Datenschutzverordnung der COREY Management GmbH
Stand: Juli 2025
1. Präambel
Der Schutz personenbezogener Daten ist der COREY Management GmbH ein zentrales Anliegen. Als inhabergeführte, unabhängige Beratungsgesellschaft im Bereich Institutional Asset Management und Wertpapierhandel unterliegt unser Unternehmen den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG). Mit dieser Datenschutzverordnung setzen wir die rechtlichen Anforderungen um und schaffen Transparenz über unsere internen Datenschutzmaßnahmen.
2. Geltungsbereich
Diese Verordnung gilt für alle Beschäftigten und externen Dienstleister der COREY Management GmbH, die personenbezogene Daten im Rahmen ihrer Tätigkeit verarbeiten. Sie erfasst insbesondere:
die Verarbeitung von Daten von Kunden, Interessenten, Geschäftspartnern, Dienstleistern und Bewerbern,
die Nutzung von IT-Systemen, E-Mails, Telefonie und digitalen Tools,
die Einhaltung von Betroffenenrechten und Dokumentationspflichten.
3. Verantwortlicher
COREY Management GmbH
Büroadresse: Uhlandstraße 175, DE 10719 Berlin
E-Mail: desk@corey-management.com
Vertreten durch die Geschäftsführung.
4. Datenschutzbeauftragter
Da keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht (§ 38 BDSG), wird die Funktion intern verantwortet durch:
Marvin Blache. CEO COREY Management GmbH
Kontakt: desk@corey-management.com
Die Funktion überwacht die Einhaltung der Datenschutzregelungen, ist Ansprechpartner für Betroffene und berät zur Ausgestaltung von TOMs.
5. Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen des Art. 5 DSGVO:
Rechtmäßigkeit, Transparenz, Zweckbindung
Datenminimierung und Speicherbegrenzung
Integrität, Vertraulichkeit und Verantwortlichkeit
Jede Verarbeitung erfolgt entweder auf vertraglicher Grundlage, zur Wahrung berechtigter Interessen oder mit Einwilligung der betroffenen Person.
6. Verarbeitungstätigkeiten
Typische Verarbeitungen umfassen:
Kategorie Zweck Rechtsgrundlage
Kunden- und Mandatsdaten Betreuung, Vertragsdurchführung, Abrechnung Art. 6 Abs. 1 lit. b DSGVO
Geschäftspartnerdaten Kommunikation, Projektabwicklung Art. 6 Abs. 1 lit. f DSGVO
Bewerberdaten Auswahlverfahren, Einstellung Art. 6 Abs. 1 lit. b DSGVO
Website-/Trackingdaten Reichweitenmessung, Sicherheit Art. 6 Abs. 1 lit. f DSGVO
Interne Kommunikation Organisation, Dokumentation Art. 6 Abs. 1 lit. f DSGVO
7. Technische und organisatorische Maßnahmen (TOMs)
Zum Schutz der Daten sind geeignete Sicherheitsmaßnahmen implementiert, u. a.:
Zugriffsschutz (Benutzerrechte, 2FA),
Verschlüsselung (E-Mail, Festplatten),
Protokollierung und Backup-Strategien,
Schulung von Mitarbeitenden,
Löschkonzepte und Datenklassifizierung.
8. Auftragsverarbeitung
Sofern Dienstleister im Auftrag Daten verarbeiten (z. B. IT-Hosting, CRM-Systeme), werden DSGVO-konforme Verträge zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO abgeschlossen. Es erfolgt eine sorgfältige Auswahl und Kontrolle dieser Partner.
9. Betroffenenrechte
Betroffene Personen haben das Recht auf:
Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)
Beschwerde bei der Aufsichtsbehörde
Anfragen sind an den Verantwortlichen zu richten, Reaktionsfrist: 1 Monat.
10. Datenübermittlung in Drittstaaten
Grundsätzlich findet keine Verarbeitung außerhalb der EU/EWR statt. Sollte dies erforderlich sein (z. B. durch Cloud-Dienstleister), erfolgt dies ausschließlich auf Basis von Angemessenheitsbeschlüssen oder geeigneten Garantien (Standardvertragsklauseln).
11. Löschfristen
Daten werden gemäß gesetzlicher Vorgaben gespeichert und anschließend gelöscht, z. B.:
Geschäftsdaten: 6–10 Jahre (§§ 147 AO, 257 HGB)
Bewerbungen: 6 Monate nach Besetzung
E-Mail-Kommunikation: mind. 3 Jahre
Ein internes Löschkonzept wird regelmäßig überprüft.
12. Schulung & Sensibilisierung
Alle Mitarbeitenden sind zur Vertraulichkeit verpflichtet und regelmäßig in Datenschutzfragen zu schulen.
13. Verstöße und Meldepflichten
Jede Datenschutzverletzung ist unverzüglich zu melden. Der Verantwortliche prüft die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde (Art. 33 DSGVO) sowie gegenüber betroffenen Personen (Art. 34 DSGVO).
14. Inkrafttreten & Aktualisierung
Diese Datenschutzverordnung tritt am 18.07.2025 in Kraft und wird regelmäßig überprüft und angepasst, insbesondere bei gesetzlichen Änderungen oder technischen Neuerungen.