Ir al contenido
Rechtliches

Datenschutzerklärung

1. Verantwortlicher

Gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO) und dem spanischen Organgesetz 3/2018 vom 5. Dezember zum Schutz personenbezogener Daten und zur Gewährleistung digitaler Rechte (LOPDGDD) informieren wir Sie, dass der Verantwortliche für Ihre personenbezogenen Daten ist:

  • Firmenname: Blue Mountain Asesores, SLU
  • Steuer-ID (NIF/CIF): B42985432
  • Eingetragener Sitz: C/ Castello 36, Planta 1, 28001 Madrid, Spanien
  • Telefon: +34 910 917 811 (Madrid) · +34 868 300 587 (Murcia) · +34 928 402 802 (Las Palmas)
  • Datenschutz-E-Mail: dpo@bm.consulting
  • Website: bm.consulting

2. Datenschutzbeauftragter (DSB)

In Übereinstimmung mit den Artikeln 37 bis 39 DSGVO und den Artikeln 34 bis 37 LOPDGDD hat Blue Mountain Asesores, SLU einen Datenschutzbeauftragten (DSB) ernannt. Der DSB ist die Anlaufstelle für alle Fragen zur Verarbeitung personenbezogener Daten und zur Ausübung der nach dem anwendbaren Datenschutzrecht anerkannten Rechte.

Sie können unseren Datenschutzbeauftragten unter folgenden Kontaktdaten erreichen:

  • E-Mail: dpo@bm.consulting
  • Postanschrift: Datenschutzbeauftragter — Blue Mountain Asesores, SLU, C/ Castello 36, Planta 1, 28001 Madrid, Spanien

Der DSB handelt unabhängig und hat Zugang zu den für die Erfüllung seiner Aufgaben gemäß Artikel 38 Absatz 2 DSGVO erforderlichen Ressourcen.

3. Erhobene Daten

Je nach Art Ihrer Beziehung zu BMC können wir folgende Kategorien personenbezogener Daten verarbeiten:

  • Identifikationsdaten: Vor- und Nachname(n), nationaler Personalausweis (DNI/NIE/NIF), Reisepassnummer oder anderes Ausweisdokument, Geburtsdatum, Unterschrift.
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer, Postanschrift.
  • Wirtschaftliche und finanzielle Daten: Steuerinformationen (Steueridentifikationsnummer, Steuererklärungen), Buchhaltungsdaten, Bank- und Zahlungsinformationen. Diese Daten werden ausschließlich dann verarbeitet, wenn BMC Steuer-, Buchhaltungs-, Arbeits- oder finanziell-rechtliche Beratungsleistungen erbringt.
  • Berufliche Daten: Firmenname, Unternehmens-Steuer-ID (NIF/CIF), Position oder Funktion, wirtschaftliche Tätigkeit (NACE-Code), Vertretungsdaten.
  • Geldwäscheprävention (AML): Sorgfaltsdokumentation gemäß Gesetz 10/2010 vom 28. April zur Prävention von Geldwäsche und Terrorismusfinanzierung.
  • Browsing-Daten: IP-Adresse, Browser-Typ und -Gerät, Betriebssystem, besuchte Seiten, Sitzungsdauer, Cookie-Daten (gemäß unserer Cookie-Richtlinie).

In der Regel verarbeiten wir keine besondere Kategorien personenbezogener Daten (Gesundheitsdaten, rassische oder ethnische Herkunft, religiöse Überzeugungen usw.). Im Rahmen der Erbringung von Lohnbuchhaltungs- und Arbeitsrechtsberatungsleistungen als Auftragsverarbeiter (Artikel 28 DSGVO) können wir jedoch im Auftrag unserer Mandanten auf Gesundheitsdaten von Arbeitnehmern (Krankschreibungen, ärztliche Bescheinigungen), Gewerkschaftsmitgliedschaft oder Behinderungen zugreifen. Diese Verarbeitung erfolgt ausschließlich im Auftrag des Verantwortlichen (Mandanten) und stützt sich auf die Erfüllung rechtlicher Verpflichtungen im Bereich des Arbeits- und Sozialversicherungsrechts (Artikel 9 Absatz 2 Buchstabe b DSGVO und Artikel 9 LOPDGDD).

4. Verarbeitungszwecke

Ihre personenbezogenen Daten werden für folgende Zwecke verarbeitet, vorbehaltlich der angegebenen Rechtsgrundlagen und Aufbewahrungsfristen:

Zweck Rechtsgrundlage Aufbewahrungsfrist
Bearbeitung von Anfragen und Kontaktanfragen über die Website und andere Kanäle Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO) 12 Monate ab der letzten Kommunikation
Erbringung professioneller Beratungsleistungen (Steuer, Arbeitsrecht, Recht, Gesellschaftsrecht, Wirtschaft) Vertragserfüllung (Art. 6 Abs. 1 Buchst. b DSGVO) Dauer des Vertrags + geltende gesetzliche Fristen
Buchhaltungsführung, Rechnungsstellung und Erfüllung eigener Steuerpflichten Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO) — span. Abgabenordnung (Ley 58/2003); Kapitalgesellschaftsgesetz (RDL 1/2010) 4 Jahre (Steuerverjährung, Art. 66 LGT); 6 Jahre (handelsrechtliche Pflichten, Art. 30 HGB)
Personalverwaltung, Lohnbuchhaltung und Sozialversicherung für Mandanten Vertragserfüllung (Art. 6 Abs. 1 Buchst. b DSGVO); Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO) — LGSS, ET Dauer des Vertrags + 4 Jahre (Verjährung arbeitsrechtlicher Verstöße)
Prävention von Geldwäsche und Terrorismusfinanzierung (AML/CFT) Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO) — Gesetz 10/2010 vom 28. April 10 Jahre ab Ende der Geschäftsbeziehung (Art. 25 Gesetz 10/2010)
Versand von Werbemitteilungen und Newslettern zu Leistungen, gesetzlichen Neuerungen und Veranstaltungen Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO); Berechtigtes Interesse für bestehende Mandanten (Art. 6 Abs. 1 Buchst. f DSGVO — Art. 21 Abs. 2 LSSI) Bis zum Widerruf der Einwilligung oder Einlegung eines Widerspruchs
Statistische Analyse der Website-Nutzung und Verbesserung der Benutzererfahrung Berechtigtes Interesse (Art. 6 Abs. 1 Buchst. f DSGVO) 26 Monate (danach anonymisiert)
Einhaltung von Anfragen, Inspektionen und Verpflichtungen gegenüber Verwaltungs- und Justizbehörden Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO) Im Einzelfall geltende gesetzliche Fristen

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten stützt sich auf folgende Rechtsgrundlagen gemäß Artikel 6 DSGVO:

  • Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO): Freiwillig, spezifisch, informiert und unmissverständlich erteilt für Zwecke wie den Versand von Werbemitteilungen, das Abonnement des Newsletters oder die Nutzung von Kontaktformularen. Sie können Ihre Einwilligung jederzeit ohne rückwirkende Wirkung widerrufen.
  • Vertragserfüllung (Art. 6 Abs. 1 Buchst. b DSGVO): Die Verarbeitung ist für die Erbringung der mit BMC vereinbarten Leistungen oder für vorvertragliche Maßnahmen auf Ihren Wunsch hin erforderlich.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchst. c DSGVO): Die Verarbeitung ist zur Erfüllung steuerrechtlicher (LGT), handelsrechtlicher (HGB), arbeitsrechtlicher (ET, LGSS), geldwäscherechtlicher (Gesetz 10/2010) und sonstiger anwendbarer Vorschriften erforderlich.
  • Berechtigtes Interesse (Art. 6 Abs. 1 Buchst. f DSGVO): Für Zwecke wie aggregierte statistische Analysen der Website oder den Versand von Werbemitteilungen an bestehende Mandanten bezüglich ähnlicher Leistungen (gemäß Art. 21 Abs. 2 LSSI), sofern diese Interessen nicht durch die Interessen oder Grundrechte der betroffenen Person überwiegen.

6. Empfänger und Auftragsverarbeiter

Ihre personenbezogenen Daten können an folgende Empfänger weitergegeben werden, soweit eine Rechtsgrundlage besteht:

  • Brevo SAS (Anbieter von E-Mail-Versand und Marketingdiensten mit Sitz in der Europäischen Union) — handelt als Auftragsverarbeiter im Rahmen eines Vertrags gemäß Art. 28 DSGVO.
  • Railway Inc. (Cloud-Infrastruktur und Hosting-Anbieter) — handelt als Auftragsverarbeiter. Ihre Server können sich in der Europäischen Union und/oder in den Vereinigten Staaten befinden (siehe Abschnitt 7 zu internationalen Übermittlungen).
  • Cloud-Software- und Plattformanbieter, die in der internen Verwaltungsplattform von BMC eingesetzt werden und durch Auftragsverarbeitungsverträge gebunden sind.
  • Öffentliche Behörden und Regulierungsbehörden, wenn gesetzlich erforderlich: Spanische Steuerbehörde (AEAT), Sozialversicherungsbehörde (TGSS), Handelsregister, Gerichte, Exekutivdienst der Kommission zur Prävention von Geldwäsche (SEPBLAC) und sonstige zuständige Behörden.
  • Finanzinstitute für die Verwaltung von Zahlungen, Überweisungen und Lastschriften.
  • Externe Fachleute (Rechtsanwälte, Wirtschaftsprüfer, Notare, Sachverständige), wenn für die Leistungserbringung erforderlich, vorbehaltlich strikter Vertraulichkeitspflichten und gegebenenfalls durch Auftragsverarbeitungsverträge gebunden.

BMC verkauft personenbezogene Daten nicht und überträgt sie nicht zu eigenen kommerziellen Zwecken an Dritte. Die Weitergabe von Daten an Dritte erfolgt ausschließlich auf Basis einer Rechtsgrundlage oder nach Abschluss eines entsprechenden Auftragsverarbeitungsvertrags gemäß Artikel 28 DSGVO.

7. Internationale Datenübermittlungen

BMC verarbeitet Ihre Daten grundsätzlich innerhalb des Europäischen Wirtschaftsraums (EWR). Einige unserer Technologieanbieter können Daten jedoch in Drittländern verarbeiten:

  • Railway Inc. (Vereinigte Staaten): Railway kann Daten auf Servern in den Vereinigten Staaten speichern oder verarbeiten. Diese Übermittlung ist durch den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US-Datenschutzrahmen (DPF) vom 10. Juli 2023 (Durchführungsbeschluss 2023/1795) abgedeckt. Zusätzlich hat BMC als ergänzende Schutzmaßnahme die Standardvertragsklauseln der Europäischen Kommission (SCC) abgeschlossen.

Sollte eine weitere internationale Übermittlung erforderlich werden, stellt BMC sicher, dass geeignete Garantien gemäß Kapitel V DSGVO vorliegen (Standardvertragsklauseln der Europäischen Kommission, verbindliche interne Datenschutzvorschriften oder andere Angemessenheitsmechanismen). Informationen zu den geltenden Garantien erhalten Sie beim DSB unter dpo@bm.consulting.

8. Speicherfristen

Personenbezogene Daten werden so lange gespeichert, wie es für die Zwecke ihrer Erhebung erforderlich ist, und in jedem Fall für die gesetzlich vorgeschriebenen Mindestfristen. Nach Ablauf dieser Fristen werden die Daten gelöscht oder unwiderruflich anonymisiert.

Datenkategorie Aufbewahrungsfrist Rechtsgrundlage
Website-Kontaktformulardaten 12 Monate ab der letzten Kommunikation Art. 6 Abs. 1 Buchst. a DSGVO (Einwilligung)
Vertragliche Mandantendaten Dauer der Beziehung + 6 Jahre Art. 30 span. Handelsgesetzbuch
Steuerliche und fiskalische Daten 4 Jahre (Steuerverjährungsfrist) Art. 66 Gesetz 58/2003, span. Abgabenordnung
Arbeits- und Sozialversicherungsdaten 4 Jahre (Verjährung arbeitsrechtlicher Verstöße) LGSS; ET; LISOS
AML/CFT-Sorgfaltsdokumentation 10 Jahre ab Ende der Geschäftsbeziehung Art. 25 Gesetz 10/2010 vom 28. April
Werbemitteilungen (Newsletter) Bis zum Widerruf der Einwilligung oder Einlegung eines Widerspruchs Art. 6 Abs. 1 Buchst. a DSGVO; Art. 21 LSSI
Browsing- und Web-Analytics-Daten 26 Monate (danach anonymisiert) Art. 6 Abs. 1 Buchst. f DSGVO; Erwägungsgrund 26 DSGVO

Während der Aufbewahrungsfrist werden Daten ordnungsgemäß mit eingeschränktem Zugang gesperrt und nur zur Erfüllung gesetzlicher Verpflichtungen oder zur Bearbeitung potenzieller Ansprüche verwendet.

9. Betroffenenrechte

Gemäß den Artikeln 15 bis 22 DSGVO und den Artikeln 12 bis 18 LOPDGDD haben Sie das Recht auf:

  • Auskunft (Art. 15 DSGVO): Zu erfahren, ob wir Ihre personenbezogenen Daten verarbeiten, und eine Kopie davon sowie Informationen zu Zwecken, Datenkategorien, Empfängern und Aufbewahrungsfristen zu erhalten.
  • Berichtigung (Art. 16 DSGVO): Die Korrektur unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO): Die Löschung Ihrer Daten zu verlangen, wenn diese unter anderem nicht mehr für die Zwecke notwendig sind, für die sie erhoben wurden, oder Sie Ihre Einwilligung widerrufen haben.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Die Aussetzung der Verarbeitung unter bestimmten Umständen zu verlangen (z. B. während die Richtigkeit bestrittener Daten überprüft wird).
  • Datenübertragbarkeit (Art. 20 DSGVO): Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und deren direkte Übermittlung an einen anderen Verantwortlichen zu verlangen, wenn die Verarbeitung auf Einwilligung oder Vertragserfüllung basiert.
  • Widerspruch (Art. 21 DSGVO): Der Verarbeitung Ihrer Daten jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, zu widersprechen, wenn die Verarbeitung auf berechtigten Interessen des Verantwortlichen beruht.
  • Nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden (Art. 22 DSGVO): Keiner ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
  • Widerruf der Einwilligung: Eine zuvor erteilte Einwilligung jederzeit ohne Auswirkung auf die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung zu widerrufen.

Ausübung Ihrer Rechte: Sie können alle diese Rechte geltend machen, indem Sie eine E-Mail an dpo@bm.consulting senden oder einen schriftlichen Antrag an den eingetragenen Sitz von BMC stellen, wobei Sie in beiden Fällen eine Kopie Ihres Personalausweises, NIE, Reisepasses oder eines anderen gültigen Ausweisdokuments beifügen, das Ihre Identität belegt.

Antwortfrist: Wir antworten innerhalb von maximal einem Monat nach Eingang Ihres Antrags. Diese Frist kann bei komplexen oder zahlreichen Anträgen um weitere zwei Monate verlängert werden, worüber wir Sie innerhalb des ersten Monats informieren werden (Art. 12 Abs. 3 DSGVO).

10. Sicherheitsmaßnahmen

Gemäß Artikel 32 DSGVO hat BMC geeignete technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, darunter:

  • Verschlüsselung der Kommunikation: Alle Kommunikationen zwischen Nutzern und der Website werden über TLS/SSL-Protokolle (HTTPS) verschlüsselt.
  • Rollenbasierte Zugriffskontrolle: Der Zugang zu personenbezogenen Daten ist auf Mitarbeiter beschränkt, die ihn für ihre Aufgaben benötigen, durch Authentifizierungssysteme und Berechtigungsverwaltung.
  • Verschlüsselung gespeicherter Daten: Auf unserer Plattform gespeicherte Daten werden verschlüsselt, um unbefugten Zugriff zu verhindern.
  • Regelmäßige Datensicherungen: Es werden regelmäßige Datensicherungen durchgeführt, um Verfügbarkeit und Integrität bei Vorfällen zu gewährleisten.
  • Mitarbeiterschulung: BMC-Mitarbeiter werden regelmäßig in Datenschutz und Informationssicherheit geschult.
  • Regelmäßige Sicherheitsbewertungen: Sicherheitsüberprüfungen und -audits werden regelmäßig durchgeführt, um Schwachstellen zu identifizieren und zu beheben.
  • Notfallplan: Wir verfügen über dokumentierte Verfahren für die Erkennung, Verwaltung, Meldung und Behebung von Sicherheitsvorfällen, die personenbezogene Daten betreffen.

11. Meldung von Sicherheitsverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten handelt BMC gemäß den Artikeln 33 und 34 DSGVO wie folgt:

  • Meldung an die AEPD (Art. 33 DSGVO): Innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung werden wir die Spanische Datenschutzbehörde (AEPD) benachrichtigen, sofern die Verletzung nicht voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
  • Benachrichtigung der Betroffenen (Art. 34 DSGVO): Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat, werden wir Sie unverzüglich informieren, mit klaren Angaben zu Art der Verletzung, voraussichtlichen Folgen und ergriffenen oder geplanten Abhilfemaßnahmen.

Wenn Sie einen Sicherheitsvorfall betreffend Ihre Daten feststellen oder vermuten, benachrichtigen Sie uns bitte unverzüglich unter dpo@bm.consulting.

12. Verarbeitung von Minderjährigendaten

Gemäß Artikel 7 LOPDGDD erfordert die Verarbeitung personenbezogener Daten Minderjähriger unter 14 Jahren die Zustimmung ihrer Eltern oder gesetzlichen Vormund.

Die Leistungen von BMC richten sich ausschließlich an Erwachsene sowie Unternehmen und Fachleute. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 14 Jahren. Sollten wir feststellen, dass wir ohne die erforderliche elterliche Zustimmung Daten eines Minderjährigen erhoben haben, werden wir diese unverzüglich löschen. Wenn Sie Elternteil oder Vormund sind und glauben, dass Ihr Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter dpo@bm.consulting.

13. Automatisierte Entscheidungen und Profiling

Gemäß Artikel 22 DSGVO trifft BMC keine automatisierten Einzelentscheidungen und betreibt kein Profiling, das rechtliche Wirkungen auf Betroffene entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Verarbeitung Ihrer Daten beinhaltet stets menschliches Eingreifen bei Sie betreffenden Entscheidungen.

14. Beschwerderecht bei der AEPD

Unbeschadet sonstiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe haben Sie das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder die LOPDGDD verstößt. In Spanien ist dies die Spanische Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD):

  • Adresse: C/ Jorge Juan 6, 28001 Madrid, Spanien
  • Telefon: +34 91 266 35 17
  • Website: www.aepd.es
  • Elektronisches Büro: sedeagpd.gob.es

Bevor Sie eine Beschwerde bei der AEPD einreichen, laden wir Sie ein, unseren DSB unter dpo@bm.consulting zu kontaktieren, damit wir Ihre Anfrage oder Beschwerde so schnell wie möglich bearbeiten können.

15. Änderungen dieser Datenschutzerklärung

BMC behält sich das Recht vor, diese Datenschutzerklärung zu ändern, um gesetzlichen, rechtsprechungsbezogenen oder berufspraktischen Änderungen Rechnung zu tragen. Änderungen werden den Nutzern durch Veröffentlichung auf dieser Website mit Angabe des Aktualisierungsdatums mitgeteilt. Wir empfehlen Ihnen, diese Seite regelmäßig zu überprüfen.

Letzte Aktualisierung: 12. März 2026.

Anrufen Kontakt