Data protection

CRS takes the protection of your personal data very seriously.

When you use our website, we process your personal data. At this point we would like to show you how we protect your data.

Your data will be treated confidentially and processed only for the purpose for which it was collected. Your data will only be processed within the framework of the statutory provisions on data protection. The provisions of the European General Data Protection Regulation (GDPR) and the Federal Data Protection Act (BDSG) are authoritative. We protect your data against manipulation, loss, destruction or access by unauthorised persons through technical and organisational measures. These measures are regularly reviewed and adjusted.

Responsible for data processing is CRS Clinical Research Services Management GmbH, Friedrich-König-Str. 3-5, 68167 Mannheim, e-mail: info.management@crs-group.de under the management of Dr. Elisabeth Lackner and Prof. Dr. Thomas Forst.

CRS has appointed a data protection officer, who can be contacted as follows: CRS Clinical Research Services Management GmbH, Friedrich-König-Str. 3-5, D-68167 Mannheim, e-mail: datenschutzbeauftragter@crs-group.de

We reserve the right to change or adapt this data protection declaration at any time in compliance with the applicable data protection regulations.

CRS nimmt den Schutz Ihrer persönlichen Daten sehr ernst.

Wenn Sie unsere Website nutzen, verarbeiten wir Ihre personenbezogenen Daten. An dieser Stelle möchten wir Ihnen zeigen, wie wir Ihre Daten schützen.

Ihre Daten werden vertraulich behandelt und nur für den Zweck verarbeitet, für den sie erhoben wurden. Ihre Daten werden nur im Rahmen der gesetzlichen Bestimmungen zum Datenschutz verarbeitet. Maßgeblich sind die Bestimmungen der europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Wir schützen Ihre Daten durch technische und organisatorische Maßnahmen vor Manipulation, Verlust, Zerstörung oder Zugriff durch unberechtigte Personen. Diese Maßnahmen werden regelmäßig überprüft und angepasst.

Verantwortlich für die Datenverarbeitung ist die CRS Clinical Research Services Management GmbH, Friedrich-König-Str. 3-5, 68167 Mannheim, E-Mail: info.management@crs-group.de unter der Geschäftsführung von Dr. Elisabeth Lackner und Prof. Dr. Thomas Forst.

CRS hat einen Datenschutzbeauftragten bestellt, diesen erreichen Sie wie folgt: CRS Clinical Research Services Management GmbH, Friedrich-König-Str. 3-5, D-68167 Mannheim, E-Mail: datenschutzbeauftragter@crs-group.de

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen zu ändern oder anzupassen.

When you use our website, your browser transmits the following data to our server:

  • IP address of the requesting computer,
  • Date and time of access,
  • Name and URL of the retrieved file,
  • Website from which the access is made (referrer URL)
  • The browser used (user agent string) and, if applicable, the operating system of your computer as well as the name of your access provider.

This data is not merged with other data sources.

This data is kept for 30 days. The log files are deleted at the end of a calendar month and can be evaluated statistically. The evaluation takes place in anonymised form.

This data processing is necessary to ensure the proper functioning of the website and the display of the website on the respective device. The legal basis for this data processing is Art. 6 (1) lit. b) GDPR (preparation for the performance of a contract) and Art. 6 (1) lit. f GDPR (legitimate interest of CRS in the stability and functionality of the website).

Recipients of data

As a matter of principle, we do not pass on your data to third parties. For the hosting and maintenance of our website, we rely on the use of service providers who we oblige to comply with the legal requirements via order processing.

Cookies

Our websites use cookies. Cookies are text files that are stored in or by the internet browser on the user’s computer system. When you visit our website, a cookie may be placed on your operating system. This cookie contains a characteristic string of characters that enables the browser to be uniquely identified when the website is called up again.

The legal basis for this data processing is Art. 6 (1) lit. b GDPR (performance of a contract), Art. 6 (1) lit. a GDPR (your informed consent) and Art. 6 (1) lit. f GDPR (legitimate interest of CRS in the best possible functionality of the website).

We use the following types of cookies:

Essential cookies enable basic functions and are necessary for the proper functioning of the website.

NameBorlabs Cookie
ProviderOwner of this website, Imprint
PurposeSaves the settings of the visitors selected in the Cookie Box of Borlabs Cookie.
Cookie Nameborlabs-cookie
Cookie Runtime365 days

External media Content from video platforms and social media platforms

NameFacebook
ProviderMeta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
PurposeUsed to unlock Facebook content.
Privacy policyhttps://www.facebook.com/privacy/explanation
Host(s).facebook.com
NameGoogle Maps
ProviderGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
PurposeUsed to unlock Google Maps content.
Privacy policyhttps://policies.google.com/privacy
Host(s).google.com
Cookie NameNID
Cookie Runtime6 months
NameInstagram
ProviderMeta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
PurposeUsed to unlock Instagram content.
Privacy policyhttps://www.instagram.com/legal/privacy/
Host(s).instagram.com
Cookie Namepigeon_state
Cookie RuntimeSession
NameOpenStreetMap
ProviderOpenstreetmap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge CB4 0WS, United Kingdom
PurposeUsed to unlock OpenStreetMap content.
Privacy policyhttps://wiki.osmfoundation.org/wiki/Privacy_Policy
Host(s).openstreetmap.org
Cookie Name_osm_location, _osm_session, _osm_totp_token, _osm_welcome, _pk_id., _pk_ref., _pk_ses., qos_token
Cookie Runtime1-10 years
NameTwitter
ProviderTwitter International Company, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07, Ireland
PurposeUsed to unlock Twitter content.
Privacy policyhttps://twitter.com/privacy
Host(s).twimg.com, .twitter.com
Cookie Name__widgetsettings, local_storage_support_test
Cookie RuntimeUnlimited
NameYouTube
ProviderGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
PurposeUsed to unlock YouTube content.
Privacy policyhttps://policies.google.com/privacy
Host(s)google.com
Cookie NameNID
Cookie Runtime6 months

Cookies are stored until the specified time or until you delete them in your browser. If it is a session object, it is stored until the session has expired.

Revocation option

You can also delete required cookies already stored on your end device at any time by deleting the corresponding cookies in your browser settings. You can find out how to delete cookies in the instructions provided by your browser manufacturer. However, we would like to point out that in this case you may not be able to use all the functions of this website to their full extent.

Cookie consent tool

We use a so-called „cookie consent tool“ to obtain effective consent for cookies and cookie-based applications that require consent. The „cookie consent tool“ is displayed in the form of an interactive user window when our website is called up. By ticking the box, the user gives their consent for certain cookies and/or cookie-based applications. This means that all cookies requiring consent are only loaded if consent is required by ticking the box.

The processing for the purpose of storing, assigning or logging cookie settings, this is carried out in accordance with Art. 6 para. 1 lit. f GDPR on the basis of our legitimate interest in a legally compliant, user-specific and user-friendly consent management for cookies and a legally compliant design of our website.

Further legal basis for the processing is Art. 6 para. 1 lit. c GDPR. As the responsible party, we are subject to the legal obligation to make the use of technically unnecessary cookies dependent on the respective user consent.

Where necessary, we have concluded an order processing agreement with the provider, which ensures the protection of our site visitors‘ data and prohibits unauthorised disclosure to third parties.

Your rights

You may request confirmation from CRS as to whether personal data relating to you is being processed by us. If such processing has taken place, you may request further information about the following:

(1) the purposes for which the personal data are processed

(2) the categories of personal data processed;

(3) the recipients or categories of recipients to whom the personal data concerning you have been or will be disclosed;

(4) the envisaged duration of the storage of the personal data concerning you or, if it is not possible to provide specific information, the criteria for determining the duration of the storage;

(5) the existence of a right to rectify or erase personal data concerning you, a right to have processing restricted by the controller or a right to object to such processing;

(6) the existence of a right of appeal to a supervisory authority;

(7) any available information on the origin of the data, where the personal data have not been collected from the data subject;

(8) the existence of automated decision-making, including profiling.

You have the right to request information on whether personal data concerning you are transferred to a third country or to an international organisation. In this context, you may request to be informed about the adequate safeguards pursuant to Article 46 of the GDPR in connection with the transfer.

You generally have the right to request the correction or deletion of your personal data free of charge and to restrict the processing of your personal data at CRS. Under certain circumstances, you also have the right to object to the further processing of your personal data. In such cases, please contact either your contact person at BD or in the HR department of CRS to which you have applied, or the CRS Data Protection Officer: datenschutzbeauftragter@crs-group.de

In addition, you have the right to contact the competent supervisory authority. For CRS, this is the State Commissioner for Data Protection and Freedom of Information in Baden-Württemberg (e-mail: poststelle@lfdi.bwl.de or contact form on the website). In addition, you can contact any other data protection supervisory authority (contact details can be found at https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html).

Duration of storage

The storage period of personal data results from the respective legal basis, the processing purpose and – if applicable – from legal retention periods.

When processing personal data on the basis of explicit consent pursuant to Art. 6 (1) a GDPR, the data concerned will be stored until you revoke your consent.

If there are statutory retention periods for data that is processed within the scope of legal or quasi-legal obligations on the basis of Art. 6 Para. 1 lit. b GDPR, this data will be routinely deleted after expiry of the retention periods, insofar as it is no longer required for the fulfilment of the contract or the initiation of the contract and/or there is no justified interest on our part in the continued storage.

When processing personal data on the basis of Art. 6(1)(f) GDPR, this data is stored until you exercise your right to object pursuant to Art. 21(1) GDPR, unless we can demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms, or the processing serves to assert, exercise or defend legal claims.

When processing personal data for the purpose of direct advertising based on Art. 6 (1) lit. f GDPR, this data will be stored until you exercise your right to object in accordance with Art. 21 (2) GDPR.

Unless otherwise indicated in the other information in this statement on specific processing situations, stored personal data are otherwise deleted when they are no longer necessary for the purposes for which they were collected or otherwise processed.

We only collect, process or use personal data insofar as it is necessary for the establishment, definition or modification of the legal relationship (inventory data). The legal basis for this is article 6(1) b) f) EU General Data Protection Regulation (GDPR) and section 40(1) Medicinal Products Act (AMG).

CRS customer data (company name, contact person, contact data, contact content) is collected and stored in an electronic file for customer data management. This data is collected directly from the customer and is used to prepare and execute contractual relationships for clinical trials and customer acquisition. In addition, we also collect and process personal data from our suppliers (name, contact data, company assessment) within the framework of our supplier qualification procedure.

The information in the electronic customer data management file can only be accessed by employees in the Business Development and Marketing department and by the Management. It is not disclosed to third parties.

Contractual information and supplier qualification data is essentially for internal use by employees from the Business Development, Project Management and Quality Assurance departments, as well as the persons responsible for clinical trials. It may also be viewed by commissioned third parties in the event of inspections by the authorities or sponsor audits.

Information in the electronic customer data management file and on supplier qualification will be stored for as long as the company exists. Clinical trial agreements are kept for a period of at least 25 years in accordance with EU Regulation No. 536/2014.

You generally have the right to request the correction or deletion of your personal data free of charge, and to restrict the processing of your personal data at CRS. Under certain conditions, you also have the right to file an objection against the further processing of your personal data. As of 28 May 2018, you may request to receive the personal data, which you have provided to CRS, in a structured, commonly used and machine-readable format (Right to data portability). In such cases, please get in touch with your contact person in the Business Development department at CRS or contact the CRS Data Protection Officer. In addition, you also have the right to lodge a complaint with the responsible supervisory authority.

Wir erheben, verarbeiten und nutzen personenbezogene Daten nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung des Rechtsverhältnisses erforderlich sind (Bestandsdaten). Rechtsgrundlage hierfür sind Artikel 6 Abs. 1 b) f) EU DS-GVO sowie § 40 Abs. 1 AMG.

Daten der Auftraggeber von CRS (Firmenname, Name der Kontaktperson, Kontaktdaten, Kontaktinhalte) werden in einer elektronischen Datei zur Kundendatenverwaltung erfasst und gespeichert. Diese Daten werden beim Auftraggeber direkt erhoben und dienen der Vorbereitung und Ausführung von Vertragsverhältnissen für klinische Prüfungen sowie der Akquisition von Neu-Kunden. Von unseren Auftragnehmern werden darüber hinaus personenbezogene Daten (Name, Kontaktdaten, Bewertung des Unternehmens) im Rahmen des Verfahrens zur Lieferantenqualifizierung erhoben und verarbeitet.

Daten aus der elektronischen Datei zur Kundenverwaltung sind nur für Mitarbeiter des Bereichs Business Development und Marketing sowie für die Geschäftsführung zugänglich. Sie werden nicht an Dritte weiter gegeben.

Daten aus Verträgen sowie Daten zur Lieferantenqualifizierung sind grundsätzlich für den internen Gebrauch für Mitarbeiter aus den Bereichen Business Development, Projektmanagement, den für eine klinische Prüfung verantwortlichen Prüfer, sowie für Mitarbeiter der Qualitätssicherung. Sie können im Falle von Behördeninspektionen oder Überprüfungen durch die Auftraggeber (Sponsor-Audits) von beauftragten Dritten eingesehen werden.

Daten aus der elektronischen Datei zur Kundenverwaltung sowie der Lieferantenqualifizierung werden so lange gespeichert wie das Unternehmen existiert. Verträge für klinische Prüfungen werden entsprechend der EU-Verordnung 536/2014 für mindestens 25 Jahre aufbewahrt.

Sie haben grundsätzlich das Recht unentgeltlich eine Berichtigung, Löschung oder Einschränkung der Bearbeitung Ihrer personenbezogenen Daten bei CRS einzufordern. Auch können Sie unter bestimmten Voraussetzungen Widerspruch gegen die weitere Datenverarbeitung einlegen. Ab 28. Mai 2018 können Sie beantragen, die Daten, die Sie CRS bereit gestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit). Bitte wenden Sie sich in diesem Fall entweder an Ihren Kontaktpartner des Bereichs Business Development bei CRS oder an den betrieblichen Datenschutzbeauftragten der CRS. Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde.

Dear applicant,

CRS takes the protection of your personal data very seriously.

We ensure that your personal information is treated confidentially and in accordance with data protection laws. Our Data Protection Officer is responsible for monitoring compliance with the statutory requirements and can be contacted at: datenschutzbeauftragter@crs-group.de

The entity responsible for data protection (“controller”) is the Management of the CRS location you have applied for.

The documents you have provided to us during the application process are stored and administrated with our Human Resources (HR) department. This may include personal data from you (e.g. name, address, date of application, position) as well as internal notes (transfer to, return of documents, comments) which are maintained in internal lists of HR. This information may be disclosed to involved line managers, members of the works council and Management, if applicable. It is not disclosed to third parties.

The data is stored as long as it is necessary for the application process and for the conclusion of a contract of employment, respectively. If an employment is not possible, your documents will be returned to you. Electronic data are erased after 6 months. However, your data in internal application lists may be kept for a maximum of 1 year to be able to contact you upon demand (e.g. if a new position becomes vacant which might be of interest for you). If you wish to object to this, please notify your objection to HR.

If you enter into an employment relationship with CRS, we must collect and process data from you in order to fulfill this employment relationship (for example, for contract drafting, the personnel file, payroll accounting). At this point, we would first like to provide you with general information on how your personal data is handled within the CRS.

The management of the location where you are under contract is basically responsible for the correct handling of your personal data. In the case of processing activities that pose a high risk to your rights and freedoms (e.g. processing of health data in company reintegration management), a detailed description of how your data is handled is given in a process description. You can view these process descriptions in the electronic SOP system „BM-Flow“ (document type: method description, search for the corresponding procedure in the full text search). In addition, you will find detailed information on our processing activities with employee data on our intranet under the heading „Data Protection“ > „Record of Processing Activities“ (Verfahrensverzeichnis). Here you can see for each processing activity the purpose for which the data is processed, the legal basis on which the processing activity is carried out, who the recipient of the data can be, what storage rules there are and much more. If you set the filter to „Employees“ in column L („Category of data subjects“), you will be shown all processing activities in which employee data are processed.

Please note that, in principle, all processing activities in connection with computerized systems could theoretically be viewed by our IT administrators. This also includes the e-mail accounts with all contents. For this reason, e-mails with confidential and/or personal contents must be sent with the Lotus Notes option „encrypt“. It should be noted here that the contents of such encrypted e-mails cannot under any circumstances be made readable for deputies in case of absence.

You generally have the right to request the correction or deletion of your personal data free of charge, and to restrict the processing of your personal data at CRS. Under certain conditions, you also have the right to file an objection against the further processing of your personal data. In such cases, please get in touch with your contact person in the HR department at CRS you have applied to or contact the CRS Data Protection Officer.

In addition, you have the right to appeal to the competent supervisory authority. For CRS Management and its subsidiaries, this is the state commissioner for data protection and freedom of information in Baden-Wuerttemberg (e-mail: poststelle@lfdi.bwl.de or contact form on the website). In addition, you can contact any other data protection supervisory authority.

Sehr geehrte Bewerberin, sehr geehrter Bewerber,

CRS nimmt den Schutz Ihrer persönlichen Daten sehr ernst.

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (Rechtsgrundlage ist hierbei § 26 Abs. 1 Bundesdatenschutzgesetz) Für die Überwachung der Einhaltung der gesetzlichen Vorgaben ist unsere betriebliche Datenschutzbeauftragte verantwortlich, sie steht Ihnen auch für Rückfragen zur Verfügung: datenschutzbeauftragter@crs-group.de

Grundsätzlich verantwortlich für den korrekten Umgang mit Ihren personenbezogenen Daten ist die Geschäftsführung des Standorts an dem Sie sich beworben haben.

Die Unterlagen, die Sie uns im Rahmen des Bewerbungsverfahrens zur Verfügung gestellt haben, werden bei der verantwortlichen Personalabteilung aufbewahrt und verwaltet. Hierbei können auch persönliche Angaben von Ihnen (z.B. Name, Adresse, Datum der Bewerbung, Position) sowie interne Vermerke (Weiterleitung an, Rücksendung Unterlagen, Kommentare) in internen Listen bei der Personalabteilung geführt werden. Eine Weiterleitung erfolgt soweit erforderlich an betroffene Fachvorgesetze, den Betriebsrat und ggf. die Geschäftsführung. An Dritte werden Ihre Daten nicht weiter geleitet. Die Daten werden so lange aufbewahrt, wie es für die Durchführung des Bewerbungsverfahrens bzw. für die Begründung des Beschäftigungsverhältnisses erforderlich ist. Falls Sie für eine Beschäftigung nicht in Frage kommen, erhalten Sie die uns übersendeten Unterlagen zurück, elektronische Daten werden in der Regel nach 6 Monaten gelöscht. Ihre Daten in internen Bewerberlisten können dagegen für maximal 1 Jahr aufbewahrt werden, um Sie bei Bedarf nochmals kontaktieren zu können (z.B. wenn eine für Sie interessante Position an einem anderen CRS-Standort zu besetzen ist). Wenn Sie dies nicht wünschen, teilen Sie Ihren Widerspruch gegen die weitere Datenverarbeitung bitte der Personalabteilung mit.

Wenn Sie ein Beschäftigungsverhältnis mit CRS eingehen, müssen wir zur Erfüllung dieses Beschäftigungsverhältnisses Daten von Ihnen erheben und verarbeiten (z.B. für die Vertragsgestaltung, die Personalakte, Gehaltsabrechnung). Wir möchten Sie an dieser Stelle zunächst allgemein darüber informieren, wie mit Ihren personenbezogenen Daten innerhalb der CRS umgegangen wird.

Grundsätzlich verantwortlich für den korrekten Umgang mit Ihren personenbezogenen Daten ist die Geschäftsführung des Standorts an dem Sie unter Vertrag stehen. Bei Verarbeitungstätigkeiten, die ein hohes Risiko für Ihre Rechte und Freiheiten haben (z.B. Verarbeitung von Gesundheitsdaten beim betrieblichen Wiedereingliederungsmanagement), wird im Rahmen einer Verfahrensbeschreibung im Detail beschrieben, wie mit Ihren Daten umgegangen wird. Sie können diese Verfahrensbeschreibungen im elektronischen SOP-System „BM-Flow“ einsehen (Dokumententyp: Methodenbeschreibung, in der Volltextsuche nach dem entsprechenden Verfahren suchen).

Darüber hinaus finden Sie detaillierte Informationen zu den Verarbeitungstätigkeiten mit Beschäftigtendaten bei uns im Intranet unter der Rubrik „Datenschutz“ > „Verfahrensverzeichnis“. Hier können Sie für jede Verarbeitungstätigkeit sehen für welchen Zweck die Daten verarbeitet werden, aufgrund welcher Rechtsgrundlage die Verarbeitungstätigkeit erfolgt, wer Empfänger der Daten sein kann, welche Aufbewahrungsvorschriften es gibt und vieles mehr. Wenn Sie im Verfahrensverzeichnis in Spalte L („Kategorie der Betroffenen“) den Filter auf „Beschäftigte“ setzen, werden Ihnen alle Verfahren angezeigt, bei denen Beschäftigtendaten  verarbeitet werden.

Bitte beachten Sie, dass grundsätzlich alle Verarbeitungstätigkeiten in Zusammenhang mit computerisierten Systemen von unseren IT-Administratoren theoretisch eingesehen werden könnten. Dazu gehören auch die Email-Accounts mit allen Inhalten. Aus diesem Grund sind E-Mails mit vertraulichen und / oder personenbezogenen Inhalten mit der Lotus-Notes Option „verschlüsseln“ zu versenden. Hierbei ist zu beachten, dass Inhalte so verschlüsselter E-mails unter keinen Umständen im Fall einer Abwesenheit für Stellvertreter lesbar gemacht werden können.

Sie haben grundsätzlich das Recht eine Berichtigung, Löschung oder Einschränkung der Bearbeitung (Sperrung) Ihrer personenbezogenen Daten einzufordern. Auch können Sie in bestimmten Fällen Widerspruch gegen die weitere Datenverarbeitung einlegen. Darüber hinaus haben Sie für elektronische Daten, die Sie CRS selbst zur Verfügung gestellt haben, ein Recht auf Übertragung dieser Daten an Sie selbst oder an einen Dritten in einem gebräuchlichen Format. Bitte wenden Sie sich in diesem Fall entweder an den Personalsachbearbeiter, bei dem Sie sich beworben haben oder an den betrieblichen Datenschutzbeauftragten der CRS.

Darüber hinaus haben Sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Dies ist für CRS Management und ihre Tochtergesellschaften der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (Email: poststelle@lfdi.bwl.de oder Kontaktformular auf der Webseite). Darüber hinaus können Sie sich an jede andere Datenschutzaufsichtsbehörde wenden.

In addition to our standard privacy information, we would like to inform you below about the processing of personal data in connection with the use of Microsoft 365 applications such as “Microsoft Teams” and “Mircosoft SharePoint”.

Purpose of Processing

We use Microsoft 365 applications solely for the purpose of business collaboration in the context of projects, orders and fulfilment of contractual obligations. Microsoft 365 applications may only be used for business purposes.

Note: This privacy notice only provides information about CRS’s processing of your personal data when you share Microsoft 365 applications with CRS.

Microsoft 365 applications are a service of Microsoft Corporation. If you require in-formation about the processing by Microsoft, please see the relevant statement.

Controller

The responsible party within the meaning of the applicable data protection law is CRS Clinical Research Services Management GmbH.
The contractual partner of CRS is Microsoft Cooperation, which operates Microsoft Office 365 as a processor within the meaning of Article 28 GDPR for CRS.

Note: If you access the „Microsoft Teams“ website, the provider of „Microsoft Teams“ is responsible for data processing. However, accessing the website is only necessary for the use of „Microsoft Teams“ in order to download the software for the use of „Microsoft Teams“.

If you do not want to or cannot use the „Microsoft Teams“ app, you can also use „Mi-crosoft Teams“ via your browser. The service will then also be provided via the „Mi-crosoft Teams“ website.

What Data are processed?

When using Microsoft 365 applications, the following personal data is already pro-cessed automatically:

• Your IP Adress
• Identifiers: Information about you that identifies you as a user, sender, recipi-ent of data within the Microsoft 365 applications.
In particular, this also includes the following data: Name, first name, business contact data such as telephone number, e-mail address, business fax num-ber, if provided by you. Further data (such as a profile picture you have pro-vided) can also be viewed at any time in your profile, in particular in Outlook, and can be individually adapted.
• Your access data to the Microsoft 365 applications, data within the scope of so-called two-factor authentication
• In the Microsoft 365 applications, all user activities, such as time, date and type of access, information on the files/documents accessed and all activities in connection with the use of the applications, such as creating, changing and deleting a document, setting up a team (and channels in teams), starting a chat, replies in the chat are processed.

When using „Microsoft Teams“, different categories of data are processed. The scope of the data also depends on the data you provide before or during participation in an „online meeting“.

The following personal data are subject to processing:

• User details: e.g. display name, e-mail address (if applicable), profile picture (optional), preferred language.
• Meeting metadata: e.g. date, time, meeting ID, phone numbers, location
• Text, audio and video data: You may have the opportunity to use the chat function in an „online meeting“. In this respect, the text entries you make are processed in order to display them in the „online meeting“. In order to enable the display of video and the playback of audio, the data from the microphone of your terminal device and from any video camera of the terminal device are processed accordingly during the meeting. You can switch off or mute the camera or microphone yourself at any time via the „Microsoft Teams“ applica-tions.

Scope of the processing

We use „Microsoft Teams“ to conduct „online meetings“. If we want to record „online meetings“, we will transparently inform you in advance and – if necessary – ask for consent.

Automated decision-making within the meaning of Art. 22 GDPR is not used.

Legal basis for data processing
Insofar as personal data of employees of CRS are processed, Section 26 of the German Federal Data Protection Act (BDSG) is the legal basis for data processing. If, in connection with the use of „Microsoft Teams“, personal data is not required for the establishment, implementation or termination of the employment relationship, but is nevertheless an elementary component of the use of „Microsoft Teams“, the legal basis for data processing is Art. 6 para. 1 lit. f) GDPR. In these cases, our interest lies in the effective implementation of „online meetings“.
In addition, the legal basis for data processing when conducting „online meetings“ is Art. 6 para. 1 lit. b) GDPR, insofar as the meetings are conducted within the frame-work of contractual relationships.
If there is no contractual relationship, the legal basis is Art. 6 para. 1 lit. f) GDPR. Here, too, our interest is in the effective conduct of „online meetings“.

Recipients / passing on of data
In addition to the cases explicitly mentioned in this data protection declaration, your personal data will only be passed on without your express prior consent if this is le-gally permissible or required.
Personal data processed in connection with participation in „online meetings“ will generally not be passed on to third parties unless it is intended to be passed on. Please note that the contents of online meetings, as well as personal meetings, are often used to communicate information with customers, interested parties or third par-ties and are therefore intended to be passed on.
Other recipients: The provider of „Microsoft Teams“ necessarily receives knowledge of the above-mentioned data, insofar as this is provided for within the framework of our order processing contract with „Microsoft Teams“.

Data processing outside the European Union
Data processing outside the European Union (EU) does not take place as a matter of principle, as we have restricted our storage location to data centres in the European Union. However, we cannot rule out the possibility that data may be routed via inter-net servers located outside the EU. This can be the case in particular if participants in „Online Meeting“ are in a third country.
However, the data is encrypted during transport via the internet and thus protected against unauthorised access by third parties.

Data Protection Officer
We have appointed a Data Protection Officer.
Our Data Protection Officer can be contacted at: CRS Clinical Research Services Management GmbH, – Datenschutzbeauftragter –, Friedrich-König-Str. 3-5, 68167 Mannheim, E-Mail: datenschutzbeauftragter@crs-group.de

Your rights as a data subject

You have the right to obtain information about the personal data concerning you. You can contact us for information at any time.

In the case of a request for information that is not made in writing, we ask for your understanding that we may require proof from you that you are the person you claim to be.

Furthermore, you have the right to rectification or deletion or to restriction of pro-cessing, insofar as you are entitled to this by law.
Finally, you have the right to object to processing within the scope of the law.

You also have the right to data portability within the framework of data protection law.

Deletion of data

We generally delete personal data when there is no need for further storage. A re-quirement may exist in particular if the data is still needed in order to fulfil contractual services, to be able to check and grant or ward off warranty and, if applicable, guar-antee claims. In the case of statutory retention obligations, deletion is only considered after the expiry of the respective retention obligation.

Right to complain to a supervisory authority

You have the right to complain about the processing of personal data by us to a data protection supervisory authority.

Changes to this data protection notice
We revise this data protection notice in the event of changes in data processing or other occasions that make this necessary. You will always find the current version on this website.
Stand: 29.03.2022

Ergänzend zu unseren Standard-Datenschutzinformationen möchten wir Sie nachfol-gend über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Microsoft 365, wie „Microsoft Teams“ und „Microsoft SharePoint“ informieren.

Zweck der Verarbeitung

Wir nutzen Microsoft 365 Anwendungen ausschließlich zum Zweck der geschäftli-chen Kollaboration im Rahmen von Projekten, Aufträgen und der Erfüllung vertragli-cher Pflichten. Microsoft 365 Anwendungen dürfen ausschließlich dienstlich genutzt werden.

Hinweis: Dieser Datenschutzhinweis informiert nur über die Verarbeitung Ihrer personenbezogenen Daten durch CRS, wenn Sie gemeinsam mit CRS Micro-soft 365 Anwendungen nutzen.

Microsoft 365 Anwendungen sind ein Service der Microsoft Corporation. Falls Sie Informationen über die Verarbeitung durch Microsoft benötigen, bitten wir Sie die ent-sprechende Erklärung einzusehen.

Verantwortlicher

Verantwortlicher im Sinne des jeweils gültigen Datenschutzrechts ist CRS Clinical Research Services Management GmbH.
Vertragspartner der CRS ist die Microsoft Cooperation, welche Microsoft Office 365 als Auftragsverarbeiter i.S.d. Artikel 28 DSGVO für die CRS betreibt.

Hinweis: Soweit Sie die Internetseite von „Microsoft Teams“ aufrufen, ist der Anbie-ter von „Microsoft Teams“ für die Datenverarbeitung verantwortlich. Ein Aufruf der Internetseite ist für die Nutzung von „Microsoft Teams“ jedoch nur erforderlich, um sich die Software für die Nutzung von „Microsoft Teams“ herunterzuladen.

Wenn Sie die „Microsoft Teams“-App nicht nutzen wollen oder können, können Sie „Microsoft Teams“ auch über Ihren Browser nutzten. Der Dienst wird dann insoweit auch über die Website von „Microsoft Teams“ erbracht.

Welche Daten werden verarbeitet?

Bei der Nutzung von Microsoft 365 Anwendungen werden bestimmte folgende perso-nenbezogene Daten bereits automatisch verarbeitet:

• Ihre IP-Adresse
• Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der Microsoft 365 Anwendungen kennzeichnet
Dazu gehören insbesondere auch folgende Daten: Name, Vorname, dienstli-che Kontaktdaten wie Telefonnummer, E-Mailadresse, dienstliche Faxnum-mer, sofern von Ihnen angegeben. Weitere Daten (wie z. B. ein von ihnen hin-terlegtes Profilbild) sind ebenfalls in Ihrem Profil, insbesondere in Outlook je-derzeit einsehbar und können individuell angepasst werden.
• Ihre Zugangsdaten zu den Microsoft 365 Anwendungen, Daten im Rahmen der sog. Zweifaktor-Authentifizierung
• In den Microsoft 365 Anwendungen werden sämtliche Nutzeraktivitäten, wie Zeitpunkt, Datum und Art des Zugriffs, Angabe zu den Da-ten/Dateien/Dokumenten auf die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der Nutzung der Anwendungen, wie Anlegen, Ändern und Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), Start eines Chats, Antworten im Chat verarbeitet.

Bei der Nutzung von „Microsoft Teams“ werden unterschiedliche Kategorien von Da-ten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem „Online-Meeting“ machen.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

• Angaben zum Benutzer: z. B. Anzeigename („Display name“), ggf. E-Mail-Adresse, Profilbild (optional), Bevorzugte Sprache
• Meeting-Metadaten: z. B. Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort
• Text-, Audio- und Videodaten: Sie haben ggf. die Möglichkeit, in einem „On-line-Meeting“ die Chatfunktion zu nutzen. Insoweit werden die von Ihnen ge-machten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikro-fon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die „Microsoft Teams“-Applikationen abschalten bzw. stummstellen.

Umfang der Verarbeitung

Wir verwenden „Microsoft Teams“, um „Online-Meetings“ durchzuführen. Wenn wir „Online-Meetings“ aufzeichnen wollen, werden wir Ihnen das im Vorwege transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten.

Eine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO kommt nicht zum Einsatz.

Rechtsgrundlagen der Datenverarbeitung
Rechtsgrundlage i.S.v. Artikel 6 DSGVO zur Datenverarbeitung personenbezogener Daten Externer durch die seitens der CRS bereit gestellten Microsoft 365 Anwendun-gen sind i.d.R. Artikel 6 Abs. 1 lit. B) DSGVO (Vertragserfüllung) und Artikel 6 Abs. 1 lit. f) DSGVO (berechtigte Interessen). Dies schließt nicht aus, dass die Datenverarbeitung auch aufgrund anderer Rechtsgrundlagen erfolgt, bspw. aufgrund von Einwilligungen gegenüber der CRS.
Soweit personenbezogene Daten von Beschäftigten der CRS verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung. Sollten im Zusammenhang mit der Nutzung von „Microsoft Teams“ personenbezogene Daten nicht für die Be-gründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforder-lich, gleichwohl aber elementarer Bestandteil bei der Nutzung von „Microsoft Teams“ sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbei-tung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Online-Meetings“ Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“.

Empfänger / Weitergabe von Daten
Eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung erfolgt neben den explizit in dieser Datenschutzerklärung genannten Fäl-len lediglich dann, wenn es gesetzlich zulässig bzw. erforderlich ist.
Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an „Online-Meetings“ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhal-te aus „Online-Meetings“ wie auch bei persönlichen Besprechungstreffen häufig ge-rade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kom-munizieren und damit zur Weitergabe bestimmt sind.
Weitere Empfänger: Der Anbieter von „Microsoft Teams“ erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies im Rahmen unseres Auftragsverarbei-tungsvertrages mit „Microsoft Teams“ vorgesehen ist.

Datenverarbeitung außerhalb der Europäischen Union
Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union be-schränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbeson-dere dann der Fall sein, wenn sich Teilnehmende an „Online-Meeting“ in einem Dritt-land aufhalten.
Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.

Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten benannt.
Sie erreichen diesen wie folgt: CRS Clinical Research Services Management GmbH, – Datenschutzbeauftragter –, Friedrich-König-Str. 3-5, 68167 Mannheim, E-Mail: da-tenschutzbeauftragter@crs-group.de

Ihre Rechte als Betroffene/r

Sie haben das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten. Sie können sich für eine Auskunft jederzeit an uns wenden.

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis da-für, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschrän-kung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Schließlich haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.

Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutz-rechtlichen Vorgaben.

Löschung von Daten

Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Ge-währleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Änderung dieser Datenschutzhinweise
Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fas-sung finden Sie stets auf dieser Internetseite.

Stand: 29.03.2022