Datenschutz

Datenschutzpolitik

1. Zweck

1. Diese Richtlinie definiert Anforderungen, um die Einhaltung von Gesetzen und Vorschriften zu gewährleisten, die für die Sammlung, Nutzung, Verarbeitung und Übertragung personenbezogener Daten durch ATPI in der ganzen Welt gelten.

2. Umfang

2.1 ATPI verpflichtet sich, die geltenden Datenschutzgesetze in den Ländern, in denen das Unternehmen (das “Unternehmen“) tätig ist, einzuhalten. Aufgrund der Unterschiede innerhalb dieser Rechtsordnungen hat das Unternehmen diese Datenschutzrichtlinie verabschiedet, die einen gemeinsamen Kern von Werten, Richtlinien und Verfahren schafft, um eine allgemeine Einhaltung zu erreichen, die (wo zutreffend) durch zusätzliche Anweisungen und Leitlinien ergänzt wird, die in den Rechtsordnungen mit einzigartigen 2 gelten.2 Diese Richtlinie basiert auf der EU-Verordnung 2016/679 und der General Data Protection Regulation (GDPR), die ein robustes allgemeines Modell für den Datenschutz bietet. Das Unternehmen hat außerdem eine konzerninterne Datenübertragungsvereinbarung (Intra Group Data Transfer Agreement, IGDTA) auf der Grundlage der anerkannten EU-Musterklauseln erstellt, die für die weltweite Übermittlung und anschließende Unterverarbeitung von Daten in seinem gesamten globalen Netzwerk von Konzernunternehmen genehmigt werden soll. 2.3 Diese Richtlinie gilt für alle Voll- und Teilzeitbeschäftigten des Unternehmens, die Mitarbeiter von Agenturen sowie alle Lieferanten und Kunden, die personenbezogene Daten vom Unternehmen erhalten, Zugang zu den vom Unternehmen erhobenen oder verarbeiteten personenbezogenen Daten haben oder dem Unternehmen Informationen zur Verfügung stellen, unabhängig vom geografischen Standort. 2.4 Das Unternehmen verpflichtet sich, keine personenbezogenen Daten zu verarbeiten, ohne dass eine anerkannte Rechtsgrundlage für diese Verarbeitung vorliegt. Um die Einhaltung der Datenschutzgesetze zu gewährleisten, wird das Unternehmen bei jeder Datenverarbeitung seinen Status als Datenverantwortlicher oder als Datenverarbeiter, der für einen anderen Datenverantwortlichen handelt, korrekt angeben.

3. Gruppen-Compliance

3.1 Das Daten-Compliance-Programm des Unternehmens wird vom Datenschutzbeauftragten des Unternehmens überwacht, der von lokal ernannten Compliance-Mitarbeitern unterstützt wird, wobei der Datenschutzbeauftragte interne Zuständigkeiten delegieren kann. 3.2 Der Datenschutzbeauftragte setzt die internationale Datenschutzpolitik und -verfahren des Unternehmens sowie das IGDTA um und übernimmt alle durch die Datenschutzgesetze vorgeschriebenen Aufgaben, darunter: 3.2.1 Feststellung, ob aufgrund der Datenverarbeitungsaktivitäten des Unternehmens eine Meldung an eine oder mehrere Datenschutzbehörden erforderlich ist, Vornahme der erforderlichen Meldungen und Aufbewahrung dieser Meldungen 3.2.2 Entwicklung und Umsetzung laufender Programme zur Schulung der Mitarbeiter, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten 3.2.3.2.3 Festlegung (unter Einbeziehung der IT- und Rechtsabteilungen) von Verfahren und Standardvertragsbestimmungen, um die Einhaltung dieser Richtlinie durch Konzernunternehmen, Kunden, Lieferanten und Dritte, die personenbezogene Daten vom Unternehmen erhalten, Zugang zu den vom Unternehmen erhobenen oder verarbeiteten personenbezogenen Daten haben oder dem Unternehmen Informationen zur Verfügung stellen, unabhängig vom geografischen Standort zu erreichen. 3.2.4 Einrichtung von Mechanismen zur regelmäßigen Überprüfung der Einhaltung dieser Richtlinie, der Durchführungsverfahren und der anwendbaren Vorschriften. 3.2.5 Einrichtung, Pflege und Betrieb eines Systems zur unverzüglichen und angemessenen Beantwortung von Anträgen der betroffenen Personen auf Ausübung ihrer Rechte. 3.2.6 Einrichtung, Pflege und Betrieb eines Systems zur unverzüglichen und angemessenen Unterrichtung der zuständigen Behörden und/oder der betroffenen Personen über den Verlust von personenbezogenen Daten. 3.2.7 Information der Führungskräfte, leitenden Angestellten und Direktoren des Unternehmens über die potenziellen unternehmerischen und persönlichen zivil- und strafrechtlichen Strafen, die gegen das Unternehmen und/oder seine Mitarbeiter bei Verstößen gegen den geltenden Datenschutz verhängt werden können 3.2.8 Sicherstellung, dass die Risikomanagementpläne in Bezug auf den Datenschutz wirksam umgesetzt werden und 3.2.9 Sicherstellung, dass dem Vorstand, der Geschäftsleitung und anderen Personen, die mit dem Datenschutz befasst sind, angemessene Sicherheit hinsichtlich der Wirksamkeit der Datenschutzverfahren und -prüfungen gegeben wird

4. Grundsätze des Datenschutzes

4.1 Das Unternehmen hat die folgenden Grundsätze für die Nutzung, Erfassung, Verarbeitung und Übermittlung personenbezogener Daten angenommen, sofern nicht ausdrücklich in dieser Richtlinie oder durch geltende Gesetze vorgeschrieben: 4.1.1 Personenbezogene Daten werden nur nach Treu und Glauben verarbeitet und 4.1.2 Personenbezogene Daten werden nur für festgelegte, eindeutige, rechtmäßige und legitime Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 4.1.3 Personenbezogene Daten müssen den Zwecken, für die sie erhoben werden, entsprechen, dafür erheblich sein und dürfen nicht darüber hinausgehen und/oder 4.1.4 Personenbezogene Daten dürfen nur erhoben oder verarbeitet werden, wenn eine ordnungsgemäße Rechtsgrundlage für die Verarbeitung vorliegt. 4.2 Es werden geeignete physische, technische und verfahrenstechnische Maßnahmen getroffen, um: 4.2.1 die unbefugte oder unrechtmäßige Erhebung, Verarbeitung und Übermittlung personenbezogener Daten zu verhindern und/oder zu identifizieren und 4.2.2 den versehentlichen Verlust oder die Zerstörung oder Beschädigung personenbezogener Daten zu verhindern

5. Übertragungen an Dritte

5.1 Personenbezogene Daten dürfen nicht an eine andere Einheit, ein anderes Land oder ein anderes Gebiet übermittelt werden, es sei denn, es wurden angemessene und geeignete Schritte unternommen, um das erforderliche Maß an Daten festzulegen und aufrechtzuerhalten. 5.2 Personenbezogene Daten dürfen nur aus Gründen, die mit den Zwecken, für die die Daten ursprünglich erhoben wurden, übereinstimmen, oder für andere gesetzlich zulässige Zwecke an Dritte weitergegeben werden. 5.3 Alle Übermittlungen personenbezogener Daten an Dritte zur Weiterverarbeitung unterliegen schriftlichen Vereinbarungen, einer Rechtsgrundlage für die Übermittlung oder gemäß dem IGDTA des Unternehmens für interne Datenübermittlungen. 5.4 Personenbezogene Daten aus der EU (und dem Vereinigten Königreich) dürfen nicht in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, es sei denn, die Übermittlung erfolgt in ein Land oder Gebiet, das von der EU als Land mit einem angemessenen Datensicherheitsniveau anerkannt wurde, oder in die Vereinigten Staaten gemäß dem US Data Privacy Framework. 5.5 Vorbehaltlich der oben genannten Bestimmungen können personenbezogene Daten übermittelt werden, wenn einer der folgenden Punkte zutrifft: 5.5.1 Die betroffene Person hat der vorgeschlagenen Übermittlung zugestimmt; 5.5.2 die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person (entweder persönlich oder über ihr Arbeitgeberunternehmen als Kunde des Unternehmens) und dem Unternehmen erforderlich; 5.5.3 die Übermittlung ist für den Abschluss oder die Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags zwischen dem Unternehmen und einem Dritten oder dem Arbeitgeber der betroffenen Person erforderlich; 5.5.4 Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich oder gesetzlich vorgeschrieben; 5.5.5 Die Übermittlung ist gesetzlich vorgeschrieben; 5.5.6 Die Übermittlung ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person zu schützen.

6. Verhinderung von nicht konformen IT-Systemen

6.1 Der Chief Information Security Officer (CISO) des Unternehmens richtet ein Verfahren zur Bewertung der Auswirkungen neuer oder bestehender Technologien auf den Datenschutz und die Sicherheit personenbezogener Daten ein. 6.2 Kein neues System oder eine neue Version eines bestehenden Systems darf zur Nutzung bereitgestellt werden, bevor der DSB eine schriftliche Bestätigung des CISO erhalten hat, dass es keine Verletzung des Datenschutzes geben wird.

7. Quellen für persönliche Daten

7.1 Personenbezogene Daten werden nur von der betroffenen Person erhoben, es sei denn, die Art des Geschäftszwecks erfordert die Erhebung der Daten von anderen Personen oder 7.2 Wenn personenbezogene Daten von einer anderen Person als der betroffenen Person erhoben werden, muss die Geschäftseinheit, die die Daten erhebt, eine schriftliche Bestätigung des Datenlieferanten haben, dass es eine rechtmäßige Grundlage für die Verarbeitung und die Übermittlung der personenbezogenen Daten an das Unternehmen gibt.

8. Rechte der betroffenen Person

8.1 Betroffene Personen haben das Recht, Informationen über ihre eigenen persönlichen Daten, die sich im Besitz des Unternehmens befinden, zu erhalten, indem sie eine schriftliche Anfrage in dem Format hiergestellt wird, wobei die Anfrage aufgezeichnet wird. 8.2 Das Unternehmen antwortet auf die oben genannte Anfrage innerhalb von 40 Tagen ab dem Datum der schriftlichen Anfrage oder innerhalb eines kürzeren Zeitraums, wenn die geltenden Datenschutzgesetze dies erfordern. 8.3 Betroffene Personen haben das Recht, von dem Unternehmen die Berichtigung oder Ergänzung fehlerhafter, irreführender, veralteter oder unvollständiger personenbezogener Daten zu verlangen, die über sie gespeichert sind.

9. Sensible Daten (besondere Kategorie)

9.1 Sensible personenbezogene Daten sollten nicht verarbeitet werden, es sei denn: 9.1.1 Eine solche Verarbeitung ist ausdrücklich erlaubt oder gesetzlich vorgeschrieben. 9.1.2 Die betroffene Person willigt ausdrücklich und unmissverständlich ein. 9.1.3 Die betroffene Person ist physisch oder rechtlich nicht in der Lage, ihre Einwilligung zu geben, aber die Verarbeitung ist notwendig, um ein lebenswichtiges Interesse der betroffenen Person zu schützen. Diese Ausnahmeregelung kann z.B. gelten, wenn eine medizinische Notfallversorgung erforderlich ist. 9.1.4 Daten im Zusammenhang mit Straftaten dürfen nur von der Rechtsabteilung oder unter deren Kontrolle verarbeitet werden.

10. Sicherung der Datenqualität

10.1 Personenbezogene Daten dürfen nur für den Zeitraum aufbewahrt werden, der für die zulässigen Zwecke erforderlich ist. Das Unternehmen hat eine Richtlinie zur Datenaufbewahrung erstellt, in der die Fristen für die Löschung der Daten festgelegt sind. 10.2 Personenbezogene Daten werden gelöscht, wenn ihre Speicherung gegen ein Datenschutzgesetz verstößt oder wenn die Kenntnis der Daten für das Unternehmen nicht mehr erforderlich ist, oder auf Wunsch der betroffenen Person.

11. Gruppeninterne Verarbeitung

11.1 Wenn sich das Unternehmen bei seinen Verarbeitungsaktivitäten auf ein anderes Konzernunternehmen stützt, schließt das Unternehmen mit diesem anderen Konzernunternehmen eine Datenübertragungsvereinbarung auf der Grundlage der EU-Musterklauseln ab, um sicherzustellen, dass die Verantwortung für die Daten eindeutig festgelegt wird, da beide Parteien als für die Verarbeitung Verantwortliche angesehen werden können. 11.2 Wenn das andere Konzernunternehmen im Ausland ansässig ist, werden die an der Verarbeitung beteiligten Konzernunternehmen als Datenexporteur bzw. Datenimporteur bezeichnet, obwohl mehr als ein Datenimporteur an der Verarbeitung beteiligt sein kann.

12. Drittverarbeiter.

12.1 Ebenso wählt das Unternehmen in Fällen, in denen es sich bei seinen Verarbeitungsaktivitäten auf Dritte stützt, einen Datenverarbeiter aus, der ausreichende Sicherheitsmaßnahmen bereitstellt und angemessene Schritte unternimmt, um die Einhaltung dieser Maßnahmen zu gewährleisten, und im Falle eines Dritten in den USA, dass dieser auch für das US Data Privacy Framework (früher bekannt als Privacy Shield) registriert ist.

13. Schriftliche Verträge für Drittverarbeiter.

13.1 Das Unternehmen schließt mit jedem Datenverarbeiter einen schriftlichen Vertrag ab, der ihn zur Einhaltung der Datenschutzgesetze und der Sicherheitsanforderungen verpflichtet, die dem Unternehmen durch die lokale Gesetzgebung auferlegt werden.

14. Audits von Drittdatenverarbeitern.

14.1 Im Rahmen des internen Datenaudits des Unternehmens führt das Unternehmen regelmäßige Kontrollen der Verarbeitung durch dritte Datenverarbeiter durch, insbesondere in Bezug auf die Übergabeverfahren für die Daten, vor allem in Bezug auf die Sicherheitsmaßnahmen.

15. Benachrichtigung von Direktoren, Managern und leitenden Angestellten über mögliche Sanktionen bei Nichteinhaltung der Vorschriften

15.1 Der DSB informiert die Direktoren, Manager und anderen Führungskräfte des Unternehmens darüber, dass: 15.1.1 Die Nichteinhaltung der einschlägigen Datenschutzgesetze kann eine straf- und zivilrechtliche Haftung nach sich ziehen, einschließlich Geld- und Freiheitsstrafen sowie Schadensersatzzahlungen; und 15.1.2 Sie können persönlich haftbar gemacht werden, wenn ein Verstoß vom Unternehmen mit ihrer Zustimmung oder Duldung begangen wird oder auf ein Versäumnis ihrerseits zurückzuführen ist.

16. Datensicherheit

16.1 Das Unternehmen hat eine Datensicherheitsrichtlinie eingeführt, nach der es physische, technische und organisatorische Maßnahmen ergreift, um die Sicherheit personenbezogener Daten zu gewährleisten, einschließlich der Verhinderung ihrer Veränderung, ihres Verlusts, ihrer Beschädigung, ihrer unbefugten Verarbeitung oder ihres Zugriffs, unter Berücksichtigung der Art der Daten und der Risiken, denen sie durch menschliches Handeln oder die physische oder natürliche Umgebung ausgesetzt sind. Diese Maßnahmen werden in der Data Security Management Policy dokumentiert, die mindestens jährlich oder bei Bedarf überprüft wird, um wesentliche Änderungen der Sicherheitsvorkehrungen zu berücksichtigen. 16.2 Angemessene Sicherheitsmaßnahmen sollten alle der folgenden Punkte umfassen: 16.2.1 Verhinderung des Zugangs von Unbefugten zu Datenverarbeitungssystemen, in denen sich personenbezogene Daten befinden 16.2.2 Verhinderung des Zugriffs von Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, auf Daten, die über ihren Bedarf hinausgehen und 16.2.3 Sicherstellung, dass personenbezogene Daten bei der elektronischen Übertragung während des Transports oder während der Speicherung auf einem Datenträger nicht gelesen, kopiert, verändert oder entfernt werden können, ohne 16.2.4 Sicherstellung, dass personenbezogene Daten vor unerwünschter Zerstörung geschützt sind oder 16.2.5 Sicherstellung, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können und werden. 16.2.6 Sicherstellen, dass Daten nicht länger aufbewahrt werden, als in der Richtlinie zur Datenaufbewahrung festgelegt, einschließlich der Anforderung, dass an Dritte weitergegebene Daten zurückgegeben oder vernichtet werden.

17. Compliance-Messung.

17.1 Der DSB erstellt einen Zeitplan für ein Audit zur Einhaltung des Datenschutzes für alle Geschäftseinheiten und führt dieses durch. Der DSB erstellt in Zusammenarbeit mit den Geschäftseinheiten einen Plan und einen Zeitplan für die Behebung festgestellter Mängel innerhalb einer festgelegten, angemessenen Frist. 17.2 Jede Geschäftseinheit des Unternehmens überprüft jährlich ihre Praktiken der Datenerhebung, Datenverarbeitung und Datensicherheit und stellt fest, welche personenbezogenen Daten die Geschäftseinheit erhebt, einschließlich derjenigen, die in manuellen Systemen gespeichert sind, die “relevante Ablagesysteme” darstellen. 17.3 Die bei dieser jährlichen Überprüfung gesammelten Informationen werden dem Datenschutzbeauftragten zur Überprüfung und für geeignete Maßnahmen vorgelegt, die unter anderem Folgendes umfassen: 17.3.1 Abgabe von Empfehlungen zur Verbesserung von Richtlinien und Verfahren, um die Einhaltung dieser Richtlinie zu verbessern und 17.3.2 Erfüllung der Anforderungen für die Selbstzertifizierung der Einhaltung bei den lokalen Datenschutzbehörden und der Einhaltung der unternehmenseigenen

18. Umsetzung.

18.1 Diese Richtlinie ist für Mitarbeiter und andere Personen über die Website des Unternehmens zugänglich. 18.2 Diese Richtlinie kann jederzeit überarbeitet werden, mindestens jedoch einmal jährlich, indem die Mitarbeiter über das Compliance-System des Unternehmens und andere Personen über die Website des Unternehmens über wesentliche Änderungen informiert werden.

Nikki Matthews
Chefsyndikus & Datenschutzbeauftragter
Dezember 2024

Anhang A

Glossar

Einwilligung: Die Einwilligung ist “jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass sie betreffende personenbezogene Daten verarbeitet werden”. Die Einwilligung kann jedoch durch eine Reihe von Methoden eingeholt werden. Dazu gehören Klauseln in Arbeitsverträgen, Ankreuzfelder auf Bewerbungs- oder Kaufformularen und Klickfelder auf Online-Formularen, in die persönliche Daten eingegeben werden. In den meisten Ländern der Europäischen Union muss die Zustimmung zur Verarbeitung sensibler personenbezogener Daten klar und unmissverständlich sein. Dies bedeutet im Allgemeinen, dass eine bestimmte Form der aktiven Zustimmung erforderlich ist. Außerhalb der EU wird diese Anforderung manchmal als weniger eindeutig empfunden. Daten: Daten (mit oder ohne Großbuchstaben), wie sie in dieser Datenschutzrichtlinie verwendet werden, sind Informationen, die entweder:

  • mit Hilfe von Geräten verarbeitet wird, die automatisch auf entsprechende Anweisungen hin arbeiten;
  • mit der Absicht aufgezeichnet wird, dass sie mit Hilfe eines solchen Geräts verarbeitet werden soll;
  • als Teil eines relevanten Ablagesystems aufgezeichnet wird oder mit der Absicht, dass es Teil eines relevanten Ablagesystems sein sollte;
  • nicht unter eine der oben genannten Kategorien fällt, aber Teil einer leicht zugänglichen Aufzeichnung über eine Person ist.

Zu den Daten gehören daher alle digitalen Daten von Computern oder automatisierten Geräten, Telefonaufzeichnungen und alle manuellen Informationen, die Teil eines relevanten Ablagesystems sind. Datenverantwortlicher: Ein Datenverantwortlicher ist eine Person, die (allein oder zusammen mit anderen) die Zwecke und die Art und Weise bestimmt, in der persönliche Daten verarbeitet werden oder werden sollen. Im Allgemeinen ist in den meisten Fällen das Unternehmen selbst der Data Controller. Datenexporteur;
Datenexporteur bezeichnet den Datenverantwortlichen oder Datenverarbeiter, der personenbezogene Daten ins Ausland übermittelt. Datenimporteur;
Datenimporteur bezeichnet den für die Datenverarbeitung Verantwortlichen oder den Datenverarbeiter, der zustimmt, vom Datenexporteur personenbezogene Daten zur weiteren Verarbeitung gemäß den Bedingungen dieser Richtlinie und der entsprechenden Datenübertragungsvereinbarung zu erhalten. Datenverarbeiter: Datenverarbeiter bezeichnet jede Person, die kein Angestellter des Datenverantwortlichen ist und die Daten im Auftrag des Datenverantwortlichen verarbeitet. Ein Unternehmen kann ein Datenverarbeiter sein, wenn es in einem Vertrag mit dem Data Controller als solcher definiert ist. Datenschutzbehörde: Eine Einrichtung, die mit dem Schutz von Daten und der Privatsphäre beauftragt ist. Die Behörden haben die Aufgabe, die Informationsrechte sowohl im öffentlichen als auch im privaten Interesse zu wahren. Datenschutzgesetze: Der Data Protection Act 2018 und die General Data Protection Regulation (Verordnung EU 2016/679); alle Datenschutzgesetze außerhalb der EU in den Ländern, in denen ATPI tätig ist; und Electronic Communications (EC Directive) Regulations 2003 und alle Überarbeitungen davon. Datensicherheit: Maßnahmen, die der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter umsetzen müssen, um die Datenschutzgrundsätze durch Design und Voreinstellung einzuhalten und um ein Sicherheitsniveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen ist, wobei der Stand der Technik, die Kosten der Umsetzung und die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung berücksichtigt werden. Betroffene Person: Betroffene Person bedeutet die Person, auf die sich die Daten beziehen. Zu den betroffenen Personen gehören Kunden und Internetnutzer, Personen auf Kontakt-/E-Mail-Listen oder Marketing-Datenbanken, Mitarbeiter, Auftragnehmer und Lieferanten. EU-US-Datenschutzschild: Ein Rahmenwerk, das vom US-Handelsministerium und der Europäischen Kommission geschaffen wurde, um einen transatlantischen Datenschutzaustausch zu kommerziellen Zwecken zu ermöglichen. Der EU-US-Datenschutzschild ermöglicht es Unternehmen aus der EU und den USA, bei der Übermittlung personenbezogener Daten aus der EU in die USA die Datenschutzbestimmungen einzuhalten. Personenbezogene Daten: Personenbezogene Daten sind Daten, die sich auf eine lebende Person beziehen, die anhand dieser Daten oder anhand dieser Daten und anderer Informationen, die sich im Besitz eines Datenverantwortlichen oder eines Datenverarbeiters befinden oder in dessen Besitz gelangen könnten, identifiziert werden kann. Personenbezogene Daten umfassen keine Informationen, die anonymisiert, verschlüsselt oder anderweitig von ihren Identifizierungsmerkmalen befreit wurden, oder Informationen, die öffentlich zugänglich sind, es sei denn, sie werden mit anderen nicht-öffentlichen personenbezogenen Daten kombiniert. Verarbeitung: Die Verarbeitung umfasst eine Vielzahl von Vorgängen im Zusammenhang mit Daten, einschließlich der Beschaffung, Aufzeichnung oder Aufbewahrung der Daten oder der Durchführung von Vorgängen oder einer Reihe von Vorgängen mit den Daten, einschließlich:

  • Organisation, Anpassung oder Veränderung;
  • Offenlegung durch Übermittlung, Verbreitung oder auf andere Weise; und
  • Ausrichtung, Kombination, Sperrung, Löschung oder Zerstörung.

Der Begriff ‘verarbeitet’ ist entsprechend auszulegen. Relevantes Ablagesystem: Unter einem relevanten Ablagesystem versteht man jede Menge von Informationen über Personen, die in manuellen oder elektronischen Dateien gespeichert sind und entweder durch Bezugnahme auf Personen oder durch Bezugnahme auf Kriterien, die sich auf Personen beziehen, so strukturiert sind, dass spezifische Informationen über eine bestimmte Person leicht zugänglich sind. Daher fallen alle digitalen Datenbanken und/oder organisierten manuellen Dateien, die sich auf identifizierbare lebende Personen beziehen, in den Anwendungsbereich der Datenschutzgesetze und -vorschriften, während eine Datenbank mit reinen statistischen oder finanziellen Informationen (die weder direkt noch indirekt mit identifizierbaren lebenden Personen in Verbindung gebracht werden können) dies nicht tut. Sensible Daten: Sensible Daten sind persönliche Daten, die Informationen über die betroffenen Personen enthalten:

  • Ethnie oder ethnische Herkunft;
  • Religiöse Überzeugungen oder andere Überzeugungen ähnlicher Art;
  • Politische Meinungen;
  • Körperliche oder geistige Gesundheit oder Zustand;
  • Sexuelle Vorgeschichte oder Orientierung;
  • Mitgliedschaft in einer Gewerkschaft;
  • Begehung oder angebliche Begehung einer Straftat und alle damit verbundenen Gerichtsverfahren.

Technologie: Technologie ist weit auszulegen und umfasst alle Mittel zur Erfassung oder Verarbeitung von Daten, einschließlich, aber nicht beschränkt auf, Computer und Netzwerke, Telekommunikationssysteme, Video- und Audioaufzeichnungsgeräte, biometrische Geräte, geschlossene Fernsehsysteme usw.

Link zum DSA-Antragsformular
Link zum GDPR-Datenschutzhinweis