DATENSCHUTZPOLITIK

Diese Richtlinie legt die internen Regeln für die Datenverarbeitungsaktivitäten des für die Verarbeitung Verantwortlichen fest, um der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 95/46/EG (Allgemeine Datenschutzverordnung) zu entsprechen.

Geschehen zu Budapest, am 24. Mai 2018

Daten des für die Datenverarbeitung Verantwortlichen

Name: BGR Central Europe Kft.
Adresse: 1047 Budapest, Perényi Zsigmond utca 10. 2. Stock 2.
Registrierungsnummer des Unternehmens: 01-09-404629
Registriert : Fővárosi Törvényszék Cégbírósága
Steuernummer: 32054527-2-41
Kontonummer: CIB
Telefonnummer: 06-30-285-1856

E-Mail: hallo (at) baseballsapka.hu

 I. KAPITEL 2

ALLGEMEINE BESTIMMUNGEN

Zweck und Anwendungsbereich der Regeln

1. Der Zweck dieser Richtlinie ist es, die internen Regeln und Maßnahmen festzulegen, die sicherstellen, dass die Datenverarbeitung und die Datenverwaltung des für die Verarbeitung Verantwortlichen mit der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016.) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 95/46/EG (Allgemeine Datenschutzverordnung, im Folgenden "die Verordnung") - und den Bestimmungen des Gesetzes CXII von 2011 über das Recht auf informationelle Selbstbestimmung und Informationsfreiheit (im Folgenden "die Infotv.").

2. Diese Richtlinie betrifft die Verarbeitung personenbezogener Daten natürlicher Personen durch den für die Verarbeitung Verantwortlichen.

3. Kunden, Auftraggeber, Kunden und Lieferanten von Selbstständigen, Einzelunternehmern, Einzelunternehmen und selbstständigen Landwirten gelten für die Zwecke dieser Regeln als natürliche Personen.

4. Der Geltungsbereich der Richtlinie erstreckt sich nicht auf die Verarbeitung personenbezogener Daten juristischer Personen, einschließlich des Namens und der Rechtsform der juristischen Person sowie der Kontaktdaten der juristischen Person (GDPR (14)).

Definitionen

5. Die für die Zwecke dieser Verordnungen geltenden Definitionen sind in Artikel 4 der Verordnung aufgeführt. Die wichtigsten Definitionen sind entsprechend hervorgehoben:

"persönliche Daten": alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Nummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

"Datenverwaltung"jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe, die Übermittlung, die Verbreitung oder die anderweitige Bereitstellung, die Verknüpfung oder die Einschränkung, das Löschen oder die Vernichtung;

"Einschränkung der Verarbeitung": die Identifizierung der gespeicherten persönlichen Daten, um deren zukünftige Verarbeitung einzuschränken;

"Profiling"jede Form der automatisierten Verarbeitung personenbezogener Daten, bei der personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte im Zusammenhang mit einer natürlichen Person zu bewerten, insbesondere um Merkmale im Zusammenhang mit der beruflichen Leistung, der wirtschaftlichen Lage, der Gesundheit, den persönlichen Vorlieben, den Interessen, der Zuverlässigkeit, dem Verhalten, dem Aufenthaltsort oder den Ortswechseln dieser Person zu analysieren oder vorherzusagen;

"Pseudonymisierung": die Verarbeitung personenbezogener Daten in einer Weise, dass die Identifizierung der natürlichen Person, auf die sich die personenbezogenen Daten beziehen, ohne weitere Informationen nicht mehr möglich ist, sofern diese weiteren Informationen getrennt aufbewahrt werden und technische und organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass keine Verbindung zwischen den personenbezogenen Daten und einer identifizierten oder identifizierbaren natürlichen Person hergestellt wird;

"Registriersystem": ein Satz personenbezogener Daten, der auf beliebige Weise disaggregiert ist, sei es zentral, dezentral oder nach funktionalen oder geografischen Kriterien, und der auf der Grundlage bestimmter Kriterien zugänglich ist;

"Datenverantwortlicher"eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten bestimmt, so können auch der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für die Benennung des für die Verarbeitung Verantwortlichen durch das Recht der Union oder der Mitgliedstaaten bestimmt werden;

"Datenverarbeiter": eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

"Empfänger"die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die die personenbezogenen Daten weitergegeben werden, unabhängig davon, ob es sich dabei um einen Dritten handelt oder nicht. Öffentliche Behörden, die im Rahmen einer Einzelermittlung gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten Zugang zu personenbezogenen Daten haben können, sind keine Empfänger; die Verarbeitung dieser Daten durch diese öffentlichen Behörden muss entsprechend dem Zweck der Verarbeitung den geltenden Datenschutzvorschriften entsprechen;

"Drittpartei"eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die nicht die betroffene Person, der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter oder die Personen ist, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten;

"Einwilligung der betroffenen Person"eine frei gegebene, spezifische, informierte und unmissverständliche Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder eine Handlung, die ihre eindeutige Zustimmung zum Ausdruck bringt, ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten erklärt;

"Datenschutz-Vorfälle": eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

KAPITEL II

DIE RECHTMÄSSIGKEIT DER VERARBEITUNG SICHERSTELLEN

Verarbeitung auf der Grundlage der Einwilligung der betroffenen Person

1. Beabsichtigt der für die Verarbeitung Verantwortliche, die Verarbeitung auf der Grundlage einer Einwilligung vorzunehmen, so muss die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilen, indem sie Anhang Nr. in Übereinstimmung mit dem Inhalt und den Informationen, die im Datenanforderungsformular angegeben sind, und im Falle von Käufen im Webshop kann die betroffene Person ihre Zustimmung zur Verarbeitung ihrer Daten in Übereinstimmung mit dieser Richtlinie geben, indem sie das entsprechende Kästchen ankreuzt, bevor sie den Kauf beginnt.

2. Die Einwilligung gilt auch dann als erteilt, wenn die betroffene Person beim Besuch der Website des für die Verarbeitung Verantwortlichen (baseballsapka.hu) ein entsprechendes Kästchen ankreuzt, bei der Nutzung von Diensten der Informationsgesellschaft die entsprechenden technischen Einstellungen vornimmt oder eine sonstige Erklärung abgibt oder eine sonstige Handlung vornimmt, die in dem jeweiligen Kontext eindeutig auf die Einwilligung der betroffenen Person in die beabsichtigte Verarbeitung ihrer personenbezogenen Daten hinweist. Schweigen, das Ankreuzen eines Kästchens oder Untätigkeit gelten daher nicht als Einwilligung.

3. Die Einwilligung gilt für alle Verarbeitungen, die für denselben Zweck oder dieselben Zwecke durchgeführt werden. Erfolgt die Verarbeitung für mehr als einen Zweck, muss die Einwilligung für alle Zwecke, für die die Verarbeitung erfolgt, erteilt werden.

4. Erteilt die betroffene Person ihre Einwilligung in einer schriftlichen Erklärung, die sich auch auf andere Angelegenheiten bezieht, so muss das Ersuchen um Einwilligung in einer von diesen anderen Angelegenheiten deutlich unterscheidbaren Weise, in klarer und leicht zugänglicher Form und in einer klaren und einfachen Sprache dargestellt werden. Jeder Teil einer solchen Erklärung, der die Einwilligung der betroffenen Person enthält und gegen die Verordnung verstößt, ist nicht verbindlich.

5. Der für die Verarbeitung Verantwortliche darf den Abschluss oder die Erfüllung eines Vertrags nicht von der Zustimmung zur Verarbeitung personenbezogener Daten abhängig machen, die für die Erfüllung des Vertrags nicht erforderlich sind.

6. Es sollte möglich sein, die Zustimmung auf die gleiche einfache Weise zu widerrufen, wie sie erteilt wurde.

7. Wurden die personenbezogenen Daten mit der Einwilligung der betroffenen Person erhoben, kann der für die Verarbeitung Verantwortliche die erhobenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der die betroffene Person unterliegt, verarbeiten, sofern gesetzlich nichts anderes vorgesehen ist, ohne dass es einer weiteren ausdrücklichen Einwilligung bedarf und auch nachdem die betroffene Person ihre Einwilligung zurückgezogen hat.

Verarbeitung auf der Grundlage der Erfüllung einer rechtlichen Verpflichtung

8. Im Falle einer Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung richten sich der Umfang der zu verarbeitenden Daten, der Zweck der Verarbeitung, die Dauer der Datenspeicherung und die Empfänger nach den Bestimmungen der zugrunde liegenden Gesetzgebung.

9. Die auf der Erfüllung einer rechtlichen Verpflichtung beruhende Verarbeitung ist unabhängig von der Einwilligung der betroffenen Person, da die Verarbeitung gesetzlich festgelegt ist. In solchen Fällen muss die betroffene Person vor Beginn der Verarbeitung darüber informiert werden, dass die Verarbeitung obligatorisch ist, und sie muss klare und ausführliche Informationen über alle Fakten im Zusammenhang mit der Verarbeitung ihrer Daten erhalten, insbesondere über die Zwecke und die Rechtsgrundlage der Verarbeitung, die Identität des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters, die Dauer der Verarbeitung, die Frage, ob der für die Verarbeitung Verantwortliche die personenbezogenen Daten der betroffenen Person aufgrund einer rechtlichen Verpflichtung verarbeitet, der die betroffene Person unterliegt, und die Personen, die Zugang zu den Daten haben können. Die Informationen sollten auch die Rechte und Rechtsmittel der betroffenen Person in Bezug auf die Verarbeitung abdecken. Im Falle einer obligatorischen Verarbeitung können die Informationen auch durch einen Verweis auf die gesetzlichen Bestimmungen, die die vorgenannten Informationen enthalten, veröffentlicht werden.

Informationen zur Datenverwaltung durch den Data Controller

10. Der Allgemeine Hinweis zur Datenverarbeitung des für die Verarbeitung Verantwortlichen ist auf der Website Anhang Nr. enthalten.

11. Der für die Verarbeitung Verantwortliche gewährleistet die Ausübung der Rechte der betroffenen Person bei der gesamten Verarbeitung.

KAPITEL III

BESCHÄFTIGUNGSBEZOGENE DATENVERARBEITUNG

Arbeit, Personalakten

12. Arbeitnehmer dürfen nur um Daten und ärztliche Arbeitsfähigkeitsuntersuchungen gebeten werden, die für die Begründung, Aufrechterhaltung und Beendigung des Arbeitsverhältnisses sowie für die Gewährung von Sozialleistungen erforderlich sind und die ihre individuellen Rechte nicht verletzen.

13. Der für die Verarbeitung Verantwortliche verarbeitet die folgenden Daten des Arbeitnehmers zum Zwecke der Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses auf der Grundlage der berechtigten Interessen des Arbeitgebers (Artikel 6 Absatz 1 Buchstabe f der Verordnung):

1. Name
2. Name bei der Geburt,,
3. Geburtsdatum,
4. Name der Mutter,
5. Ihre Adresse,
6. Ihre Nationalität,
7. Steueridentifikationsnummer,
8. Sozialversicherungsnummer,
9. die ständige Nummer des Rentners (im Falle eines pensionierten Arbeitnehmers),
10. Rufnummer,
11. E-Mail Adresse,
12. Personalausweisnummer,
13. die Nummer der amtlichen Wohnsitzbescheinigung,
14. Ihre Bankkontonummer,
15. Online-ID (falls verfügbar)
16. das Datum des Beginns und des Endes Ihrer Beschäftigung,
17. Berufsbezeichnung,
18. eine Kopie einer Bescheinigung über Ihre Schul- und Berufsausbildung,
19. Foto,
20. CV,
21. die Höhe Ihres Gehalts, Lohns und anderer Leistungen,
22. die Höhe der vom Lohn des Arbeitnehmers abzuziehenden Schuld oder das Recht zum Abzug auf der Grundlage einer rechtskräftigen Entscheidung oder einer gesetzlichen Bestimmung oder einer schriftlichen Zustimmung,
23. eine Bewertung der Arbeit des Mitarbeiters,
24. wie und aus welchen Gründen das Arbeitsverhältnis beendet wird,
25. ein Leumundszeugnis, je nach Stelle
26. eine Zusammenfassung der Berufseignungstests,
27. bei Mitgliedschaft in privaten Rentenfonds und freiwilligen Versicherungsvereinen auf Gegenseitigkeit den Namen des Fonds, seine Kennnummer und die Mitgliedsnummer des Arbeitnehmers,
28. bei ausländischen Arbeitnehmern die Nummer des Reisepasses; Name und Nummer des Dokuments, das die Berechtigung zur Arbeit bescheinigt,
29. Daten aus den Aufzeichnungen über Unfälle von Arbeitnehmern;
30. Daten, die für die Inanspruchnahme von Sozialleistungen, kommerziellen Unterkünften erforderlich sind;
31. das Kamera- und Zugangskontrollsystem, das der für die Datenverarbeitung Verantwortliche zu Sicherheits- und Vermögensschutzzwecken einsetzt,
32. oder von Ortungssystemen aufgezeichnete Daten.

14. Der Arbeitgeber verarbeitet Daten über Ihre Krankheit und Ihre Gewerkschaftszugehörigkeit nur, um ein Recht oder eine Verpflichtung gemäß dem Arbeitsgesetzbuch zu erfüllen.

15. Die Empfänger der personenbezogenen Daten sind: der Leiter des Arbeitgebers, die Person, die die Befugnisse des Arbeitgebers ausübt, die Mitarbeiter des für die Verarbeitung Verantwortlichen, die arbeitsbezogene Aufgaben erfüllen, und die Datenverarbeiter.

16. Nur personenbezogene Daten von Mitarbeitern in leitenden Positionen dürfen an die Eigentümer des für die Verarbeitung Verantwortlichen übermittelt werden.

17. Dauer der Speicherung personenbezogener Daten: 3 Jahre nach Beendigung des Arbeitsverhältnisses.

18. Die betroffene Person muss vor Beginn der Verarbeitung darüber informiert werden, dass die Verarbeitung auf dem Arbeitsgesetzbuch und den berechtigten Interessen des Arbeitgebers beruht.

19. Der Arbeitgeber muss zum Zeitpunkt des Abschlusses des Arbeitsvertrags Folgendes mitteilen Anhang Nr. informiert den Mitarbeiter über die Verarbeitung seiner personenbezogenen Daten und seine persönlichen Rechte, indem er ihm den Informationshinweis aushändigt.

Datenverwaltung im Zusammenhang mit Eignungstests

20. Ein Arbeitnehmer darf nur einer Eignungsprüfung unterzogen werden, die in einer Beschäftigungsvorschrift vorgeschrieben ist oder die für die Ausübung eines Rechts oder die Erfüllung einer in einer Beschäftigungsvorschrift festgelegten Pflicht erforderlich ist. Vor der Prüfung müssen die Arbeitnehmer unter anderem ausführlich über die zu bewertenden Fähigkeiten und Fertigkeiten sowie über die Mittel und Methoden der Bewertung informiert werden. Wenn die Prüfung gesetzlich vorgeschrieben ist, müssen die Arbeitnehmer über den Titel des Gesetzes und den genauen Ort, an dem sie durchgeführt werden soll, informiert werden. Ein Muster dieses Informationshinweises ist dieser Richtlinie beigefügt Anhang Nr. enthalten.

21. Der Arbeitgeber kann die Testformulare für die Arbeitsfähigkeit und die Arbeitsbereitschaft sowohl vor der Begründung des Arbeitsverhältnisses als auch während des Arbeitsverhältnisses von seinen Mitarbeitern ausfüllen lassen.

22. Um Arbeitsprozesse effizienter durchführen und organisieren zu können, darf ein für die Erforschung von psychologischen Merkmalen oder Persönlichkeitsmerkmalen geeigneter Testbogen nur dann von einer großen Gruppe von Mitarbeitern ausgefüllt werden, wenn die bei der Auswertung gewonnenen Daten nicht mit einzelnen Mitarbeitern in Verbindung gebracht werden können, d.h. die Daten anonym verarbeitet werden.
23. Der Umfang der verarbeiteten personenbezogenen Daten: die Tatsache der Eignung für die Stelle und die dafür erforderlichen Bedingungen.

24. Rechtsgrundlage für die Verarbeitung: berechtigtes Interesse des Arbeitgebers.

25. Zweck der Verarbeitung personenbezogener Daten: zur Begründung und Aufrechterhaltung eines Beschäftigungsverhältnisses, zur Besetzung einer Stelle.

26. Empfänger und Kategorien von Empfängern personenbezogener Daten: Die Ergebnisse der Untersuchung können an die befragten Arbeitnehmer oder an die Fachkraft, die die Untersuchung durchführt, weitergegeben werden. Der Arbeitgeber darf nur Informationen darüber erhalten, ob die untersuchte Person für den Arbeitsplatz geeignet ist oder nicht und unter welchen Bedingungen sie für den Arbeitsplatz geeignet ist. Der Arbeitgeber darf jedoch weder die Einzelheiten der Untersuchung noch deren vollständige Dokumentation kennen.

27. Dauer der Verarbeitung personenbezogener Daten: 3 Jahre nach Beendigung des Arbeitsverhältnisses.

Verwaltung von Einstellungsdaten, Bewerbungen, Lebensläufen

28. Die personenbezogenen Daten, die verarbeitet werden können: Name, Geburtsdatum und -ort, Name der Mutter, Adresse, Qualifikationen, Foto, Telefonnummer, E-Mail-Adresse, Arbeitgebereintrag des Bewerbers (falls vorhanden).

29. Der Zweck der Verarbeitung personenbezogener Daten ist: Bewerbung, Bewertung der Bewerbung, Abschluss eines Arbeitsvertrags mit der ausgewählten Person. Die betroffene Person muss informiert werden, wenn der Arbeitgeber sie nicht für die Stelle ausgewählt hat.

30. Rechtsgrundlage für die Verarbeitung: Zustimmung der betroffenen Person.

31. Empfänger oder Kategorien von Empfängern personenbezogener Daten: Führungskräfte und Mitarbeiter, die arbeitsbezogene Aufgaben wahrnehmen und berechtigt sind, ihre Rechte als Arbeitgeber bei der für die Verarbeitung Verantwortlichen auszuüben.

32. Dauer der Speicherung personenbezogener Daten: bis zur Bewertung der Bewerbung oder des Angebots. Personenbezogene Daten nicht erfolgreicher Bewerber werden gelöscht. Die Daten derjenigen, die ihre Bewerbung oder Kandidatur zurückziehen, werden ebenfalls gelöscht.

33. Der Arbeitgeber darf Bewerbungen nur auf der Grundlage der ausdrücklichen, unmissverständlichen und freiwilligen Einwilligung der betroffenen Person aufbewahren, sofern die Aufbewahrung für die Zwecke der Verarbeitung im Einklang mit dem Gesetz erforderlich ist. Eine solche Einwilligung wird von den Bewerbern nach Abschluss des Einstellungsverfahrens eingeholt.

E-E-Mail-Konto Nutzung Kontrolle der Datenverarbeitung

34. Wenn der für die Datenverarbeitung Verantwortliche dem Mitarbeiter ein E-Mail-Konto zur Verfügung stellt, darf der Mitarbeiter diese E-Mail-Adresse und dieses Konto ausschließlich für die Zwecke seiner beruflichen Pflichten verwenden, um miteinander in Kontakt zu bleiben oder um mit Kunden, anderen Personen und Organisationen im Namen des Arbeitgebers zu korrespondieren.

35. Der Mitarbeiter darf das E-Mail-Konto nicht für persönliche Zwecke nutzen und keine persönliche Post in dem Konto speichern.

36. Der Arbeitgeber hat das Recht, den gesamten Inhalt und die Nutzung des E-Mail-Kontos regelmäßig - alle 3 Monate - zu überprüfen, und die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse des Arbeitgebers. Zweck der Überwachung ist es, die Einhaltung der Bestimmungen des Arbeitgebers zur Nutzung des E-Mail-Kontos zu überprüfen und die Pflichten des Arbeitnehmers zu kontrollieren (Artikel 8 und 52 des Arbeitsgesetzes).

37. Der Leiter des Arbeitgebers oder die Person, die die Rechte des Arbeitgebers ausübt, ist zur Kontrolle und Verwaltung der Daten befugt.

38. Wenn die Umstände der Inspektion dies nicht ausschließen, muss sichergestellt werden, dass der Arbeitnehmer während der Inspektion anwesend ist.

39. Vor der Kontrolle muss der Arbeitnehmer über das Interesse des Arbeitgebers an der Kontrolle informiert werden, darüber, wer auf Seiten des Arbeitgebers die Kontrolle durchführen darf, - über die Regeln, nach denen die Kontrolle durchgeführt werden darf (Einhaltung des Grundsatzes der schrittweisen Annäherung) und über das einzuhaltende Verfahren, - über die Rechte und Rechtsmittel des Arbeitnehmers in Bezug auf die Verarbeitung von Daten im Zusammenhang mit der Kontrolle des E-Mail-Kontos.

40. Bei der Überprüfung sollte der Grundsatz der Stufigkeit angewandt werden, so dass die Adresse und der Betreff der E-Mail die primäre Grundlage für die Feststellung sein sollten, dass sie mit den beruflichen Aufgaben des Mitarbeiters zusammenhängt und nicht persönlich ist. Der Inhalt von nicht-persönlichen E-Mails kann vom Arbeitgeber ohne Einschränkung geprüft werden.

41. Wenn entgegen den Bestimmungen dieser Richtlinie festgestellt werden kann, dass der Mitarbeiter das E-Mail-Konto für persönliche Zwecke genutzt hat, muss der Mitarbeiter aufgefordert werden, die personenbezogenen Daten unverzüglich zu löschen. Bei Abwesenheit oder Nicht-Kooperation des Mitarbeiters werden die personenbezogenen Daten nach Überprüfung durch den Arbeitgeber gelöscht. Die Nutzung des E-Mail-Kontos unter Verstoß gegen diese Richtlinie kann dazu führen, dass der Arbeitgeber arbeitsrechtliche Schritte gegen den Mitarbeiter einleitet.

42. Der Mitarbeiter kann die Rechte ausüben, die in dem Abschnitt dieser Richtlinie über die Rechte der betroffenen Personen in Bezug auf die Verarbeitung von Daten, die die Kontrolle eines E-Mail-Kontos beinhalten, dargelegt sind.

Datenverarbeitung im Zusammenhang mit der Steuerung von Computer, Laptop, Tablet

43. Der Computer, der Laptop und das Tablet, die der für die Verarbeitung Verantwortliche dem Mitarbeiter zu Arbeitszwecken zur Verfügung stellt, dürfen von diesem nur für die Erfüllung seiner beruflichen Pflichten verwendet werden. Der für die Verarbeitung Verantwortliche verbietet die private Nutzung dieser Geräte, der Mitarbeiter darf auf diesen Geräten keine persönlichen Daten oder Korrespondenz verwalten oder speichern. Der Arbeitgeber kann die auf diesen Geräten gespeicherten Daten überwachen. Die Kontrolle dieser Geräte durch den Arbeitgeber und die damit verbundenen Rechtsfolgen richten sich nach den Bestimmungen des vorstehenden § 9.

Datenverarbeitung im Zusammenhang mit der Überwachung der Internetnutzung am Arbeitsplatz

44. Die Mitarbeiter dürfen nur auf Websites zugreifen, die mit ihren Aufgaben in Zusammenhang stehen, und der Arbeitgeber verbietet die private Nutzung des Internets am Arbeitsplatz.

45. Der für die Verarbeitung Verantwortliche ist der Inhaber der Internetregistrierungen, die im Namen des für die Verarbeitung Verantwortlichen als Arbeitsaufgabe durchgeführt werden, und die Registrierung muss eine Kennung und ein Passwort verwenden, die auf den für die Verarbeitung Verantwortlichen verweisen. Wenn für die Registrierung auch die Angabe von personenbezogenen Daten erforderlich ist, veranlasst der für die Verarbeitung Verantwortliche die Löschung dieser Daten bei Beendigung des Arbeitsverhältnisses.

46. Die Nutzung des Internets am Arbeitsplatz durch die Arbeitnehmer kann vom Arbeitgeber überwacht werden. Die entsprechenden Bestimmungen und Rechtsfolgen sind in Artikel 9 dargelegt.

Datenverarbeitung im Zusammenhang mit der Kontrolle der Nutzung von Firmenhandys

47. Ihr Arbeitgeber erlaubt Ihnen, Ihr Firmenhandy für private Zwecke zu nutzen.

48. Arbeitnehmer müssen ihrem Arbeitgeber melden, wenn sie ihr Firmenhandy für private Zwecke nutzen. In diesem Fall kann der Arbeitgeber eine Kontrolle durchführen, indem er vom Telefondienstanbieter eine Anrufliste anfordert und den Arbeitnehmer bittet, die angerufenen Nummern auf dem Dokument unkenntlich zu machen, falls es sich um private Anrufe handelt.

49. Im Übrigen gelten für die Kontrolle und ihre Folgen die Bestimmungen von § 9.

Datenverwaltung in Bezug auf den Eintritt und Austritt aus dem Unternehmen

50. Wenn ein (nicht elektronisches) Zugangskontrollsystem verwendet wird, müssen Informationen über die Identität des für die Verarbeitung Verantwortlichen und die Art und Weise, wie die Daten verarbeitet werden, bereitgestellt werden.

51. Umfang der verarbeiteten personenbezogenen Daten: Name, Adresse, Kfz-Kennzeichen, Ein- und Ausreisezeit der natürlichen Person.

52. Rechtsgrundlage für die Verarbeitung: berechtigte Interessen des Arbeitgebers.

53. Die Zwecke der Verarbeitung personenbezogener Daten sind: Vermögensschutz, Vertragserfüllung, Überwachung der Verpflichtungen der Mitarbeiter.

54. Empfänger von personenbezogenen Daten und Kategorien von Empfängern: Führungskräfte, die berechtigt sind, die Rechte des Arbeitgebers bei der verantwortlichen Stelle auszuüben, Mitarbeiter des Sicherheitsbeauftragten der verantwortlichen Stelle als Datenverarbeiter.

55. Dauer der Verarbeitung von personenbezogenen Daten: 6 Monate.

Datenverarbeitung in Bezug auf die Videoüberwachung am Arbeitsplatz

56. Zum Schutz des menschlichen Lebens, der körperlichen Unversehrtheit, der persönlichen Freiheit, von Geschäftsgeheimnissen und zum Schutz von Eigentum verwendet unser für die Verarbeitung Verantwortlicher elektronische Überwachungssysteme an seinem Hauptsitz, in seinen Geschäftsräumen und in Räumlichkeiten, die Kunden offenstehen, die auch eine direkte Beobachtung oder Aufzeichnung und Speicherung von Bildern, Ton oder Bild und Ton ermöglichen, und daher gilt auch das von der Kamera aufgezeichnete Verhalten der betroffenen Person als personenbezogene Daten.

57. Die Rechtsgrundlage für diese Verarbeitung sind die berechtigten Interessen des Arbeitgebers und die Einwilligung der betroffenen Person.

58. Informationen über die Tatsache, dass in einem bestimmten Bereich ein elektronisches Überwachungssystem eingesetzt wird, müssen an einer gut sichtbaren und lesbaren Stelle angebracht werden, und zwar so, dass Dritte, die den Bereich betreten möchten, davon Kenntnis nehmen können. Die Informationen müssen für jede Kamera angegeben werden. Diese Informationen umfassen auch Angaben über die Tatsache der Überwachung durch das elektronische Vermögensschutzsystem, den Zweck der Aufzeichnung und Speicherung von Bild- und Tonaufnahmen personenbezogener Daten, die durch das System aufgezeichnet werden, die Rechtsgrundlage für die Verarbeitung, den Ort, an dem die Aufzeichnung gespeichert wird, die Dauer der Speicherung, die Identität der Person, die das System nutzt (der Betreiber), die Personen, die zum Zugriff auf die Daten berechtigt sind, die Datensicherheitsmaßnahmen im Zusammenhang mit der Speicherung der Aufzeichnung sowie Informationen über die Rechte der betroffenen Personen und die Verfahren zu deren Ausübung. Ein Muster für die Informationen ist in Anhang 5 des Kodexes enthalten.

59. Bild- und Tonaufnahmen von Dritten (Kunden, Besuchern, Gästen), die den überwachten Bereich betreten, können mit deren Zustimmung gemacht und verarbeitet werden. Die Einwilligung kann auch durch einen Impuls gegeben werden. Insbesondere gilt es als Anstoß, wenn eine natürliche Person den überwachten Bereich betritt, obwohl sie über die Nutzung des dort installierten elektronischen Überwachungssystems informiert ist oder darüber aufgeklärt wurde.

60. Aufgezeichnetes Filmmaterial kann für maximal 3 (drei) Arbeitstage aufbewahrt werden, wenn keine Verwendung erfolgt. Eine Verwendung liegt vor, wenn die aufgezeichneten Bild-, Ton- oder Bild- und Tonaufnahmen sowie andere personenbezogene Daten als Beweismittel in gerichtlichen oder anderen offiziellen Verfahren verwendet werden sollen.

61. Maßnahmen zur Datensicherheit:

1. der Monitor zum Betrachten und Überprüfen der Bilder muss so positioniert sein, dass er während der Ausstrahlung der Bilder nicht von Personen eingesehen werden kann, die nicht volljährig sind.
2. Die Überwachung und Überprüfung gespeicherter Bilder darf nur zu dem Zweck erfolgen, rechtsverletzende Handlungen aufzudecken und die notwendigen Maßnahmen zu deren Unterbindung einzuleiten.
3. Die von den Kameras übertragenen Bilder können von keinem anderen Gerät als der zentralen Aufnahmeeinheit aufgezeichnet werden.
4. Aufnahmemedien müssen an einem verschlossenen Ort aufbewahrt werden.
5. Der Zugriff auf die gespeicherten Bilder darf nur auf sichere Weise und so erfolgen, dass die Identität des für die Verarbeitung Verantwortlichen festgestellt werden kann.
6. Die Überprüfung und Sicherung der gespeicherten Bilddaten muss dokumentiert werden.
7. Wenn der Grund für die Beendigung des Rechts nicht mehr gültig ist, muss der Zugriff auf die gespeicherten Bilddaten sofort beendet werden.
8. Auf einer separaten Festplatte im Rekorder laufen das Betriebssystem und die
9. aufgezeichnete Aufnahmen. Die Aufnahmen werden nicht separat gesichert.
10. Kennzeichnung der Aufzeichnung der Tat nach der Aufdeckung der Straftat
11. und ergreifen Sie unverzüglich die erforderlichen Verwaltungsmaßnahmen
12. und informieren Sie die Behörde darüber, dass die Handlung aufgezeichnet wurde.

62. Eine Person, deren Recht oder berechtigtes Interesse durch die Aufzeichnung des Bildes, des Tons oder der Videoaufzeichnung beeinträchtigt wird, kann innerhalb von drei Arbeitstagen nach der Aufzeichnung des Bildes, des Tons oder der Videoaufzeichnung verlangen, dass die Daten von dem für die Verarbeitung Verantwortlichen nicht vernichtet oder gelöscht werden, indem sie ihr Recht oder ihr berechtigtes Interesse nachweist.

63. Ein elektronisches Überwachungssystem darf nicht in Räumlichkeiten eingesetzt werden, in denen eine solche Überwachung die Menschenwürde verletzen könnte, insbesondere in Umkleideräumen, Duschen, Toiletten oder beispielsweise in einem Arztzimmer oder dem angrenzenden Wartezimmer sowie in Räumlichkeiten, die für die Pausen der Arbeitnehmer bestimmt sind.

64. Wenn sich niemand auf dem Gelände des Arbeitsplatzes aufhalten darf, insbesondere außerhalb der Arbeitszeiten oder an Feiertagen, kann der gesamte Arbeitsplatz (z. B. Umkleideräume, Toiletten, Pausenräume) überwacht werden.

65. Zusätzlich zu den gesetzlich Berechtigten können die vom elektronischen Überwachungssystem aufgezeichneten Daten vom Betriebspersonal, dem Leiter und dem stellvertretenden Leiter des Arbeitgebers sowie dem Leiter des Arbeitsplatzes im überwachten Bereich eingesehen werden, um Verstöße aufzudecken und die Funktionsweise des Systems zu überprüfen.

KAPITEL IV

VERTRAGSBEZOGENE DATENVERARBEITUNG

Verwaltung von Auftragnehmerdaten - Registrierung von Kunden und Lieferanten

1. Der für die Verarbeitung Verantwortliche verarbeitet zum Zwecke der Vertragserfüllung, des Abschlusses, der Erfüllung, der Beendigung oder der Gewährung eines vertraglichen Rabatts den Namen, den Namen der mit ihm als Käufer oder Lieferant kontrahierten natürlichen Person, den Namen der natürlichen Person, den Geburtsnamen, das Geburtsdatum, den Namen der Mutter, die Adresse, die Steueridentifikationsnummer, die Steuernummer, die Nummer des Personalausweises des Unternehmers oder Selbstständigen, die Nummer des Personalausweises, Adresse, Adresse des Firmensitzes, Adresse der Niederlassung, Telefonnummer, E-Mail-Adresse, Website-Adresse, Bankkontonummer, Kundennummer (Kundennummer, Auftragsnummer), Online-Kennung (Liste der Kunden, Lieferanten, Listen der Vielkäufer), Diese Verarbeitung wird auch dann als rechtmäßig angesehen, wenn die Verarbeitung erforderlich ist, um auf Antrag der betroffenen Person vor Vertragsabschluss Maßnahmen zu ergreifen. Empfänger der personenbezogenen Daten: Mitarbeiter des für die Verarbeitung Verantwortlichen, die Aufgaben im Bereich der Kundenbetreuung wahrnehmen, Mitarbeiter, die Aufgaben in den Bereichen Buchhaltung und Steuern wahrnehmen, sowie Datenverarbeiter. Dauer der Speicherung von personenbezogenen Daten: 8 Jahre nach Beendigung des Vertrags.

2. Die betroffene natürliche Person muss vor Beginn der Verarbeitung darüber informiert werden, dass die Verarbeitung auf der Erfüllung eines Vertrags beruht, was im Vertrag angegeben werden kann. Die betroffene Person muss über die Übermittlung ihrer personenbezogenen Daten an einen Auftragsverarbeiter informiert werden. Der Text der Datenverarbeitungsklausel in Bezug auf einen Vertrag mit einer natürlichen Person ist in der vorliegenden Anhang Nr. enthalten.

Kontaktdaten von Vertretern natürlicher Personen von juristischen Personen, Kunden, Käufern, Lieferanten

3. Der Umfang der verarbeiteten personenbezogenen Daten: Name, Adresse, Telefonnummer, E-Mail-Adresse, Online-Kennung der natürlichen Person.

4. Zweck der Verarbeitung personenbezogener Daten: Erfüllung eines Vertrags mit einem juristischen Partner des für die Datenverarbeitung Verantwortlichen, Geschäftsbeziehungen, Rechtsgrundlage: Einwilligung der betroffenen Person.

5. Empfänger oder Kategorien von Empfängern personenbezogener Daten: Mitarbeiter des für die Verarbeitung Verantwortlichen, die Kundendienstaufgaben wahrnehmen.

6. Dauer der Speicherung personenbezogener Daten: 5 Jahre nach Beendigung der Geschäftsbeziehung oder der Eigenschaft der betroffenen Person als Vertreter.

7. Das Muster des Datenerhebungsformulars in dieser Verordnung Anhang Nr. enthalten. Der Mitarbeiter, der mit dem Kunden, Käufer oder Lieferanten in Kontakt steht, muss diese Erklärung dem Betroffenen vorlegen und ihn durch Unterzeichnung der Erklärung um seine Zustimmung zur Verarbeitung seiner personenbezogenen Daten bitten. Die Erklärung wird für die Dauer der Verarbeitung aufbewahrt.

Verwaltung der Besucherdaten auf der Website des Controllers

(Informationen über die Verwendung von Cookies)

8. Ein Cookie ist ein Datensatz, den die besuchte Website an den Browser des Besuchers sendet (in Form eines variablen Namenswerts), damit dieser ihn speichern und später seinen Inhalt auf derselben Website laden kann.

9. Die Speicherung von Daten auf dem elektronischen Kommunikationsendgerät eines Nutzers oder der Zugriff auf dort gespeicherte Daten darf nur auf der Grundlage der eindeutigen und vollständigen Zustimmung des Nutzers erfolgen, einschließlich des Zwecks der Verarbeitung (Gesetz C von 2003, § 155/4/). Auf dieser Grundlage muss dem Besucher beim ersten Besuch der Website des für die Verarbeitung Verantwortlichen eine kurze Zusammenfassung über die Verwendung von Cookies und ein Link zu den vollständigen verfügbaren Informationen gegeben werden (Informationsblatt zur Datenverwaltung wie in Anhang 2). Mit diesen Informationen stellt der für die Datenverarbeitung Verantwortliche sicher, dass der Besucher der Website vor und jederzeit während der Nutzung der Dienste der Informationsgesellschaft der Website darüber informiert werden kann, zu welchen Zwecken der für die Datenverarbeitung Verantwortliche welche Arten von Daten verarbeitet, einschließlich der Verarbeitung von Daten, die nicht direkt mit dem Nutzer in Verbindung gebracht werden können.

10. Gemäß Artikel 13/A (3) des Gesetzes CVIII von 2001 über bestimmte Aspekte der Dienste des elektronischen Geschäftsverkehrs und der Informationsgesellschaft (Elkertv.) kann der Diensteanbieter personenbezogene Daten verarbeiten, die für die Erbringung des Dienstes technisch unerlässlich sind. Im Übrigen ist der Diensteanbieter verpflichtet, die für die Erbringung des Dienstes der Informationsgesellschaft eingesetzten Mittel so auszuwählen und zu verwenden, dass personenbezogene Daten nur dann verarbeitet werden, wenn dies für die Erbringung des Dienstes und für die Erfüllung der anderen in diesem Gesetz genannten Zwecke unbedingt erforderlich ist, in diesem Fall jedoch nur im erforderlichen Umfang und für die erforderliche Dauer.

Registrierung auf der Website des Data Controller

11. Auf der Website kann die natürliche Person, die sich registriert, durch Ankreuzen des entsprechenden Kästchens ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben. Es ist verboten, das Kästchen im Voraus anzukreuzen.

12. Der Umfang der personenbezogenen Daten, die verarbeitet werden können: Name (Nachname, Vorname), Adresse, Telefonnummer, E-Mail-Adresse, Rechnungsadresse, Postanschrift und Name der natürlichen Person, das Foto, das für die Ausführung von Bestellungen im Webshop erforderlich ist.

13. Zweck der Verarbeitung der personenbezogenen Daten:

1. die Bereitstellung von Dienstleistungen auf der Website
2. Sie per E-Mail, Telefon, SMS und Post zu kontaktieren.
3. Werbesendungen können elektronisch und per Post verschickt werden
4. Analyse der Nutzung der Website.

14. Die Rechtsgrundlage für die Verarbeitung ist die Einwilligung der betroffenen Person.

15. Die Empfänger oder Kategorien von Empfängern personenbezogener Daten: Mitarbeiter des für die Verarbeitung Verantwortlichen, die Aufgaben im Zusammenhang mit der Kundenbetreuung und Marketingaktivitäten wahrnehmen, Mitarbeiter des IT-Dienstleisters des für die Verarbeitung Verantwortlichen, die als Datenverarbeiter Hosting-Dienste anbieten.

16. Dauer der Speicherung personenbezogener Daten: bis die Registrierung/der Dienst aktiv ist oder bis die Einwilligung der betroffenen Person zurückgezogen wird (Antrag auf Löschung).

17. Wenn die betroffene Person alle oder einen Teil der Daten, die für die Registrierung oder den Kauf im Online-Shop erforderlich sind, zur Verfügung stellt, aber die Registrierung nicht abschließt, speichert der für die Verarbeitung Verantwortliche die zur Verfügung gestellten Daten für maximal 60 Tage, danach werden sie unwiderruflich gelöscht.

Datenverarbeitung im Zusammenhang mit dem Newsletter-Service 

18. Die natürliche Person, die sich auf der Website für den Newsletter-Dienst anmeldet, kann durch Ankreuzen des entsprechenden Kästchens ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben. Es ist verboten, das Kästchen im Voraus anzukreuzen. Bei der Anmeldung muss ein Link zum Datenschutzhinweis (Anhang 2) angegeben werden. Die betroffene Person kann den Newsletter jederzeit abbestellen, indem sie die Anwendung "Abbestellen" verwendet oder eine schriftliche Erklärung abgibt oder eine E-Mail schickt, was als Widerruf der Einwilligung gilt. In diesem Fall werden alle Daten des Abmeldenden unverzüglich gelöscht.

19. Der Umfang der verarbeiteten personenbezogenen Daten: Name der natürlichen Person (Nachname, Vorname), E-Mail-Adresse.

20. Zweck der Verarbeitung der personenbezogenen Daten:

1. Zusendung von Newslettern über die Produkte und Dienstleistungen des für die Datenverarbeitung Verantwortlichen
2. Versenden von Werbematerial

21. Rechtsgrundlage für die Verarbeitung: Zustimmung der betroffenen Person.

22. Empfänger und Kategorien von Empfängern personenbezogener Daten: Mitarbeiter des für die Verarbeitung Verantwortlichen, die Aufgaben im Zusammenhang mit der Kundenbetreuung und Marketingaktivitäten wahrnehmen, Mitarbeiter des IT-Dienstleisters des für die Verarbeitung Verantwortlichen als Datenverarbeiter zum Zwecke der Bereitstellung von Hosting-Diensten.

23. Dauer der Speicherung personenbezogener Daten: bis zur Aufrechterhaltung des Newsletter-Dienstes oder bis zum Widerruf der Einwilligung der betroffenen Person (Antrag auf Löschung).

Datenverarbeitung im Webshop des Data Controller

24. Ein Kauf in einem von dem für die Verarbeitung Verantwortlichen betriebenen Webshop gilt als Vertrag unter Berücksichtigung von Artikel 13/A des Gesetzes CVIII von 2001 über bestimmte Aspekte der Dienstleistungen des elektronischen Geschäftsverkehrs und der Informationsgesellschaft sowie des Regierungsdekrets 45/2014 (26.II.) über die Modalitäten der Verträge zwischen Verbrauchern und Unternehmen.

25. Der für die Verarbeitung Verantwortliche kann als Dienstleister die natürlichen persönlichen Identifikationsdaten und die Adresse des Kunden, der sich im Webshop registriert, zum Zwecke der Erstellung eines Vertrags über die Erbringung von Diensten der Informationsgesellschaft, der Festlegung des Inhalts, seiner Änderung, der Überwachung seiner Erfüllung, der Fakturierung der sich daraus ergebenden Gebühren und der Geltendmachung von damit verbundenen Ansprüchen gemäß Paragraph 13/A(1) des Gesetzes CVIII des Jahres sowie die Telefonnummer, die E-Mail-Adresse, die Bankkontonummer, die Online-Kennung in Übereinstimmung mit der Einwilligung verarbeiten.

26. Der für die Verarbeitung Verantwortliche kann gemäß Artikel 13/A(2) des Gesetzes CVIII von 2007 zu Abrechnungszwecken personenbezogene Daten in Bezug auf die Nutzung von Diensten der Informationsgesellschaft, die Adresse, die Lieferadresse sowie Daten in Bezug auf Zeitpunkt, Dauer und Ort der Nutzung des Dienstes verarbeiten.

27. Empfänger und Kategorien von Empfängern personenbezogener Daten: Mitarbeiter des für die Verarbeitung Verantwortlichen, die Aufgaben im Zusammenhang mit Kundenservice, Zahlung, Transport, Marketingaktivitäten wahrnehmen, als Datenverarbeiter, Mitarbeiter des Unternehmens, das steuerliche und buchhalterische Aufgaben des für die Verarbeitung Verantwortlichen wahrnimmt, zum Zweck der Erfüllung steuerlicher und buchhalterischer Pflichten, Mitarbeiter des IT-Dienstleisters des für die Verarbeitung Verantwortlichen zum Zweck der Erfüllung von Hosting-Diensten, Mitarbeiter des Kurierdienstes zum Zweck der Lieferung von Daten (Name, Adresse, Telefonnummer).

28. Dauer der Verarbeitung personenbezogener Daten: bis zur Beendigung der Registrierung/Dienstleistung oder bis zum Widerruf der Einwilligung der betroffenen Person (Antrag auf Löschung), im Falle eines Kaufs bis zum Ablauf von 6 Jahren nach dem Jahr des Kaufs.

29. Ein Link zu den Datenschutzbestimmungen (Anhang 2) muss beim Einkauf im Online-Shop zur Verfügung gestellt werden.

Datenverarbeitung für Direktmarketingzwecke

30. Sofern kein gesondertes Gesetz etwas anderes vorsieht, darf Werbung einer natürlichen Person als Empfänger der Werbung durch direkte Aufforderung, insbesondere durch elektronische Post oder andere gleichwertige Mittel der individuellen Kommunikation, nur dann übermittelt werden, wenn der Empfänger der Werbung zuvor seine eindeutige und ausdrückliche Zustimmung gegeben hat, mit Ausnahme der Bestimmungen des Gesetzes XLVIII von 2008.

31. Der Umfang der personenbezogenen Daten, die der für die Datenverarbeitung Verantwortliche zum Zwecke von Werbemailing-Anfragen verarbeiten darf: Name, Adresse, Telefonnummer, E-Mail-Adresse, Online-Kennung der natürlichen Person.

32. Der Zweck der Verarbeitung personenbezogener Daten ist die Durchführung von Direktmarketing-Aktivitäten im Zusammenhang mit den Aktivitäten des für die Datenverarbeitung Verantwortlichen, d.h. die regelmäßige oder periodische Zusendung von Werbepublikationen, Newslettern, aktuellen Angeboten in gedruckter (postalischer) oder elektronischer Form (E-Mail) an die bei der Registrierung angegebenen Kontaktdaten.

33. Rechtsgrundlage für die Verarbeitung: Zustimmung der betroffenen Person.

34. Die Empfänger oder Kategorien von Empfängern personenbezogener Daten: Mitarbeiter des für die Datenverarbeitung Verantwortlichen, die Kundendienstaufgaben wahrnehmen, Mitarbeiter des IT-Dienstleisters des für die Datenverarbeitung Verantwortlichen, die als Datenverarbeiter Serverdienste erbringen, Mitarbeiter des Post-/Kurierdienstes im Falle der Lieferung per Post oder Kurierdienst.

35. Dauer der Speicherung personenbezogener Daten: bis zum Widerruf der Zustimmung.

36. Die Zustimmung zur Verarbeitung von Daten für Direktmarketingzwecke wird durch diese Richtlinie geregelt. Datenanforderungsformular wie im Anhang beschrieben anwendbar.

 V.  KAPITEL 2

VERARBEITUNG AUF DER GRUNDLAGE EINER RECHTLICHEN VERPFLICHTUNG

Datenverarbeitung für steuerliche und buchhalterische Verpflichtungen

1. § des Gesetzes von 2000 über die Buchhaltung: Name, Adresse, Bezeichnung der Person oder Organisation, die die Transaktion in Auftrag gegeben hat, Unterschrift der Person, die die Transaktion in Auftrag gegeben hat, und der Person, die die Ausführung des Auftrags bescheinigt, sowie je nach Organisation die Unterschrift des Kontrolleurs; auf den Lagerbestands- und Kassenbelegen die Unterschrift des Empfängers und auf den Gegenscheinen die Unterschrift des Zahlers, und gemäß Gesetz CXVII von 1995 über die Einkommensteuer: die Nummer des Unternehmerausweises, die Nummer des Landwirteausweises, die Steueridentifikationsnummer.

2. Die Aufbewahrungsfrist für personenbezogene Daten beträgt 8 Jahre nach Beendigung des Rechtsverhältnisses, auf das sich die Rechtsgrundlage stützt.

3. Empfänger personenbezogener Daten: Mitarbeiter und Datenverarbeiter des für die Datenverarbeitung Verantwortlichen, die Aufgaben in den Bereichen Steuern, Buchhaltung, Lohnbuchhaltung und Sozialversicherung wahrnehmen.

Verarbeitung von Zahlerdaten

4. Der für die Verarbeitung Verantwortliche verarbeitet die personenbezogenen Daten der betroffenen Personen - Arbeitnehmer, deren Familienangehörige, Angestellte, Empfänger anderer Leistungen -, mit denen er als Zahlstelle (Gesetz 2017:CL über die Steuerordnung (Art.) 7.§ 31.) in Beziehung steht, zum Zwecke der Erfüllung der gesetzlichen Verpflichtungen, der Steuer- und Beitragspflichten, die gesetzlich vorgeschrieben sind (Steuern, Steuervorauszahlungen, Beiträge, Lohnbuchhaltung, Sozialversicherung, Rentenverwaltung). Der Umfang der verarbeiteten Daten ist in Art. In Artikel 50 des Gesetzes werden die verarbeiteten Daten definiert, wobei insbesondere die folgenden Daten hervorgehoben werden: Identifikationsdaten der natürlichen Person (einschließlich früherer Name und Titel), Geschlecht, Staatsangehörigkeit, Steueridentifikationsnummer, Sozialversicherungsnummer (Sozialversicherungsnummer). Wenn die Steuergesetze eine Rechtsfolge vorschreiben, kann der für die Verarbeitung Verantwortliche Daten über die Mitgliedschaft von Arbeitnehmern in der Gesundheitsbranche (§ 40 des Sozialversicherungsgesetzes) und in Gewerkschaften (§ 47(2) b) des Sozialversicherungsgesetzes) für die Zwecke der Steuer- und Beitragspflichten (Lohn- und Gehaltsabrechnung, Sozialversicherungsverwaltung) verarbeiten.

5. Die Aufbewahrungsfrist für personenbezogene Daten beträgt 8 Jahre nach Beendigung des Rechtsverhältnisses, auf das sich die Rechtsgrundlage stützt.

6. Empfänger personenbezogener Daten: Mitarbeiter und Datenverarbeiter des für die Datenverarbeitung Verantwortlichen, die Aufgaben in den Bereichen Steuern, Gehaltsabrechnung, Sozialversicherung (Lohnbuchhaltung) wahrnehmen.

 VI. KAPITEL 2

MASSNAHMEN ZUR DATENSICHERHEIT

Maßnahmen zur Datensicherheit

7. Der für die Verarbeitung Verantwortliche ergreift die technischen und organisatorischen Maßnahmen und legt die Verfahrensregeln fest, die zur Durchsetzung der Verordnung und des Infotv. erforderlich sind, um die Sicherheit der personenbezogenen Daten für alle Zwecke und für alle rechtmäßigen Zwecke zu gewährleisten.

8. Der für die Verarbeitung Verantwortliche ergreift geeignete Maßnahmen, um die Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, Beschädigung, unbefugter Weitergabe oder Zugriff zu schützen.

9. Der Controller stuft personenbezogene Daten als vertraulich ein und behandelt sie vertraulich. Er verpflichtet seine Mitarbeiter zur Vertraulichkeit in Bezug auf die Verarbeitung personenbezogener Daten, wozu die Anhang Nr. Klausel gilt. Der Zugriff auf personenbezogene Daten wird von dem für die Datenverarbeitung Verantwortlichen durch die Festlegung von Berechtigungsstufen eingeschränkt.

10. Der Data Controller schützt die IT-Systeme mit Firewalls und Virenschutz.

11. Die Mitarbeiter des für die Datenverarbeitung Verantwortlichen können ihre eigenen Computer, Datenspeicher und Aufzeichnungsgeräte an die Computer am Arbeitsplatz anschließen.

12. Der für die Verarbeitung Verantwortliche führt die elektronische Datenverarbeitung und -aufzeichnung mit Hilfe eines Computerprogramms durch, das den Anforderungen der Datensicherheit entspricht. Das Programm stellt sicher, dass der Zugriff auf die Daten auf die Personen beschränkt ist, die sie für die Erfüllung ihrer Aufgaben benötigen, und zwar nur für die Zwecke, für die sie bestimmt sind, und unter kontrollierten Bedingungen.

13. Wenn personenbezogene Daten automatisch verarbeitet werden, ergreifen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter zusätzliche Maßnahmen, um sicherzustellen:

1. Unbefugte Dateneingabe zu verhindern;
2. Verhinderung der Nutzung von automatisierten Datenverarbeitungssystemen durch Unbefugte, die Datenübertragungsgeräte benutzen;
3. die Überprüfbarkeit und Bestimmbarkeit der Stellen, an die personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übermittelt wurden oder werden können;
4. die Überprüfbarkeit und Nachvollziehbarkeit, welche personenbezogenen Daten wann und von wem in automatisierte Datenverarbeitungssysteme eingegeben wurden;
5. die Wiederherstellbarkeit der installierten Systeme im Falle eines Ausfalls, und
6. dass Fehler bei der automatischen Verarbeitung gemeldet werden.

14. Der für die Verarbeitung Verantwortliche sorgt für die Überwachung der ein- und ausgehenden Kommunikation mit elektronischen Mitteln, um personenbezogene Daten zu schützen.

15. Die Weitergabe der vom Data Controller verarbeiteten personenbezogenen Daten im Internet ist verboten.

16. Der Besuch von Websites zum Herunterladen von Dateien, Spielen, Chats und sexuellen Dienstleistungen am Arbeitsplatz und auf den Geräten des für die Verarbeitung Verantwortlichen ist streng verboten.

17. Sie dürfen keine nicht autorisierten Programme verwenden, die Sie aus externen Quellen erhalten oder von externen Quellen heruntergeladen haben.

18. Nur die zuständigen Sachbearbeiter haben im Rahmen der Arbeit oder der Bearbeitung Zugang zu den Dokumenten. Dokumente, die Personal-, Lohn-, Beschäftigungs- und andere persönliche Daten enthalten, müssen sicher unter Verschluss gehalten werden.

19. Sorgen Sie für einen angemessenen physischen Schutz der Daten sowie der Geräte und Dokumente, auf denen sie gespeichert sind.

20. Es liegt in der Verantwortung des für die Datenverarbeitung Verantwortlichen, für die sichere Aufbewahrung von Dokumenten mit personenbezogenen Daten zu sorgen, und Papierdokumente müssen in einem Aktenschrank oder einem verschließbaren Schrank aufbewahrt werden.

21. Nach Ablauf der vorgeschriebenen Aufbewahrungsfrist werden die Aufzeichnungen, die personenbezogene Daten enthalten, vernichtet, wenn eine weitere Aufbewahrung nicht gerechtfertigt ist und nachdem die betroffene Person ihre Einwilligung zurückgezogen hat. Die Unterlagen werden auf eine Weise vernichtet, die eine Rekonstruktion unmöglich macht.

KAPITEL VII

UMGANG MIT DATENSCHUTZVERLETZUNGEN

Das Konzept der Verletzung des Schutzes personenbezogener Daten

1. Datenschutzverletzung: eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt; (Artikel 4.12 der Verordnung)

Behandlung und Behebung von Datenschutzvorfällen  

2. Die Vorbeugung und der Umgang mit Datenschutzvorfällen sowie die Einhaltung der entsprechenden gesetzlichen Bestimmungen liegen in der Verantwortung des für die Datenverarbeitung Verantwortlichen.

3. Zugriffe und Zugriffsversuche auf IT-Systeme sollten laufend protokolliert und analysiert werden.

4. Wenn Mitarbeiter des für die Verarbeitung Verantwortlichen, die zur Durchführung von Kontrollen befugt sind, bei der Ausübung ihrer Tätigkeit einen Datenschutzvorfall feststellen, müssen sie unverzüglich den Verantwortlichen des für die Verarbeitung Verantwortlichen informieren.

5. Die Mitarbeiter des für die Verarbeitung Verantwortlichen sind verpflichtet, dem Vorgesetzten des für die Verarbeitung Verantwortlichen oder der Person, die die Rechte des Arbeitgebers ausübt, zu berichten, wenn sie von einem Datenschutzvorfall oder einem Ereignis, das auf einen solchen Vorfall hindeuten könnte, Kenntnis erhalten.

6. Datenschutzverletzungen können an die zentrale E-Mail-Adresse und Telefonnummer des für die Datenverarbeitung Verantwortlichen gemeldet werden, wo Mitarbeiter, Auftragnehmer und betroffene Personen die zugrunde liegenden Ereignisse und Sicherheitslücken melden können.

7. Im Falle einer Benachrichtigung über eine Datenschutzverletzung muss der Manager des für die Verarbeitung Verantwortlichen - unter Einbeziehung des IT-, Finanz- und Betriebsleiters - die Benachrichtigung unverzüglich untersuchen, den Vorfall identifizieren und entscheiden, ob es sich um einen echten Vorfall oder einen falschen Alarm handelt. Dies sollte untersucht und festgestellt werden:
8. die Zeit und den Ort des Vorfalls,
9. eine Beschreibung des Vorfalls, seiner Umstände und seiner Auswirkungen,
10. den Umfang und die Menge der Daten, die durch den Vorfall kompromittiert wurden,
11. den Personenkreis, der von den kompromittierten Daten betroffen ist,
12. eine Beschreibung der Maßnahmen, die zur Bewältigung des Vorfalls ergriffen wurden,
13. eine Beschreibung der Maßnahmen, die ergriffen wurden, um den Schaden zu verhindern, zu beheben oder zu verringern.

8. Im Falle eines Datenschutzverstoßes sollten die betroffenen Systeme, Personen und Daten eingegrenzt und getrennt werden, und es sollte darauf geachtet werden, Beweise dafür zu sammeln und zu sichern, dass der Verstoß stattgefunden hat. Dann kann die Schadensbehebung und die Rückkehr zum rechtmäßigen Betrieb beginnen.

Aufzeichnungen über Datenschutzvorfälle

9. Aufzeichnungen über Datenschutzvorfälle müssen aufbewahrt werden, einschließlich:

1. den Umfang der betroffenen personenbezogenen Daten,
2. den Umfang und die Anzahl der betroffenen Personen, die von der Datenschutzverletzung betroffen sind,
3. das Datum der Datenverletzung,
4. die Umstände und Auswirkungen des Datenschutzverstoßes,
5. die Maßnahmen, die zur Behebung der Datenschutzverletzung ergriffen wurden,
6. andere Daten, die in den Rechtsvorschriften, die die Verarbeitung vorsehen, festgelegt sind.

10. Die Daten über Datenschutzverletzungen im Register müssen 5 Jahre lang aufbewahrt werden.

KAPITEL VIII

DATENSCHUTZ-FOLGENABSCHÄTZUNG UND VORHERIGE KONSULTATION

Datenschutz-Folgenabschätzung und vorherige Konsultation

11. Wenn eine Art der Verarbeitung, insbesondere eine Verarbeitung unter Einsatz neuer Technologien, unter Berücksichtigung ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, führt der für die Verarbeitung Verantwortliche vor der Verarbeitung eine Folgenabschätzung durch, um zu bewerten, wie sich die geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten auswirken werden. Ähnliche Arten von Verarbeitungen, die ähnlich hohe Risiken aufweisen, können im Rahmen einer einzigen Folgenabschätzung bewertet werden.
12. Kommt die Datenschutz-Folgenabschätzung zu dem Schluss, dass die Verarbeitung wahrscheinlich zu einem hohen Risiko führt, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift, konsultiert er die Aufsichtsbehörde, bevor er die personenbezogenen Daten verarbeitet.
13. Die detaillierten Bestimmungen zur Datenschutz-Folgenabschätzung und zur vorherigen Konsultation sind in den Artikeln 35-36 der Verordnung und im Infotv geregelt.

KAPITEL IX

DIE RECHTE DER BETROFFENEN PERSON

Informationen über die Rechte der betroffenen Person

1. Eine kurze Zusammenfassung der Rechte der betroffenen Person:
   1. Transparente Information, Kommunikation und Erleichterung der Ausübung der Rechte der betroffenen Person
   2. Recht auf vorherige Information - wenn personenbezogene Daten von der betroffenen Person erhoben werden
   3. Informationen an die betroffene Person und die ihr zu erteilenden Informationen, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht von der betroffenen Person erhalten hat
   4. Recht auf Auskunft der betroffenen Person
   5. Das Recht auf Berichtigung
   6. Recht auf Löschung ("Recht auf Vergessenwerden")
   7. Recht auf Einschränkung der Verarbeitung
   8. Pflicht zur Meldung der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
   9. Das Recht auf Datenübertragbarkeit
   10. Das Recht auf Protest
   11. Automatisierte Entscheidungsfindung im Einzelfall, einschließlich Profiling
   12. Beschränkungen
   13. Unterrichtung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten
   14. Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen (Recht auf offiziellen Rechtsbehelf)
   15. Recht auf einen wirksamen Rechtsbehelf gegen die Aufsichtsbehörde
   16. Das Recht auf einen wirksamen Rechtsbehelf gegen den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter

2. Ihre Rechte als betroffene Person im Detail:

Transparente Information, Kommunikation und Erleichterung der Ausübung der Rechte der betroffenen Person 

3. Der für die Verarbeitung Verantwortliche stellt der betroffenen Person alle Informationen und Angaben über die Verarbeitung personenbezogener Daten in knapper, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung, insbesondere im Falle von Informationen, die sich an Kinder richten. Die Informationen werden schriftlich oder auf andere Weise, gegebenenfalls auch auf elektronischem Wege, erteilt. Auf Antrag der betroffenen Person können die Informationen auch mündlich erteilt werden, sofern die Identität der betroffenen Person auf andere Weise überprüft wurde.

4. Der für die Verarbeitung Verantwortliche muss die Ausübung der Rechte der betroffenen Person erleichtern.

5. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, über die Maßnahmen, die er aufgrund des Antrags auf Ausübung ihrer Rechte getroffen hat. Diese Frist kann unter den in der Verordnung festgelegten Bedingungen um weitere zwei Monate verlängert werden, worüber die betroffene Person informiert wird.

6. Kommt der für die Verarbeitung Verantwortliche dem Antrag der betroffenen Person nicht nach, so teilt er ihr unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, die Gründe für die Untätigkeit mit und weist sie auf die Möglichkeit hin, eine Beschwerde bei einer Aufsichtsbehörde einzureichen und ihr Recht auf einen gerichtlichen Rechtsbehelf wahrzunehmen.

7. Der für die Verarbeitung Verantwortliche stellt die Informationen sowie die Auskünfte und Maßnahmen zu den Rechten der betroffenen Person unentgeltlich zur Verfügung, kann aber in den in der Verordnung vorgesehenen Fällen eine Gebühr erheben.

8. Die detaillierten Regeln finden Sie in Artikel 12 der Verordnung.

Recht auf vorherige Information - wenn personenbezogene Daten von der betroffenen Person erhoben werden

9. Die betroffene Person hat das Recht, vor Beginn der Verarbeitung über die Fakten und Informationen im Zusammenhang mit der Verarbeitung informiert zu werden. In diesem Zusammenhang ist die betroffene Person zu informieren:

1. die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen und seines Vertreters,
2. die Kontaktdaten des Datenschutzbeauftragten (falls vorhanden),
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, und die Rechtsgrundlage für die Verarbeitung,
4. im Falle einer Verarbeitung auf der Grundlage berechtigter Interessen, die berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten,
5. die Empfänger, an die die personenbezogenen Daten weitergegeben werden, und die Kategorien von Empfängern, falls vorhanden;
6. gegebenenfalls die Tatsache, dass der für die Verarbeitung Verantwortliche beabsichtigt, die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation zu übermitteln.

10. Um eine faire und transparente Verarbeitung zu gewährleisten, muss der für die Verarbeitung Verantwortliche der betroffenen Person die folgenden zusätzlichen Informationen zur Verfügung stellen:

1. die Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
2. das Recht der betroffenen Person, von dem für die Verarbeitung Verantwortlichen Zugang zu den sie betreffenden personenbezogenen Daten zu verlangen, sie zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken und der Verarbeitung dieser personenbezogenen Daten zu widersprechen, sowie das Recht auf Datenübertragbarkeit;
3. im Falle einer Verarbeitung, die auf der Einwilligung der betroffenen Person beruht, das Recht, die Einwilligung jederzeit zu widerrufen, unbeschadet der Rechtmäßigkeit der Verarbeitung, die auf der Grundlage der Einwilligung vor deren Widerruf erfolgte;
4. das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
5. ob die Bereitstellung der personenbezogenen Daten auf einer gesetzlichen oder vertraglichen Verpflichtung beruht oder eine Voraussetzung für den Abschluss eines Vertrages ist, ob die betroffene Person zur Bereitstellung der personenbezogenen Daten verpflichtet ist und welche Folgen die Nichtbereitstellung der Daten haben kann;
6. die Tatsache einer automatisierten Entscheidungsfindung, einschließlich Profiling, und, zumindest in diesen Fällen, die verwendete Logik sowie klare Informationen über die Bedeutung einer solchen Verarbeitung und die voraussichtlichen Folgen für die betroffene Person.

11. Beabsichtigt der für die Verarbeitung Verantwortliche, personenbezogene Daten für einen anderen Zweck als den, für den sie erhoben wurden, weiterzuverarbeiten, muss er die betroffene Person vor der Weiterverarbeitung über diesen anderen Zweck und alle relevanten Zusatzinformationen informieren.

12. Die detaillierten Regeln für das Recht auf Vorabinformation sind in Artikel 13 der Verordnung festgelegt.

Informationen an die betroffene Person und die ihr zu erteilenden Informationen, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht von der betroffenen Person erhalten hat

13. Hat der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht von der betroffenen Person erhalten, so unterrichtet er die betroffene Person spätestens einen Monat, nachdem er die personenbezogenen Daten erhalten hat; werden die personenbezogenen Daten zur Kontaktaufnahme mit der betroffenen Person verwendet, spätestens zum Zeitpunkt der ersten Kontaktaufnahme mit der betroffenen Person; oder, wenn die Daten voraussichtlich an einen anderen Empfänger weitergegeben werden, spätestens zum Zeitpunkt der ersten Weitergabe der personenbezogenen Daten, die im vorigen Punkt beschriebenen Fakten und Informationen, die betroffenen Kategorien personenbezogener Daten und die Quelle der personenbezogenen Daten sowie gegebenenfalls, ob die Daten aus öffentlich zugänglichen Quellen stammen.

14. Weitere Regeln finden Sie unter dem vorhergehenden Punkt (Recht auf vorherige Information).

15. Die genauen Regeln für diese Informationen sind in Artikel 14 der Verordnung festgelegt.

Recht auf Auskunft der betroffenen Person

16. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Rückmeldung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht, und, falls eine solche Verarbeitung stattfindet, das Recht auf Auskunft über die personenbezogenen Daten und die damit zusammenhängenden Informationen, wie sie in den Punkten 2 bis 3 oben beschrieben sind (Artikel 15 der Verordnung).

17. Werden personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt, hat die betroffene Person das Recht, über die geeigneten Garantien für die Übermittlung gemäß Artikel 46 der Verordnung informiert zu werden.

18. Der für die Verarbeitung Verantwortliche muss der betroffenen Person eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen. Für zusätzliche Kopien, die von der betroffenen Person angefordert werden, kann der für die Verarbeitung Verantwortliche eine angemessene Gebühr auf der Grundlage der Verwaltungskosten erheben.

19. Detaillierte Bestimmungen über das Auskunftsrecht der betroffenen Person sind in Artikel 15 der Verordnung festgelegt.

Das Recht auf Berichtigung

20. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen auf Antrag und ohne unangemessene Verzögerung die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

21. Unter Berücksichtigung des Zwecks der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, auch in Form einer ergänzenden Erklärung.

22. Diese Regeln sind in Artikel 16 der Verordnung festgelegt.

Recht auf Löschung ("Recht auf Vergessenwerden")

23. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der für die Verarbeitung Verantwortliche ist verpflichtet, die sie betreffenden personenbezogenen Daten unverzüglich zu löschen, wenn.

1. die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind;
2. die betroffene Person die Einwilligung, auf die sich die Verarbeitung stützt, widerruft und es keine andere Rechtsgrundlage für die Verarbeitung gibt;
3. die betroffene Person widerspricht der Verarbeitung und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor,
4. die personenbezogenen Daten unrechtmäßig verarbeitet worden sind;
5. die personenbezogenen Daten gelöscht werden müssen, um einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats nachzukommen, dem der für die Verarbeitung Verantwortliche unterliegt;
6. Personenbezogene Daten werden im Zusammenhang mit der Bereitstellung von Diensten der Informationsgesellschaft direkt für Kinder erhoben.

24. Das Recht auf Löschung kann nicht ausgeübt werden, wenn die Verarbeitung notwendig ist

1. das Recht auf Meinungs- und Informationsfreiheit auszuüben;
2. zur Erfüllung einer Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
4. zu im öffentlichen Interesse liegenden Archivierungszwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken, wenn das Recht auf Löschung eine solche Verarbeitung wahrscheinlich unmöglich machen oder ernsthaft gefährden würde; oder
5. um rechtliche Ansprüche geltend zu machen, durchzusetzen oder zu verteidigen.

25. Die Einzelheiten des Rechts auf Löschung sind in Artikel 17 der Verordnung festgelegt.

Recht auf Einschränkung der Verarbeitung

26. Ist die Verarbeitung eingeschränkt, so dürfen diese personenbezogenen Daten, abgesehen von ihrer Speicherung, nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

27. Die betroffene Person hat das Recht, auf ihren Antrag hin die Einschränkung der Verarbeitung durch den für die Verarbeitung Verantwortlichen zu erwirken, wenn eine der folgenden Bedingungen erfüllt ist:

1. die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten. In diesem Fall gilt die Einschränkung für den Zeitraum, der erforderlich ist, damit der für die Verarbeitung Verantwortliche die Richtigkeit der personenbezogenen Daten überprüfen kann;
2. die Datenverarbeitung unrechtmäßig ist und die betroffene Person die Löschung der Daten ablehnt und stattdessen die Einschränkung ihrer Verwendung verlangt;
3. der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt; oder
4. die betroffene Person hat gegen die Verarbeitung Widerspruch eingelegt; in diesem Fall gilt die Einschränkung für den Zeitraum, bis festgestellt wird, ob die berechtigten Gründe des für die Verarbeitung Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

28. Die betroffene Person wird im Voraus über die Aufhebung der Einschränkung der Verarbeitung informiert.

29. Die entsprechenden Regeln sind in Artikel 18 der Verordnung festgelegt.

Pflicht zur Meldung der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

30. Der für die Verarbeitung Verantwortliche unterrichtet jeden Empfänger, an den oder mit dem die personenbezogenen Daten weitergegeben wurden, über die Berichtigung, Löschung oder Einschränkung der Verarbeitung, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person auf deren Wunsch über diese Empfänger.

31. Diese Regeln finden Sie in Artikel 19 der Verordnung.

Das Recht auf Datenübertragbarkeit

32. Unter den in der Verordnung festgelegten Bedingungen hat die betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und das Recht, diese Daten einem anderen für die Verarbeitung Verantwortlichen zu übermitteln, ohne dass der für die Verarbeitung Verantwortliche, dem die personenbezogenen Daten bereitgestellt wurden, daran gehindert wird.

1. die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht; und
2. die Verarbeitung erfolgt mit automatisierten Mitteln.

33. Die betroffene Person kann auch die direkte Übermittlung von personenbezogenen Daten zwischen den für die Verarbeitung Verantwortlichen beantragen.

34. Die Ausübung des Rechts auf Datenübertragbarkeit erfolgt unbeschadet des Artikels 7 der Verordnung (Recht auf Löschung ("Recht auf Vergessenwerden"). Das Recht auf Datenübertragbarkeit gilt nicht, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde. Dieses Recht darf sich nicht nachteilig auf die Rechte und Freiheiten anderer auswirken.

35. Die detaillierten Regeln sind in Artikel 20 der Verordnung festgelegt.

Das Recht auf Protest

36. ADie betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund des öffentlichen Interesses, der Erfüllung einer öffentlichen Aufgabe (Artikel 6 Absatz 1 Buchstabe e) oder eines berechtigten Interesses (Artikel 6 Buchstabe f) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. In diesem Fall darf der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

37. Werden personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, so hat die betroffene Person das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten für diese Zwecke Widerspruch einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung, so dürfen die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet werden.

38. Diese Rechte müssen der betroffenen Person spätestens beim ersten Kontakt mit der betroffenen Person ausdrücklich zur Kenntnis gebracht werden, und die Informationen müssen deutlich getrennt von allen anderen Informationen angezeigt werden.

39. Die betroffene Person kann auch von ihrem Recht Gebrauch machen, auf der Grundlage technischer Spezifikationen automatisiert Widerspruch einzulegen.

40. Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, so hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.

Automatisierte Entscheidungsfindung im Einzelfall, einschließlich Profiling

41. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

42. Dieser Anspruch gilt nicht im Falle einer Entscheidung zu:

1. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen erforderlich sind;
2. nach dem für den für die Verarbeitung Verantwortlichen geltenden Recht der Union oder der Mitgliedstaaten zulässig ist, das auch angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht, oder
3. beruht auf der ausdrücklichen Zustimmung der betroffenen Person.

43. In den unter den Buchstaben a) und c) genannten Fällen trifft der für die Verarbeitung Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des für die Verarbeitung Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

44. Weitere Regeln sind in Artikel 22 der Verordnung festgelegt.

Beschränkungen

45. Das für einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter geltende Unionsrecht oder das Recht eines Mitgliedstaats kann den Umfang der Rechte und Pflichten (Artikel 12 bis 22, 34, 5 der Verordnung) durch gesetzgeberische Maßnahmen einschränken, sofern die Einschränkung den wesentlichen Inhalt der Grundrechte und -freiheiten respektiert.

46. Die Bedingungen für diese Einschränkung sind in Artikel 23 der Verordnung festgelegt.

Unterrichtung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten

47. Wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss der für die Verarbeitung Verantwortliche die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren. Diese Information muss die Art der Verletzung des Schutzes personenbezogener Daten klar und deutlich beschreiben und mindestens Folgendes enthalten:

1. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, die weitere Auskünfte erteilen kann;
2. die wahrscheinlichen Folgen der Datenschutzverletzung erklären;
3. die Maßnahmen beschreiben, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung etwaiger negativer Folgen der Verletzung des Schutzes personenbezogener Daten.

48. Die betroffene Person muss nicht informiert werden, wenn eine der folgenden Bedingungen erfüllt ist:
    1. der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen ergriffen hat und diese Maßnahmen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden, insbesondere Maßnahmen wie die Verwendung von Verschlüsselung, die die Daten für Personen, die nicht zum Zugriff auf die personenbezogenen Daten berechtigt sind, unverständlich machen;
    2. der für die Verarbeitung Verantwortliche nach der Verletzung des Schutzes personenbezogener Daten zusätzliche Maßnahmen ergriffen hat, um sicherzustellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person wahrscheinlich nicht mehr besteht;
    3. Informationen einen unverhältnismäßig hohen Aufwand erfordern würden. In solchen Fällen sollten die betroffenen Personen durch öffentlich zugängliche Informationen oder durch eine ähnliche Maßnahme informiert werden, die sicherstellt, dass die betroffenen Personen auf ebenso wirksame Weise informiert werden.

49. Weitere Regeln sind in Artikel 34 der Verordnung festgelegt.

 Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen (Recht auf offiziellen Rechtsbehelf)

50. Die betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Verordnung verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, muss die betroffene Person über den Verfahrensverlauf und das Ergebnis der Beschwerde informieren, einschließlich des Rechts der betroffenen Person auf einen gerichtlichen Rechtsbehelf.

51. Diese Regeln sind in Artikel 77 der Verordnung festgelegt.

Recht auf einen wirksamen Rechtsbehelf gegen die Aufsichtsbehörde

52. Unbeschadet anderer administrativer oder außergerichtlicher Rechtsbehelfe hat jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine sie betreffende rechtsverbindliche Entscheidung der Aufsichtsbehörde.

53. Unbeschadet anderer verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat jede betroffene Person das Recht, einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn die zuständige Aufsichtsbehörde die Beschwerde nicht bearbeitet oder die betroffene Person nicht innerhalb von drei Monaten über die verfahrensmäßigen Entwicklungen im Zusammenhang mit der eingelegten Beschwerde oder über das Ergebnis der Beschwerde unterrichtet.

54. Klagen gegen die Aufsichtsbehörde sind vor den Gerichten des Mitgliedstaats zu erheben, in dem die Aufsichtsbehörde ihren Sitz hat.

55. Wird ein Verfahren gegen eine Entscheidung der Aufsichtsbehörde eingeleitet, zu der der Ausschuss zuvor eine Stellungnahme abgegeben oder eine Entscheidung im Rahmen des Kohärenzverfahrens getroffen hat, muss die Aufsichtsbehörde die Stellungnahme oder Entscheidung an das Gericht weiterleiten.

56. Diese Regeln sind in Artikel 78 der Verordnung festgelegt.

Das Recht auf einen wirksamen Rechtsbehelf gegen den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter

57. Unbeschadet der verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfe, einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde, steht jeder betroffenen Person ein wirksamer gerichtlicher Rechtsbehelf zur Verfügung, wenn sie der Ansicht ist, dass die ihr nach dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

58. Klagen gegen den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter sind bei den Gerichten des Mitgliedstaats zu erheben, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter niedergelassen ist. Diese Verfahren können auch bei den Gerichten des Mitgliedstaats anhängig gemacht werden, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, es sei denn, der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ist eine Behörde eines Mitgliedstaats, die in Ausübung öffentlicher Gewalt handelt.

59. Diese Regeln sind in Artikel 79 der Verordnung festgelegt.

SCHLUSSBESTIMMUNGEN

Maßnahmen zur Bekanntmachung des Kodex

Die Bestimmungen dieser Richtlinie werden allen Mitarbeitern des Data Controller mitgeteilt und sind wesentlicher Bestandteil der Arbeitsverträge aller Mitarbeiter. Die Muster-Arbeitsvertragsklausel in dieser Richtlinie lautet Anhang Nr. enthalten.