StartDATENSCHUTZRICHTLINIE

DATENSCHUTZRICHTLINIE

DATENSCHUTZRICHTLINIE

bei

BIZON INT Sp. z o.o.

mit Sitz in Tomice, ul. Europejska 4.

Einführung

In Verfolgung des verfassungsmäßigen Rechts jeder Person auf Schutz des Privatlebens und der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016. zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), um technische und organisatorische Maßnahmen zum Schutz verarbeiteter personenbezogener Daten anzuwenden, die den Risiken und den geschützten Datenkategorien angemessen sind, insbesondere zum Schutz der Daten gegen ihre Weitergabe an Unbefugte, ihre Kenntnisnahme durch Unbefugte, ihre Verarbeitung unter Verstoß gegen die vorgenannte Verordnung sowie gegen ihre Veränderung, ihren Verlust, ihre Beschädigung oder ihre Vernichtung, wird die folgende Verfahrensordnung eingeführt.

Kapitel 1

Allgemeine Bestimmungen

§ 1. Für die Zwecke dieses Dokuments gelten folgende Begriffsbestimmungen

1) Verordnung - bedeutet das die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);Datenschutzverordnung);

2) personenbezogene Daten - sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

3) Datensatz - ein strukturierter Satz personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob der Satz zentralisiert, dezentralisiert oder funktional bzw. geografisch verteilt ist;

4) Datenverarbeitung - ist ein Vorgang oder eine Reihe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren an personenbezogenen Daten oder einer Reihe personenbezogener Daten vorgenommen werden, wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Erfassen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten

5) Computersystem - bezeichnet eine Gesamtheit von zusammenwirkenden Geräten, Programmen, Informationsverarbeitungsverfahren und Softwarewerkzeugen, die zum Zweck der Datenverarbeitung eingesetzt werden;

6) Datensicherheit im EDV-System - bedeutet die Implementierung und den Betrieb geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten vor unberechtigter Verarbeitung

7) Löschung der Daten - bedeutet die Vernichtung der personenbezogenen Daten oder ihre Änderung, die keine Identifizierung des Datensubjekts ermöglicht;

8) Verantwortlicher - die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt, so kann der Verantwortliche auch durch das Unionsrecht oder das Recht der Mitgliedstaaten benannt werden, oder es können die spezifischen Kriterien für seine Benennung festgelegt werden;

9) Einwilligung der betroffenen Person - jede Willensbekundung, die ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erfolgt und mit der die betroffene Person entweder durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten zum Ausdruck bringt;

10) Datenempfänger - ist jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht. Öffentliche Stellen, die im Rahmen eines bestimmten Verfahrens im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten personenbezogene Daten erhalten können, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch diese öffentlichen Stellen muss den für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen;

11) Drittland - bezeichnet ein Land, das nicht zum Europäischen Wirtschaftsraum gehört;

12) technische und organisatorische Maßnahmen - bezeichnet die technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Vertraulichkeit, Integrität und Verantwortlichkeit der verarbeiteten personenbezogenen Daten zu gewährleisten;

13) Einschränkung der Verarbeitung - bedeutet die Kennzeichnung gespeicherter personenbezogener Daten, um deren zukünftige Verarbeitung einzuschränken;

14) Profiling - ist jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Faktoren einer Person zu bewerten, insbesondere um Aspekte bezüglich ihrer Leistung, wirtschaftlichen Lage, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Standort oder Ortswechsel zu analysieren oder vorherzusagen;

15) Pseudonymisierung - ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und durch technische und organisatorische Maßnahmen sichergestellt ist, die eine Zuordnung zu einer identifizierten oder identifizierbaren natürlichen Person unmöglich machen;

16) Auftragsverarbeiter - ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

17) Verletzung des Schutzes personenbezogener Daten - bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

 

Kapitel 2

Der für die Verarbeitung personenbezogener Daten Verantwortliche

§ 2. Der für die Verarbeitung Verantwortliche ist insbesondere verpflichtet:

1. Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos einer Verletzung von Rechten oder Freiheiten natürlicher Personen mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere der Bedrohung geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass die Verarbeitung im Einklang mit der Verordnung erfolgt, und um dies nachweisen zu können. Diese Maßnahmen sind bei Bedarf zu überprüfen und zu aktualisieren.

2. Der Verantwortliche führt ein Verzeichnis der Verarbeitungen. Das Register muss die folgenden Informationen enthalten:

  • den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen sowie etwaiger gemeinsam für die Verarbeitung Verantwortlicher und gegebenenfalls des Vertreters des für die Verarbeitung Verantwortlichen und des DSB;
  • die Zwecke der Verarbeitung,
  • eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten
  • die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen,
  • gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich des Namens dieses Drittlandes oder dieser internationalen Organisation und - bei Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der Verordnung - Dokumentation der geeigneten Garantien
  • ggf. die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
  • ggf. eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß Artikel 32 Absatz 1 der Verordnung,

Kapitel 3

Technische und organisatorische Maßnahmen

§ 3. Der für die Verarbeitung Verantwortliche hat für die Zwecke des Datenschutzes die in der Verordnung genannten Anforderungen zu erfüllen:

a) eine Datenschutz-Folgenabschätzung durchzuführen,

b) eine Risikoanalyse im Hinblick auf die an den jeweiligen Prozessen beteiligten Ressourcen durchzuführen,

c) nur Personen, die von dem für die Verarbeitung Verantwortlichen ermächtigt wurden, dürfen die Daten verarbeiten (Anlage Nr. 1),

d) Betrauungsverträge zur Datenverarbeitung sind gemäß Anlage Nr. 2 abgeschlossen,

e) diese Datenschutzrichtlinie wurde erstellt und umgesetzt.

§ 4. Zum Schutz personenbezogener Daten werden die folgenden Maßnahmen zum physischen Schutz personenbezogener Daten angewendet:

  • personenbezogene Datensätze werden in einem Raum aufbewahrt, der mit einer gewöhnlichen Tür gesichert ist (nicht verstärkt, nicht feuerfest),
  • personenbezogene Datensätze werden in einem mit Türen gesicherten Raum im 1. und 2. Stock aufbewahrt;
  • das Gebäude, in dem der Verantwortliche seinen Sitz hat, ist mit einer einbruchssicheren Alarmanlage ausgestattet
  • der Zugang zu den Räumen, in denen personenbezogene Daten verarbeitet werden, ist durch das Zugangskontrollsystem abgedeckt - die Schlüssel werden an der Rezeption nur an berechtigte Personen ausgegeben.
  • der Zugang zum Gebäude, in dem der Verantwortliche seinen Sitz hat, wird durch das Überwachungssystem mit Hilfe von CCTV-Kameras kontrolliert
  • das Gebäude, in dem der Verantwortliche seinen Sitz hat, wird rund um die Uhr durch den Sicherheitsdienst überwacht,
  • personenbezogene Daten in Papierform werden in einem verschlossenen Metallschrank und in verschlossenen nichtmetallischen Schränken aufbewahrt,
  • Sicherungs-/Archivkopien personenbezogener Datensätze werden in einem verschlossenen, nicht-metallischen Schrank aufbewahrt
  • Räumlichkeiten, in denen Dateien mit personenbezogenen Daten verarbeitet werden, sind durch eine Brandschutzanlage und/oder einen freistehenden Feuerlöscher gegen Brandeinwirkung geschützt,
  • Dokumente, die personenbezogene Daten enthalten, werden nach Ablauf ihrer Verwendbarkeit maschinell mit Hilfe von Aktenvernichtern vernichtet.

§ 5. Zum Schutz personenbezogener Daten werden die folgenden Hardware-Maßnahmen der IT- und Telekommunikationsinfrastruktur eingesetzt:

  • die für die Verarbeitung personenbezogener Daten verwendeten Computer sind an ein lokales Computernetzwerk angeschlossen,
  • um das zur Verarbeitung personenbezogener Daten genutzte IT-System vor den Auswirkungen eines Stromausfalls zu schützen, werden Geräte vom Typ USV, Stromgenerator und/oder ein separates Stromnetz eingesetzt,
  • der Zugriff auf einen Satz personenbezogener Daten, der auf einer separaten Computerstation/ einem tragbaren Computer verarbeitet wird, ist mit einem Passwort gegen unbefugte Aktivierung geschützt
  • der Zugriff auf das Betriebssystem eines Computers, auf dem personenbezogene Daten verarbeitet werden, ist durch eine Authentifizierung mit einer Benutzerkennung und einem Passwort geschützt,
  • es wurden Maßnahmen ergriffen, um unbefugte Kopien von personenbezogenen Daten, die mit IT-Systemen verarbeitet werden, zu verhindern,
  • es wurde ein System der Registrierung des Zugriffs auf das System/der Sammlung von persönlichen Daten verwendet,
  • für personenbezogene Daten, die mittels Fernübertragung übermittelt werden, wurden Mittel des kryptographischen Datenschutzes eingesetzt,
  • die Festplattenmatrix wurde verwendet, um persönliche Daten vor den Auswirkungen eines Ausfalls des Festplattenspeichers zu schützen,
  • es wurden Maßnahmen zum Schutz personenbezogener Daten vor Schadsoftware, wie z. B. Würmern, Viren, Trojanern, Rootkits, getroffen
  • zum Schutz des Zugriffs auf das Computernetzwerk wurde ein Firewall-System eingesetzt,
  • IDS/IPS-System wird verwendet, um den Zugriff auf das Computernetzwerk zu schützen.

§ 6. Zum Schutz personenbezogener Daten werden im Rahmen von Softwaretools und Datenbanken folgende Schutzmaßnahmen angewendet:

  • es sind Maßnahmen getroffen, um die Zugriffsrechte auf den angegebenen Datenbereich innerhalb des Systems der verarbeiteten personenbezogenen Daten zu bestimmen,
  • der Zugriff auf die Datenablage in dem in IT-Systemen verarbeiteten Teil erfordert eine Authentifizierung mit einer Benutzerkennung und einem Passwort,
  • es wurden systemische Mittel eingesetzt, die es ermöglichen, angemessene Zugriffsrechte auf IT-Ressourcen, einschließlich personenbezogener Dateien, für bestimmte Benutzer des IT-Systems zu bestimmen,
  • es wurde ein Mechanismus zur Erzwingung der periodischen Änderung von Passwörtern für den Zugriff auf persönliche Datensätze angewendet,
  • Bildschirmschoner wurden an Stellen installiert, an denen personenbezogene Daten verarbeitet werden
  • ein Mechanismus zur automatischen Sperrung des Zugriffs auf das IT-System, das für die Verarbeitung personenbezogener Daten verwendet wird, bei längerer Inaktivität des Benutzers (Bildschirmschoner) angewendet wurde,

§ 7 Zum Schutz personenbezogener Daten werden die folgenden organisatorischen Maßnahmen getroffen:

  • die mit der Verarbeitung der Daten beauftragten Personen mit den Vorschriften des Datenschutzes vertraut gemacht worden sind,
  • die an der Verarbeitung personenbezogener Daten beteiligten Personen wurden im Hinblick auf die Sicherheit des IT-Systems geschult,
  • die an der Verarbeitung von personenbezogenen Daten beteiligten Personen zur Geheimhaltung verpflichtet waren,
  • Bildschirme der zur Verarbeitung personenbezogener Daten eingesetzten Computer sind so eingestellt, dass Außenstehende keinen Einblick in die verarbeiteten Daten haben,
  • Sicherungskopien des Satzes personenbezogener Daten werden in einem anderen Raum aufbewahrt als in dem, in dem sich der Server befindet, auf dem die personenbezogenen Daten verarbeitet werden,
  • der Verantwortliche bestimmt die Grundregeln der Sicherheit, die für alle Mitarbeiter des Unternehmens verbindlich sind, d.h:
    • das Prinzip der notwendigen Kenntnisse - Beschränkung des Zugriffs auf Daten nur auf solche, die zur Erfüllung der Aufgaben einer bestimmten Funktion erforderlich sind,
    • das Prinzip der Ressourcenverantwortung - der Verarbeiter ist für die von ihm verarbeiteten Daten verantwortlich und ist verpflichtet, die festgelegten Sicherheitsverfahren in dieser Hinsicht einzuhalten,
    • das Prinzip des abgeschlossenen Raums - keine unbefugten Personen sollten allein im Raum gelassen werden (in Abwesenheit einer autorisierten Person), Räume sollten beim Verlassen unbedingt abgeschlossen werden und Schlüssel sollten nicht in Schlössern stecken,
    • Clean-Desk-Regel - Papierdokumente und Datenträger (CDs, DVDs, USB-Sticks, etc.) werden unbeaufsichtigt auf dem Schreibtisch liegen lassen,
    • Grundsatz der Vertraulichkeit der Konten in den Systemen - jeder Mitarbeiter ist verpflichtet, in den EDV-Systemen auf den ihm zugewiesenen Konten zu arbeiten, es ist strengstens verboten, Konten für Personen zugänglich zu machen, die ihnen nicht zugewiesen wurden,
    • Regel der Vertraulichkeit von Passwörtern und Zugangscodes - Wahrung der Vertraulichkeit und keine Weitergabe von Passwörtern und Zugangscodes an unbefugte Personen, insbesondere gilt diese Regel für persönliche Zugangspasswörter zu EDV-Systemen und geschützten Bereichen,
    • Grundsatz der Nutzung dienstlicher E-Mails - jede Person, die berechtigt ist, Daten in Erfüllung dienstlicher Pflichten zu verarbeiten, nutzt ausschließlich dienstliche E-Mails, die Nutzung privater E-Mails ist in diesem Zusammenhang untersagt,
    • Clean-Screen-Regel - Sperren des Computers vor jedem Verlassen des Raumes, bei längerer Abwesenheit vom Raum ist eine Abmeldung vom System erforderlich,
    • Clean-Desktop-Regel - auf dem Computer-Desktop sollten nur Icons von Standardsoftware und offiziellen Anwendungen sowie Verknüpfungen zu Ordnern platziert werden, sofern deren Namen keine Daten, insbesondere keine persönlichen Daten, enthalten, die unkontrolliert offengelegt werden können (z. B. während einer Präsentation)
    • das Prinzip der sauberen Drucker/Kopierer - Entnahme von Dokumenten aus den Druckern unmittelbar nach dem Ausdrucken, insbesondere betrifft dieses Prinzip Dokumente, die in Druckern, die sich in einem anderen Raum befinden, liegen,
    • Prinzip des sauberen Mülleimers - Papierdokumente, mit Ausnahme von Werbematerialien, sollten in Aktenvernichtern oder durch eine externe Firma vernichtet werden,
    • das Software-Legalitätsprinzip - es ist verboten, eigene Software zu installieren, insbesondere urheberrechtsverletzende Inhalte oder andere illegale Daten auf dem Computer zu speichern,
    • Grundsatz der Meldung von Sicherheitsvorfällen - jeder Datenverarbeiter ist verpflichtet, Informationssicherheitsvorfälle, d.h. unbefugte Offenlegung, Zerstörung oder Änderung von Informationen, gemäß dem in Kapitel 8 festgelegten Verfahren zu melden,
    • das Prinzip der Nutzung der Mittel der Gesellschaft - die Daten, die sich im Besitz des Verantwortlichen befinden, dürfen nur in den für die Nutzung in der Gesellschaft zugelassenen Verarbeitungsmitteln verarbeitet werden, insbesondere ist es verboten, zu diesem Zweck private Datenverarbeitungsmittel zu nutzen,
    • das Prinzip der Nichtverwendung von Namen mit personenbezogenen Daten bei der Kennzeichnung von Dateien, Ordnern usw.
    • Angemessener Schutz der Hardware-Ressourcen des Unternehmens, die für geschäftliche Zwecke genutzt werden - tragbare Computer, Telefone, Smartphones, Tablets und andere Geräte, die von den Datenverarbeitern des Unternehmens für geschäftliche Zwecke genutzt werden, sollten angemessen vor unbefugtem Zugriff geschützt und zumindest mit einem Passwort zur Aktivierung des Geräts versehen sein.

 

Kapitel 4 

DPIA-Verfahren

(Data Protection Impact Assessment)

§ 8. Die Datenschutz-Folgenabschätzung (DPIA) muss für jeden Prozess durchgeführt werden.

§ 9. DPIA ist jedes Mal durchzuführen, wenn eine wesentliche Änderung des Prozesses der Verarbeitung personenbezogener Daten eintritt, z. B. Wechsel des Dienstleisters, Änderung der Datenverarbeitungsmethode, Austausch der am Prozess beteiligten Ressourcen.

§ 10. Die Datenschutzfolgenabschätzung wird zusammen mit der Risikoanalyse mindestens einmal jährlich in Bezug auf die Prozesse durchgeführt, die als Ergebnis der zuvor durchgeführten Datenschutzfolgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen angezeigt haben.

 

Kapitel 5

Verfahren zur Risikoanalyse und Plan zum Umgang mit dem Risiko 

§ 11. Der Verantwortliche hat die Risikoanalyse für die an den Prozessen beteiligten Ressourcen durchzuführen.

§ 12. Die Risikoanalyse ist mindestens einmal jährlich durchzuführen und bildet die Grundlage für die Aktualisierung des Verfahrens zum Umgang mit Risiken.

§ 13. Auf der Grundlage der Ergebnisse der durchgeführten Risikoanalyse setzt der Datenverwalter selbstständig die Methoden des Risikomanagements um.

§ 14. Der für die Verarbeitung Verantwortliche wählt jedes Mal die Art und Weise des Umgangs mit dem Risiko und bestimmt, welche Risiken und in welcher Reihenfolge zuerst berücksichtigt werden sollen.

 

Kapitel 6

Verfahren der Zusammenarbeit mit externen Unternehmen 

§ 15. 1. Jeder Inanspruchnahme von Dienstleistungen durch einen Auftragsverarbeiter muss der Abschluss einer Vereinbarung über die Betrauung mit der Verarbeitung personenbezogener Daten vorausgehen.

2. Der für die Verarbeitung Verantwortliche führt das Register der externen Subjekte, denen die personenbezogenen Daten zur Verarbeitung anvertraut wurden.

§ 16. Der für die Verarbeitung Verantwortliche muss jedes Mal, bevor er eine Vereinbarung über die Beauftragung der Verarbeitung personenbezogener Daten abschließt, die Einhaltung der Verordnung bei allen Auftragsverarbeitern überprüfen, deren Dienste er in Anspruch nehmen will, indem er das Verfahren der Zusammenarbeit mit externen Stellen nutzt.

 

Kapitel 7

Verfahren zum Schutz der Daten durch Voreinstellung

(Berücksichtigung des Datenschutzes in der Entwurfsphase) 

§ 17. Bei der Entwicklung eines neuen Produkts oder einer neuen Dienstleistung hat der für die Verarbeitung Verantwortliche die Rechte der betroffenen Personen in jeder wichtigen Phase des Entwurfs und Umsetzung zu berücksichtigen. Er hat durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck (Menge der zu erhebenden Daten, Umfang und Dauer der Verarbeitung sowie deren Verfügbarkeit) erforderlich sind.

§ 18. Im Falle der Absicht, die Verarbeitung personenbezogener Daten in einem neuen Prozess zu beginnen, muss der Verantwortliche die Datenschutzfolgenabschätzung für diesen Prozess durchführen.

 

Kapitel 8

Verfahren zum Management von Vorfällen 

§ 20. Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche zu prüfen, ob die Verletzung das Risiko einer Verletzung der Rechte oder Freiheiten natürlicher Personen mit sich bringt.

§ 21. Stellt der für die Verarbeitung Verantwortliche fest, dass die Verletzung zu einem Risiko der Verletzung von Rechten oder Freiheiten natürlicher Personen geführt hat, benachrichtigt er die Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach der Feststellung der Verletzung unter Verwendung des Verfahrens zum Management von Sicherheitsvorfällen. 72 h von der Identifizierung eines Verstoßes mithilfe des Verfahrens zur Verwaltung von Sicherheitsvorfällen.

§ 22. Der für die Verarbeitung Verantwortliche benachrichtigt die betroffenen Personen im Falle einer Verletzung, die das Risiko einer Verletzung ihrer Rechte oder Freiheiten zur Folge hat, auf der Grundlage eines Musters für die Benachrichtigung der betroffenen Person über die Verletzung, es sei denn, der für die Verarbeitung Verantwortliche hat Maßnahmen ergriffen, die die Wahrscheinlichkeit eines hohen Risikos einer solchen Verletzung ausschließen.

§ 23. Der Verantwortliche ist verpflichtet, die Verstöße zu dokumentieren und ein Register der Verstöße zu führen, die eine Verletzung der Rechte und Freiheiten der natürlichen Personen zur Folge haben.

Kapitel 9

Verfahren zur Verwirklichung der individuellen Rechte 

§ 24. Der für die Verarbeitung Verantwortliche hat jeden Einzelfall zu prüfen, wenn eine betroffene Person den Willen zur Ausübung ihrer Rechte gemäß der Verordnung mitteilt.

§ 25. Der für die Verarbeitung Verantwortliche hat die folgenden Rechte der betroffenen Personen unverzüglich auszuüben:

  • Recht auf Zugang zu den Daten,
  • Recht auf Berichtigung der Daten,
  • Recht auf Löschung der Daten,
  • Recht auf Datenübertragbarkeit,
  • Recht auf Widerspruch gegen die Verarbeitung der Daten,
  • Recht, keinen Entscheidungen unterworfen zu werden, die ausschließlich auf Profiling beruhen.

§ 26. Bei Ausübung des Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung unterrichtet der für die Verarbeitung Verantwortliche unverzüglich die Empfänger der Daten, denen er die Daten übermittelt hat, es sei denn, dies ist unmöglich oder erfordert einen unverhältnismäßigen Aufwand.

§ 27. Der für die Verarbeitung Verantwortliche darf die Ausübung der Rechte der betroffenen Personen verweigern, wenn sich eine solche Möglichkeit aus den Bestimmungen der Verordnung ergibt; die Verweigerung der Ausübung der Rechte der betroffenen Personen bedarf jedoch einer Begründung unter Angabe der sich aus der Verordnung ergebenden Rechtsgründe.

Kapitel 10

Verfahren zur Einholung der Einwilligung und zur Unterrichtung der betroffenen Person

§ 28. 1. In jedem Fall, in dem Daten direkt bei der betroffenen Person erhoben werden, erfüllt der für die Verarbeitung Verantwortliche die Informationspflicht gegenüber der betroffenen Person.

2. Im Falle der Erhebung von Daten eines Mitarbeiters ist die Muster-Informationspflicht anzuwenden.

§ 29. In jedem Fall der Erhebung von Daten aus anderen Quellen als der betroffenen Person hat der für die Verarbeitung Verantwortliche die Informationspflicht gegenüber der betroffenen Person unverzüglich, spätestens jedoch beim ersten Kontakt mit der betroffenen Person zu erfüllen,

§ 30. Klauseln sind immer dann zu verwenden, sofern eine Einwilligung der betroffenen Person vorliegt.

 

Kapitel 11

Schlussbestimmungen

§ 31. Alle in diesem Dokument beschriebenen Grundsätze sind von den zur Verarbeitung personenbezogener Daten berechtigten Personen unter besonderer Berücksichtigung der Interessen der Betroffenen zu beachten.

§ 32. Dieses Dokument ist ab dem Datum seiner Genehmigung durch den Verantwortlichen verbindlich

de_DEDeutsch
de_DEDeutsch pl_PLPolski en_GBEnglish (UK) ro_RORomână lt_LTLietuvių kalba ru_RUРусский ukУкраїнська