzufordern. Auch können Sie unter bestimmten Voraussetzungen Widerspruch gegen die weitere Datenverarbeitung einlegen. Ab 28. Mai 2018 können Sie beantragen, die Daten, die Sie CRS bereit gestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit). Bitte wenden Sie sich in diesem Fall entweder an Ihren Kontaktpartner des Bereichs Business Development bei CRS oder an den betrieblichen Datenschutzbeauftragten der CRS. Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde.
Dear applicant,
CRS takes the protection of your personal data very seriously.
We ensure that your personal information is treated confidentially and in accordance with data protection laws. Our Data Protection Officer is responsible for monitoring compliance with the statutory requirements and can be contacted at:
The entity responsible for data protection (“controller”) is the Management of the CRS location you have applied for.
The documents you have provided to us during the application process are stored and administrated with our Human Resources (HR) department. This may include personal data from you (e.g. name, address, date of application, position) as well as internal notes (transfer to, return of documents, comments) which are maintained in internal lists of HR. This information may be disclosed to involved line managers, members of the works council and Management, if applicable. It is not disclosed to third parties.
The data is stored as long as it is necessary for the application process and for the conclusion of a contract of employment, respectively. If an employment is not possible, your documents will be returned to you. Electronic data are erased after 6 months. However, your data in internal application lists may be kept for a maximum of 1 year to be able to contact you upon demand (e.g. if a new position becomes vacant which might be of interest for you). If you wish to object to this, please notify your objection to HR.
If you enter into an employment relationship with CRS, we must collect and process data from you in order to fulfill this employment relationship (for example, for contract drafting, the personnel file, payroll accounting). At this point, we would first like to provide you with general information on how your personal data is handled within the CRS.
The management of the location where you are under contract is basically responsible for the correct handling of your personal data. In the case of processing activities that pose a high risk to your rights and freedoms (e.g. processing of health data in company reintegration management), a detailed description of how your data is handled is given in a process description. You can view these process descriptions in the electronic SOP system „BM-Flow“ (document type: method description, search for the corresponding procedure in the full text search). In addition, you will find detailed information on our processing activities with employee data on our intranet under the heading „Data Protection“ > „Record of Processing Activities“ (Verfahrensverzeichnis). Here you can see for each processing activity the purpose for which the data is processed, the legal basis on which the processing activity is carried out, who the recipient of the data can be, what storage rules there are and much more. If you set the filter to „Employees“ in column L („Category of data subjects“), you will be shown all processing activities in which employee data are processed.
Please note that, in principle, all processing activities in connection with computerized systems could theoretically be viewed by our IT administrators. This also includes the e-mail accounts with all contents. For this reason, e-mails with confidential and/or personal contents must be sent with the Lotus Notes option „encrypt“. It should be noted here that the contents of such encrypted e-mails cannot under any circumstances be made readable for deputies in case of absence.
You generally have the right to request the correction or deletion of your personal data free of charge, and to restrict the processing of your personal data at CRS. Under certain conditions, you also have the right to file an objection against the further processing of your personal data. In such cases, please get in touch with your contact person in the HR department at CRS you have applied to or contact the CRS Data Protection Officer.
In addition, you have the right to appeal to the competent supervisory authority. For CRS Management and its subsidiaries, this is the state commissioner for data protection and freedom of information in Baden-Wuerttemberg (e-mail: or contact form on the website). In addition, you can contact any other data protection supervisory authority.
Sehr geehrte Bewerberin, sehr geehrter Bewerber,
CRS nimmt den Schutz Ihrer persönlichen Daten sehr ernst.
Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (Rechtsgrundlage ist hierbei § 26 Abs. 1 Bundesdatenschutzgesetz) Für die Überwachung der Einhaltung der gesetzlichen Vorgaben ist unsere betriebliche Datenschutzbeauftragte verantwortlich, sie steht Ihnen auch für Rückfragen zur Verfügung:
Grundsätzlich verantwortlich für den korrekten Umgang mit Ihren personenbezogenen Daten ist die Geschäftsführung des Standorts an dem Sie sich beworben haben.
Die Unterlagen, die Sie uns im Rahmen des Bewerbungsverfahrens zur Verfügung gestellt haben, werden bei der verantwortlichen Personalabteilung aufbewahrt und verwaltet. Hierbei können auch persönliche Angaben von Ihnen (z.B. Name, Adresse, Datum der Bewerbung, Position) sowie interne Vermerke (Weiterleitung an, Rücksendung Unterlagen, Kommentare) in internen Listen bei der Personalabteilung geführt werden. Eine Weiterleitung erfolgt soweit erforderlich an betroffene Fachvorgesetze, den Betriebsrat und ggf. die Geschäftsführung. An Dritte werden Ihre Daten nicht weiter geleitet. Die Daten werden so lange aufbewahrt, wie es für die Durchführung des Bewerbungsverfahrens bzw. für die Begründung des Beschäftigungsverhältnisses erforderlich ist. Falls Sie für eine Beschäftigung nicht in Frage kommen, erhalten Sie die uns übersendeten Unterlagen zurück, elektronische Daten werden in der Regel nach 6 Monaten gelöscht. Ihre Daten in internen Bewerberlisten können dagegen für maximal 1 Jahr aufbewahrt werden, um Sie bei Bedarf nochmals kontaktieren zu können (z.B. wenn eine für Sie interessante Position an einem anderen CRS-Standort zu besetzen ist). Wenn Sie dies nicht wünschen, teilen Sie Ihren Widerspruch gegen die weitere Datenverarbeitung bitte der Personalabteilung mit.
Wenn Sie ein Beschäftigungsverhältnis mit CRS eingehen, müssen wir zur Erfüllung dieses Beschäftigungsverhältnisses Daten von Ihnen erheben und verarbeiten (z.B. für die Vertragsgestaltung, die Personalakte, Gehaltsabrechnung). Wir möchten Sie an dieser Stelle zunächst allgemein darüber informieren, wie mit Ihren personenbezogenen Daten innerhalb der CRS umgegangen wird.
Grundsätzlich verantwortlich für den korrekten Umgang mit Ihren personenbezogenen Daten ist die Geschäftsführung des Standorts an dem Sie unter Vertrag stehen. Bei Verarbeitungstätigkeiten, die ein hohes Risiko für Ihre Rechte und Freiheiten haben (z.B. Verarbeitung von Gesundheitsdaten beim betrieblichen Wiedereingliederungsmanagement), wird im Rahmen einer Verfahrensbeschreibung im Detail beschrieben, wie mit Ihren Daten umgegangen wird. Sie können diese Verfahrensbeschreibungen im elektronischen SOP-System „BM-Flow“ einsehen (Dokumententyp: Methodenbeschreibung, in der Volltextsuche nach dem entsprechenden Verfahren suchen).
Darüber hinaus finden Sie detaillierte Informationen zu den Verarbeitungstätigkeiten mit Beschäftigtendaten bei uns im Intranet unter der Rubrik „Datenschutz“ > „Verfahrensverzeichnis“. Hier können Sie für jede Verarbeitungstätigkeit sehen für welchen Zweck die Daten verarbeitet werden, aufgrund welcher Rechtsgrundlage die Verarbeitungstätigkeit erfolgt, wer Empfänger der Daten sein kann, welche Aufbewahrungsvorschriften es gibt und vieles mehr. Wenn Sie im Verfahrensverzeichnis in Spalte L („Kategorie der Betroffenen“) den Filter auf „Beschäftigte“ setzen, werden Ihnen alle Verfahren angezeigt, bei denen Beschäftigtendaten verarbeitet werden.
Bitte beachten Sie, dass grundsätzlich alle Verarbeitungstätigkeiten in Zusammenhang mit computerisierten Systemen von unseren IT-Administratoren theoretisch eingesehen werden könnten. Dazu gehören auch die Email-Accounts mit allen Inhalten. Aus diesem Grund sind E-Mails mit vertraulichen und / oder personenbezogenen Inhalten mit der Lotus-Notes Option „verschlüsseln“ zu versenden. Hierbei ist zu beachten, dass Inhalte so verschlüsselter E-mails unter keinen Umständen im Fall einer Abwesenheit für Stellvertreter lesbar gemacht werden können.
Sie haben grundsätzlich das Recht eine Berichtigung, Löschung oder Einschränkung der Bearbeitung (Sperrung) Ihrer personenbezogenen Daten einzufordern. Auch können Sie in bestimmten Fällen Widerspruch gegen die weitere Datenverarbeitung einlegen. Darüber hinaus haben Sie für elektronische Daten, die Sie CRS selbst zur Verfügung gestellt haben, ein Recht auf Übertragung dieser Daten an Sie selbst oder an einen Dritten in einem gebräuchlichen Format. Bitte wenden Sie sich in diesem Fall entweder an den Personalsachbearbeiter, bei dem Sie sich beworben haben oder an den betrieblichen Datenschutzbeauftragten der CRS.
Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Dies ist für CRS Management und ihre Tochtergesellschaften der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (Email: oder Kontaktformular auf der Webseite). Darüber hinaus können Sie sich an jede andere Datenschutzaufsichtsbehörde wenden.
In addition to our standard privacy information, we would like to inform you below about the processing of personal data in connection with the use of Microsoft 365 applications such as “Microsoft Teams” and “Mircosoft SharePoint”.
Purpose of Processing
We use Microsoft 365 applications solely for the purpose of business collaboration in the context of projects, orders and fulfilment of contractual obligations. Microsoft 365 applications may only be used for business purposes.
Note: This privacy notice only provides information about CRS’s processing of your personal data when you share Microsoft 365 applications with CRS.
Microsoft 365 applications are a service of Microsoft Corporation. If you require in-formation about the processing by Microsoft, please see the relevant statement.
Controller
The responsible party within the meaning of the applicable data protection law is CRS Clinical Research Services Management GmbH.
The contractual partner of CRS is Microsoft Cooperation, which operates Microsoft Office 365 as a processor within the meaning of Article 28 GDPR for CRS.
Note: If you access the „Microsoft Teams“ website, the provider of „Microsoft Teams“ is responsible for data processing. However, accessing the website is only necessary for the use of „Microsoft Teams“ in order to download the software for the use of „Microsoft Teams“.
If you do not want to or cannot use the „Microsoft Teams“ app, you can also use „Mi-crosoft Teams“ via your browser. The service will then also be provided via the „Mi-crosoft Teams“ website.
What Data are processed?
When using Microsoft 365 applications, the following personal data is already pro-cessed automatically:
• Your IP Adress
• Identifiers: Information about you that identifies you as a user, sender, recipi-ent of data within the Microsoft 365 applications.
In particular, this also includes the following data: Name, first name, business contact data such as telephone number, e-mail address, business fax num-ber, if provided by you. Further data (such as a profile picture you have pro-vided) can also be viewed at any time in your profile, in particular in Outlook, and can be individually adapted.
• Your access data to the Microsoft 365 applications, data within the scope of so-called two-factor authentication
• In the Microsoft 365 applications, all user activities, such as time, date and type of access, information on the files/documents accessed and all activities in connection with the use of the applications, such as creating, changing and deleting a document, setting up a team (and channels in teams), starting a chat, replies in the chat are processed.
When using „Microsoft Teams“, different categories of data are processed. The scope of the data also depends on the data you provide before or during participation in an „online meeting“.
The following personal data are subject to processing:
• User details: e.g. display name, e-mail address (if applicable), profile picture (optional), preferred language.
• Meeting metadata: e.g. date, time, meeting ID, phone numbers, location
• Text, audio and video data: You may have the opportunity to use the chat function in an „online meeting“. In this respect, the text entries you make are processed in order to display them in the „online meeting“. In order to enable the display of video and the playback of audio, the data from the microphone of your terminal device and from any video camera of the terminal device are processed accordingly during the meeting. You can switch off or mute the camera or microphone yourself at any time via the „Microsoft Teams“ applica-tions.
Scope of the processing
We use „Microsoft Teams“ to conduct „online meetings“. If we want to record „online meetings“, we will transparently inform you in advance and – if necessary – ask for consent.
Automated decision-making within the meaning of Art. 22 GDPR is not used.
Legal basis for data processing
Insofar as personal data of employees of CRS are processed, Section 26 of the German Federal Data Protection Act (BDSG) is the legal basis for data processing. If, in connection with the use of „Microsoft Teams“, personal data is not required for the establishment, implementation or termination of the employment relationship, but is nevertheless an elementary component of the use of „Microsoft Teams“, the legal basis for data processing is Art. 6 para. 1 lit. f) GDPR. In these cases, our interest lies in the effective implementation of „online meetings“.
In addition, the legal basis for data processing when conducting „online meetings“ is Art. 6 para. 1 lit. b) GDPR, insofar as the meetings are conducted within the frame-work of contractual relationships.
If there is no contractual relationship, the legal basis is Art. 6 para. 1 lit. f) GDPR. Here, too, our interest is in the effective conduct of „online meetings“.
Recipients / passing on of data
In addition to the cases explicitly mentioned in this data protection declaration, your personal data will only be passed on without your express prior consent if this is le-gally permissible or required.
Personal data processed in connection with participation in „online meetings“ will generally not be passed on to third parties unless it is intended to be passed on. Please note that the contents of online meetings, as well as personal meetings, are often used to communicate information with customers, interested parties or third par-ties and are therefore intended to be passed on.
Other recipients: The provider of „Microsoft Teams“ necessarily receives knowledge of the above-mentioned data, insofar as this is provided for within the framework of our order processing contract with „Microsoft Teams“.
Data processing outside the European Union
Data processing outside the European Union (EU) does not take place as a matter of principle, as we have restricted our storage location to data centres in the European Union. However, we cannot rule out the possibility that data may be routed via inter-net servers located outside the EU. This can be the case in particular if participants in „Online Meeting“ are in a third country.
However, the data is encrypted during transport via the internet and thus protected against unauthorised access by third parties.
Data Protection Officer
We have appointed a Data Protection Officer.
Our Data Protection Officer can be contacted at: CRS Clinical Research Services Management GmbH, – Datenschutzbeauftragter –, Friedrich-König-Str. 3-5, 68167 Mannheim, E-Mail:
Your rights as a data subject
You have the right to obtain information about the personal data concerning you. You can contact us for information at any time.
In the case of a request for information that is not made in writing, we ask for your understanding that we may require proof from you that you are the person you claim to be.
Furthermore, you have the right to rectification or deletion or to restriction of pro-cessing, insofar as you are entitled to this by law.
Finally, you have the right to object to processing within the scope of the law.
You also have the right to data portability within the framework of data protection law.
Deletion of data
We generally delete personal data when there is no need for further storage. A re-quirement may exist in particular if the data is still needed in order to fulfil contractual services, to be able to check and grant or ward off warranty and, if applicable, guar-antee claims. In the case of statutory retention obligations, deletion is only considered after the expiry of the respective retention obligation.
Right to complain to a supervisory authority
You have the right to complain about the processing of personal data by us to a data protection supervisory authority.
Changes to this data protection notice
We revise this data protection notice in the event of changes in data processing or other occasions that make this necessary. You will always find the current version on this website.
Stand: 29.03.2022
Ergänzend zu unseren Standard-Datenschutzinformationen möchten wir Sie nachfol-gend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Microsoft 365, wie „Microsoft Teams“ und „Microsoft SharePoint“ informieren.
Zweck der Verarbeitung
Wir nutzen Microsoft 365 Anwendungen ausschließlich zum Zweck der geschäftli-chen Kollaboration im Rahmen von Projekten, Aufträgen und der Erfüllung vertragli-cher Pflichten. Microsoft 365 Anwendungen dürfen ausschließlich dienstlich genutzt werden.
Hinweis: Dieser Datenschutzhinweis informiert nur über die Verarbeitung Ihrer personenbezogenen Daten durch CRS, wenn Sie gemeinsam mit CRS Micro-soft 365 Anwendungen nutzen.
Microsoft 365 Anwendungen sind ein Service der Microsoft Corporation. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, bitten wir Sie die ent-sprechende Erklärung einzusehen.
Verantwortlicher
Verantwortlicher im Sinne des jeweils gültigen Datenschutzrechts ist CRS Clinical Research Services Management GmbH.
Vertragspartner der CRS ist die Microsoft Cooperation, welche Microsoft Office 365 als Auftragsverarbeiter i.S.d. Artikel 28 DSGVO für die CRS betreibt.
Hinweis: Soweit Sie die Internetseite von „Microsoft Teams“ aufrufen, ist der Anbie-ter von „Microsoft Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Microsoft Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Microsoft Teams“ herunterzuladen.
Wenn Sie die „Microsoft Teams“-App nicht nutzen wollen oder können, können Sie „Microsoft Teams“ auch über Ihren Browser nutzten. Der Dienst wird dann insoweit auch über die Website von „Microsoft Teams“ erbracht.
Welche Daten werden verarbeitet?
Bei der Nutzung von Microsoft 365 Anwendungen werden bestimmte folgende perso-nenbezogene Daten bereits automatisch verarbeitet:
• Ihre IP-Adresse
• Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der Microsoft 365 Anwendungen kennzeichnet
Dazu gehören insbesondere auch folgende Daten: Name, Vorname, dienstli-che Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnum-mer, sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen hin-terlegtes Profilbild) sind ebenfalls in Ihrem Profil, insbesondere in Outlook je-derzeit einsehbar und können individuell angepasst werden.
• Ihre Zugangsdaten zu den Microsoft 365 Anwendungen, Daten im Rahmen der sog. Zweifaktor-Authentifizierung
• In den Microsoft 365 Anwendungen werden sämtliche Nutzeraktivitäten, wie Zeitpunkt, Datum und Art des Zugriffs, Angabe zu den Da-ten/Dateien/Dokumenten auf die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der Nutzung der Anwendungen, wie Anlegen, Ändern und Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), Start eines Chats, Antworten im Chat verarbeitet.
Bei der Nutzung von „Microsoft Teams“ werden unterschiedliche Kategorien von Da-ten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.
Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:
• Angaben zum Benutzer: z. B. Anzeigename („Display name“), ggf. E-Mail-Adresse, Profilbild (optional), Bevorzugte Sprache
• Meeting-Metadaten: z. B. Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort
• Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „On-line-Meeting“ die Chatfunktion zu nutzen. Insoweit werden die von Ihnen ge-machten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikro-fon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen.
Umfang der Verarbeitung
Wir verwenden „Microsoft Teams“, um „Online-Meetings“ durchzuführen. Wenn wir „Online-Meetings“ aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.
Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.
Rechtsgrundlagen der Datenverarbeitung
Rechtsgrundlage i.S.v. Artikel 6 DSGVO zur Datenverarbeitung personenbezogener Daten Externer durch die seitens der CRS bereit gestellten Microsoft 365 Anwendun-gen sind i.d.R. Artikel 6 Abs. 1 lit. B) DSGVO (Vertragserfüllung) und Artikel 6 Abs. 1 lit. f) DSGVO (berechtigte Interessen). Dies schließt nicht aus, dass die Datenverarbeitung auch aufgrund anderer Rechtsgrundlagen erfolgt, bspw. aufgrund von Einwilligungen gegenüber der CRS.
Soweit personenbezogene Daten von Beschäftigten der CRS verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von „Microsoft Teams“ personenbezogene Daten nicht für die Be-gründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforder-lich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Microsoft Teams“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbei-tung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Online-Meetings“ Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“.
Empfänger / Weitergabe von Daten
Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung genannten Fäl-len lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist.
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhal-te aus „Online-Meetings“ wie auch bei persönlichen Besprechungstreffen häufig ge-rade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kom-munizieren und damit zur Weitergabe bestimmt sind.
Weitere Empfänger: Der Anbieter von „Microsoft Teams“ erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbei-tungsvertrages mit „Microsoft Teams“ vorgesehen ist.
Datenverarbeitung außerhalb der Europäischen Union
Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union be-schränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbeson-dere dann der Fall sein, wenn sich Teilnehmende an „Online-Meeting“ in einem Dritt-land aufhalten.
Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.
Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt.
Sie erreichen diesen wie folgt: CRS Clinical Research Services Management GmbH, – Datenschutzbeauftragter –, Friedrich-König-Str. 3-5, 68167 Mannheim, E-Mail:
Ihre Rechte als Betroffene/r
Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden.
Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis da-für, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschrän-kung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutz-rechtlichen Vorgaben.
Löschung von Daten
Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Ge-währleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.
Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Änderung dieser Datenschutzhinweise
Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fas-sung finden Sie stets auf dieser Internetseite.
Stand: 29.03.2022