Datenschutz

Datenschutzpolitik

1. Zweck

1. Diese Richtlinie definiert Anforderungen, um die Einhaltung von Gesetzen und Vorschriften zu gewährleisten, die für die Sammlung, Nutzung, Verarbeitung und Übertragung personenbezogener Daten durch ATPI in der ganzen Welt gelten.

2. Umfang

2.1 ATPI verpflichtet sich zur Einhaltung der geltenden Datenschutzgesetze in den Ländern, in denen es (das „Unternehmen“) tätig ist. Aufgrund von Unterschieden innerhalb dieser Gerichtsbarkeiten hat das Unternehmen diese Datenschutzrichtlinie verabschiedet, die einen gemeinsamen Kern von Werten, Richtlinien und Verfahren schafft, die darauf abzielen, eine allgemeine Konformität zu erreichen, ergänzt (wo zutreffend) durch zusätzliche Anweisungen und Leitlinien, die in jenen Gerichtsbarkeiten mit einzigartigen

2.2 Diese Richtlinie basiert auf der EU-Verordnung 2016/679 und der Datenschutz-Grundverordnung (DSGVO), die ein robustes generisches Modell für den Datenschutz bietet. Das Unternehmen hat außerdem eine konzerninterne Datenübertragungsvereinbarung (IGDTA) auf der Grundlage der anerkannten EU-Standardvertragsklauseln eingerichtet, um die weltweite Übertragung und anschließende Unterverarbeitung von Daten im gesamten globalen Netzwerk seiner Konzerngesellschaften zu autorisieren.

2.3 Diese Richtlinie gilt für alle Voll- und Teilzeitmitarbeiter des Unternehmens, Zeitarbeitnehmer sowie alle Lieferanten und Kunden, die personenbezogene Daten vom Unternehmen erhalten, Zugriff auf vom Unternehmen erhobene oder verarbeitete personenbezogene Daten haben oder dem Unternehmen Informationen zur Verfügung stellen, unabhängig vom geografischen Standort.

2.4 Als Verpflichtung aus dieser Richtlinie wird das Unternehmen personenbezogene Daten nicht ohne eine anerkannte Rechtsgrundlage für eine solche Verarbeitung verarbeiten. Um die Einhaltung der Datenschutzgesetze zu gewährleisten, wird das Unternehmen seinen Status für alle Datenverarbeitungen korrekt als Datenverantwortlicher oder Datenverarbeiter, der für einen anderen Datenverantwortlichen handelt, festlegen.

3. Gruppen-Compliance

3.1 Das Datenkonformitätsprogramm des Unternehmens wird vom Datenschutzbeauftragten des Unternehmens überwacht, unterstützt von lokal ernannten Compliance-Mitarbeitern und internen Mitarbeitern. Verantwortlichkeiten können vom DSB delegiert werden.

3.2 Der DSB wird die internationale Datenschutzrichtlinie und -verfahren des Unternehmens sowie die IGDTA umsetzen, ebenso wie alle Pflichten, die durch Datenschutzgesetze vorgeschrieben sind, einschließlich:

3.2.1 Feststellung, ob eine Benachrichtigung an eine oder mehrere Datenschutzbehörden aufgrund der Datenverarbeitungsaktivitäten des Unternehmens erforderlich ist, dann Vornahme aller erforderlichen Benachrichtigungen und deren Aufbewahrung.

3.2.2 Entwicklung und Implementierung fortlaufender Programme zur Schulung von Mitarbeitern, um die Einhaltung des Datenschutzes zu gewährleisten.

3.2.3 Einrichtung (unter Beteiligung der IT- und Rechtsabteilungen) von Verfahren und Standardvertragsklauseln zur Sicherstellung der Einhaltung dieser Richtlinie durch Konzerngesellschaften, Kunden, Lieferanten und Dritte, die personenbezogene Daten vom Unternehmen erhalten, Zugriff auf vom Unternehmen erhobene oder verarbeitete personenbezogene Daten haben oder dem Unternehmen Informationen zur Verfügung stellen, unabhängig vom geografischen Standort.

3.2.4 Einrichtung von Mechanismen für regelmäßige Audits zur Einhaltung dieser Richtlinie, Implementierung von Verfahren und anwendbaren Gesetzen.

3.2.5 Einrichtung, Pflege und Betrieb eines Systems für schnelle und angemessene Antworten auf Anfragen von betroffenen Personen zur Ausübung ihrer Rechte.

3.2.6 Einrichtung, Pflege und Betrieb eines Systems zur unverzüglichen und angemessenen Offenlegung jeglichen Verlusts personenbezogener Daten gegenüber den zuständigen Behörden und/oder betroffenen Personen.

3.2.7 Information von leitenden Angestellten, Führungskräften und Direktoren des Unternehmens über die potenziellen zivil- und strafrechtlichen Unternehmens- und persönlichen Strafen, die gegen das Unternehmen und/oder seine Mitarbeiter bei Verletzung anwendbarer Datenschutzgesetze verhängt werden können.

3.2.8 Sicherstellung, dass die Risikomanagementpläne in Bezug auf den Datenschutz effektiv und konsistent umgesetzt werden.

3.2.9 Sicherstellung, dass dem Vorstand, der Geschäftsleitung und anderen Stakeholdern eine angemessene Gewährleistung hinsichtlich der Wirksamkeit der Datenschutzverfahren und -audits gegeben wird.

4. Grundsätze des Datenschutzes

4.1 Das Unternehmen hat die folgenden Grundsätze für die Nutzung, Erhebung, Verarbeitung und Übermittlung personenbezogener Daten verabschiedet, es sei denn, diese Richtlinie sieht etwas anderes vor oder anwendbare Gesetze schreiben es vor:

4.1.1 Personenbezogene Daten dürfen nur fair und rechtmäßig verarbeitet werden.

4.1.2 Personenbezogene Daten dürfen nur für festgelegte, ausdrückliche, rechtmäßige und legitime Zwecke erhoben werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.

4.1.3 Personenbezogene Daten müssen angemessen, relevant und nicht übermäßig in Bezug auf die Zwecke sein, für die sie erhoben und/oder verarbeitet werden.

4.1.4 Personenbezogene Daten dürfen nicht erhoben oder verarbeitet werden, es sei denn, eine Rechtsgrundlage für die Verarbeitung ist ordnungsgemäß gegeben.

4.2 Es sind geeignete physische, technische und verfahrenstechnische Maßnahmen zu ergreifen, um:

4.2.1 die unbefugte oder unrechtmäßige Erhebung, Verarbeitung und Übermittlung personenbezogener Daten zu verhindern und/oder zu identifizieren; und

4.2.2 den versehentlichen Verlust oder die Zerstörung von oder die Beschädigung von personenbezogenen Daten zu verhindern.

5. Übertragungen an Dritte

5.1 Personenbezogene Daten dürfen nicht an eine andere Einheit, ein anderes Land oder Gebiet übertragen werden, es sei denn, es wurden angemessene und geeignete Schritte unternommen, um das erforderliche Datenschutzniveau herzustellen und aufrechtzuerhalten.

5.2 Personenbezogene Daten dürfen Dritten nur aus Gründen mitgeteilt werden, die mit den Zwecken, für die die Daten ursprünglich erhoben wurden, oder anderen gesetzlich zulässigen Zwecken vereinbar sind.

5.3 Alle Übermittlungen personenbezogener Daten an Dritte zur weiteren Verarbeitung unterliegen schriftlichen Vereinbarungen, einer Rechtsgrundlage für die Übermittlung oder der IGDTA des Unternehmens für interne Datenübermittlungen.

5.4 Personenbezogene Daten aus der EU (und dem Vereinigten Königreich) dürfen nicht in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, es sei denn, die Übermittlung erfolgt in ein von der EU als Land oder Gebiet mit einem angemessenen Datenschutzniveau anerkanntes Land oder Gebiet oder in die Vereinigten Staaten im Rahmen des US Data Privacy Frameworks.

5.5 Vorbehaltlich der vorstehenden Bestimmungen können personenbezogene Daten übertragen werden, wenn eine der folgenden Bedingungen zutrifft:

5.5.1 Die betroffene Person hat der beabsichtigten Übermittlung zugestimmt;

5.5.2 Die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person (entweder persönlich oder über ihr beschäftigendes Unternehmen als Kunde des Unternehmens) und dem Unternehmen erforderlich;

5.5.3 Die Übermittlung ist für den Abschluss oder die Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrages zwischen dem Unternehmen und einem Dritten oder dem Arbeitgeber der betroffenen Person erforderlich;

5.5.4 Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig oder gesetzlich vorgeschrieben, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;

5.5.5 Die Übermittlung ist gesetzlich vorgeschrieben;

5.5.6 Die Übermittlung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person zu schützen.

6. Verhinderung von nicht konformen IT-Systemen

6.1 Der Chief Information Security Officer (CISO) des Unternehmens muss ein Verfahren zur Bewertung der Auswirkungen neuer oder bestehender Technologien auf den Schutz und die Sicherheit personenbezogener Daten festlegen.

6.2 Kein neues System oder keine neue Version eines bestehenden Systems darf zur Nutzung freigegeben werden, bevor der DSB eine schriftliche Bestätigung vom CISO erhalten hat, dass keine Verletzung des Datenschutzes vorliegt.

7. Quellen für persönliche Daten

7.1 Personenbezogene Daten dürfen nur von der betroffenen Person erhoben werden, es sei denn, die Art des Geschäftszwecks erfordert die Erhebung der Daten von anderen Personen oder Quellen.

7.2 Werden personenbezogene Daten von einer anderen Person als der betroffenen Person erhoben, muss die datenerhebende Geschäftseinheit eine schriftliche Bestätigung vom Datenlieferanten vorliegen haben, dass eine rechtmäßige Grundlage für die Verarbeitung und Übermittlung der personenbezogenen Daten an das Unternehmen besteht.

8. Rechte der betroffenen Person

8.1 Betroffene Personen sind berechtigt, Informationen über ihre eigenen, vom Unternehmen gespeicherten personenbezogenen Daten durch eine schriftliche Anfrage im Format hier zu erhalten, wobei die Anfrage aufgezeichnet wird.

8.2 Das Unternehmen muss auf eine oben genannte Anfrage innerhalb von 40 Tagen ab dem Datum der schriftlichen Anfrage antworten, oder innerhalb einer kürzeren Frist, wenn dies durch geltende Datenschutzgesetze vorgeschrieben ist.

8.3 Betroffene Personen haben das Recht, vom Unternehmen die Berichtigung oder Ergänzung fehlerhafter, irreführender, veralteter oder unvollständiger personenbezogener Daten, die über sie gespeichert sind, zu verlangen.

9. Sensible Daten (besondere Kategorie)

9.1 Sensible personenbezogene Daten sollten nicht verarbeitet werden, es sei denn:

9.1.1 Eine solche Verarbeitung ist gesetzlich ausdrücklich genehmigt oder vorgeschrieben.

9.1.2 Die betroffene Person stimmt ausdrücklich und unmissverständlich zu.

9.1.3 Wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, eine Einwilligung zu erteilen, die Verarbeitung jedoch zum Schutz eines lebenswichtigen Interesses der betroffenen Person erforderlich ist. Diese Ausnahme kann beispielsweise gelten, wenn medizinische Notversorgung benötigt wird.

9.1.4 Daten über strafrechtliche Verurteilungen dürfen nur von oder unter der Kontrolle der Rechtsabteilung verarbeitet werden.

10. Sicherung der Datenqualität

10.1 Personenbezogene Daten dürfen nur für den Zeitraum aufbewahrt werden, der für die zulässigen Nutzungen erforderlich ist. Das Unternehmen hat eine Datenaufbewahrungsrichtlinie erstellt, die die anwendbaren Fristen für die Datenlöschung festlegt.

10.2 Personenbezogene Daten sind zu löschen, wenn ihre Speicherung gegen ein Datenschutzgesetz verstößt oder wenn die Kenntnis der Daten für das Unternehmen nicht mehr erforderlich ist oder auf Antrag der betroffenen Person.

11. Gruppeninterne Verarbeitung

11.1 Wenn das Unternehmen auf ein anderes Konzernunternehmen zur Unterstützung seiner Verarbeitungsaktivitäten angewiesen ist, wird das Unternehmen eine Datenübertragungsvereinbarung auf der Grundlage der EU-Standardvertragsklauseln mit diesem anderen Konzernunternehmen abschließen, um sicherzustellen, dass die Verantwortung für die Daten klar identifiziert wird, da beide Parteien als Datenverantwortliche betrachtet werden können.

11.2 Befindet sich das andere Konzernunternehmen im Ausland, so werden die an der Verarbeitung beteiligten Konzernunternehmen jeweils als Datenexporteur und Datenimporteur bezeichnet, obwohl mehr als ein Datenimporteur an der Verarbeitung beteiligt sein kann.

12. Drittverarbeiter.

12.1 Ebenso wählt das Unternehmen in Fällen, in denen es sich bei seinen Verarbeitungsaktivitäten auf Dritte stützt, einen Datenverarbeiter aus, der ausreichende Sicherheitsmaßnahmen bereitstellt und angemessene Schritte unternimmt, um die Einhaltung dieser Maßnahmen zu gewährleisten, und im Falle eines Dritten in den USA, dass dieser auch für das US Data Privacy Framework (früher bekannt als Privacy Shield) registriert ist.

13. Schriftliche Verträge für Drittverarbeiter.

13.1 Das Unternehmen schließt mit jedem Datenverarbeiter einen schriftlichen Vertrag ab, der ihn zur Einhaltung der Datenschutzgesetze und der Sicherheitsanforderungen verpflichtet, die dem Unternehmen durch die lokale Gesetzgebung auferlegt werden.

14. Audits von Drittdatenverarbeitern.

14.1 Im Rahmen des internen Datenaudits des Unternehmens führt das Unternehmen regelmäßige Kontrollen der Verarbeitung durch dritte Datenverarbeiter durch, insbesondere in Bezug auf die Übergabeverfahren für die Daten, vor allem in Bezug auf die Sicherheitsmaßnahmen.

15. Benachrichtigung von Direktoren, Managern und leitenden Angestellten über mögliche Sanktionen bei Nichteinhaltung der Vorschriften

15.1 Der DSB hat die Direktoren, Manager und andere Führungskräfte des Unternehmens darüber zu informieren, dass:

15.1.1 Die Nichteinhaltung relevanter Datenschutzgesetze straf- und zivilrechtliche Haftung, einschließlich Geldstrafen, Freiheitsstrafen und Schadensersatzforderungen, nach sich ziehen kann; und

15.1.2 Sie persönlich haftbar gemacht werden können, wenn eine Straftat vom Unternehmen mit ihrer Zustimmung oder Duldung begangen wird oder auf eine Vernachlässigung ihrerseits zurückzuführen ist.

16. Datensicherheit

16.1 Das Unternehmen hat eine Richtlinie zum Management der Datensicherheit implementiert, wonach es physische, technische und organisatorische Maßnahmen ergreifen wird, um die Sicherheit personenbezogener Daten zu gewährleisten, einschließlich der Verhinderung ihrer Veränderung, ihres Verlusts, ihrer Beschädigung, unbefugter Verarbeitung oder unbefugten Zugriffs, unter Berücksichtigung der Art der Daten und der Risiken, denen sie durch menschliches Handeln oder die physische oder natürliche Umgebung ausgesetzt sind. Diese Maßnahmen werden in der Richtlinie zum Management der Datensicherheit dokumentiert, die mindestens jährlich oder bei Bedarf zur Berücksichtigung wesentlicher Änderungen der Sicherheitsvorkehrungen überprüft wird.

16.2 Angemessene Sicherheitsmaßnahmen sollten alle der folgenden Punkte umfassen:

16.2.1 Verhinderung des Zugangs unbefugter Personen zu Datenverarbeitungssystemen, in denen personenbezogene Daten gespeichert sind.

16.2.2 Verhinderung, dass zur Nutzung eines Datenverarbeitungssystems berechtigte Personen auf Daten zugreifen, die über ihre Bedürfnisse hinausgehen und unbefugt sind.

16.2.3 Sicherstellung, dass personenbezogene Daten während der elektronischen Übertragung, des Transports oder der Speicherung auf einem Datenträger nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können.

16.2.4 Sicherstellung, dass personenbezogene Daten vor unerwünschter Zerstörung oder Verlust geschützt sind.

16.2.5 Sicherstellung, dass Daten, die für verschiedene Zwecke erhoben wurden, getrennt verarbeitet werden können und werden.

16.2.6 Sicherstellung, dass Daten nicht länger als in der Datenaufbewahrungsrichtlinie festgelegt aufbewahrt werden, einschließlich der Anforderung, dass an Dritte übertragene Daten zurückgegeben oder vernichtet werden.

17. Compliance-Messung.

17.1 Der DSB erstellt einen Zeitplan für und führt ein Audit zur Einhaltung des Datenschutzes für alle Geschäftseinheiten durch. Der DSB wird in Zusammenarbeit mit den Geschäftseinheiten einen Plan und Zeitplan zur Behebung festgestellter Mängel innerhalb eines festen, angemessenen Zeitraums entwickeln.

17.2 Jede Geschäftseinheit des Unternehmens überprüft jährlich ihre Praktiken zur Datenerhebung, Datenverarbeitung und Datensicherheit und ermittelt, welche personenbezogenen Daten die Geschäftseinheit erhebt, einschließlich der in manuellen Systemen gespeicherten Daten, die „Relevante Dateisysteme“ darstellen.

17.3 Die in dieser jährlichen Überprüfung gesammelten Informationen sind dem DSB zur Überprüfung und angemessenen Maßnahmen zu übermitteln, einschließlich, aber nicht beschränkt auf, die folgenden:

17.3.1 Abgabe von Empfehlungen zur Verbesserung von Richtlinien und Verfahren, um die Einhaltung dieser Richtlinie und anwendbarer Gesetze zu verbessern.

17.3.2 Erfüllung der Anforderungen für die Selbstzertifizierung der Konformität bei lokalen Datenschutzbehörden und die Einhaltung der eigenen Richtlinien des Unternehmens.

18. Umsetzung.

18.1 Diese Richtlinie wird Mitarbeitern und anderen über die Website des Unternehmens zugänglich gemacht.

18.2 Diese Richtlinie kann jederzeit, jedoch mindestens jährlich, vom Unternehmen überarbeitet werden. Mitteilungen über wesentliche Überarbeitungen sind den Mitarbeitern über das Compliance-System des Unternehmens und anderen über die Website des Unternehmens zur Verfügung zu stellen.

Nikki Matthews
Chefsyndikus & Datenschutzbeauftragter
Dezember 2024

Anhang A

Glossar

Einwilligung: Einwilligung bedeutet „jede freiwillig gegebene, spezifische und informierte Willensbekundung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden personenbezogenen Daten signalisiert.“

Dennoch kann die Einwilligung auf verschiedene Weisen eingeholt werden. Dazu gehören Klauseln in Arbeitsverträgen, Ankreuzfelder bei Antworten auf Antrags- oder Kaufformulare und Klickfelder in Online-Formularen, in die personenbezogene Daten eingegeben werden.

In den meisten Ländern der Europäischen Union muss die Einwilligung zur Verarbeitung sensibler personenbezogener Daten klar und unmissverständlich sein. Dies bedeutet im Allgemeinen, dass eine Form der spezifischen, aktiven Einwilligung erforderlich ist. Diese Anforderung wird außerhalb der EU manchmal als weniger eindeutig empfunden.

Daten: Daten (unabhängig davon, ob sie einen Großbuchstaben am Anfang haben oder nicht), wie in dieser Datenschutzrichtlinie verwendet, bezeichnen Informationen, die entweder:

  • mit Hilfe von Geräten verarbeitet wird, die automatisch auf entsprechende Anweisungen hin arbeiten;
  • mit der Absicht aufgezeichnet wird, dass sie mit Hilfe eines solchen Geräts verarbeitet werden soll;
  • als Teil eines relevanten Ablagesystems aufgezeichnet wird oder mit der Absicht, dass es Teil eines relevanten Ablagesystems sein sollte;
  • nicht unter eine der oben genannten Kategorien fällt, aber Teil einer leicht zugänglichen Aufzeichnung über eine Person ist.

Daten umfassen daher alle digitalen Daten von Computern oder automatisierten Geräten, Telefonaufzeichnungen und alle manuellen Informationen, die Teil eines relevanten Dateisystems sind.

Datenverantwortlicher: Ein Datenverantwortlicher ist eine Person, die (allein oder mit anderen) die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Im Allgemeinen ist das Unternehmen selbst in den meisten Fällen der Datenverantwortliche.

Datenexporteur;
Datenexporteur bezeichnet den Datenverantwortlichen oder Datenverarbeiter, der personenbezogene Daten ins Ausland übermittelt.

Datenimporteur;
Datenimporteur bezeichnet den Datenverantwortlichen oder Datenverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zur weiteren Verarbeitung gemäß den Bestimmungen dieser Richtlinie und der entsprechenden Datenübertragungsvereinbarung zu erhalten.

Datenverarbeiter: Datenverarbeiter bezeichnet jede Person, außer einem Mitarbeiter des Datenverantwortlichen, die die Daten im Auftrag des Datenverantwortlichen verarbeitet. Ein Unternehmen kann ein Datenverarbeiter sein, wenn dies vertraglich mit dem Datenverantwortlichen so definiert ist.

Datenschutzbehörde: Eine Stelle, die mit dem Schutz von Daten und der Privatsphäre beauftragt ist. Die Behörden sind eingerichtet, um Informationsrechte sowohl im öffentlichen als auch im privaten Interesse zu wahren.

Datenschutzgesetze: Das Datenschutzgesetz 2018 und die Datenschutz-Grundverordnung (Verordnung EU 2016/679); alle Datenschutzgesetze außerhalb der EU in Ländern, in denen ATPI tätig ist; und die Electronic Communications (EC Directive) Regulations 2003 sowie alle deren Überarbeitungen.

Datensicherheit: Maßnahmen, die der Verantwortliche und der Verarbeiter zur Einhaltung der Datenschutzgrundsätze durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umsetzen müssen, um ein dem Risiko für die Rechte und Freiheiten von Personen angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.

Betroffene Person: Betroffene Person bezeichnet die Person, auf die sich Daten beziehen. Betroffene Personen sind Kunden und Webnutzer, Personen auf Kontakt-/E-Mail-Listen oder Marketingdatenbanken, Mitarbeiter, Auftragnehmer und Lieferanten.

EU-US-Datenschutzschild: Ein Rahmenwerk, das vom US-Handelsministerium und der Europäischen Kommission geschaffen wurde, um den transatlantischen Datenaustausch zu kommerziellen Zwecken zu ermöglichen. Der EU-US-Datenschutzschild ermöglicht es Unternehmen aus der EU und den USA, die Datenschutzanforderungen bei der Übermittlung personenbezogener Daten von der EU in die USA einzuhalten.

Personenbezogene Daten: Personenbezogene Daten sind Daten, die sich auf eine lebende Person beziehen, die anhand dieser Daten oder anhand dieser Daten und anderer Informationen, die sich im Besitz eines Datenverantwortlichen oder Datenverarbeiters befinden oder wahrscheinlich in dessen Besitz gelangen werden, identifiziert werden kann. Personenbezogene Daten umfassen keine Informationen, die anonymisiert, verschlüsselt oder anderweitig ihrer Identifikatoren entzogen wurden, oder Informationen, die öffentlich zugänglich sind, es sei denn, sie werden mit anderen nicht-öffentlichen personenbezogenen Informationen kombiniert.

Verarbeitung: Verarbeitung umfasst eine Vielzahl von Vorgängen im Zusammenhang mit Daten, einschließlich des Erhebens, Speicherns oder Aufbewahrens der Daten oder der Durchführung jeglicher Operation oder Reihe von Operationen mit den Daten, einschließlich:

  • Organisation, Anpassung oder Veränderung;
  • Offenlegung durch Übermittlung, Verbreitung oder auf andere Weise; und
  • Ausrichtung, Kombination, Sperrung, Löschung oder Zerstörung.

„Verarbeitet“ ist entsprechend auszulegen.

Relevantes Dateisystem: Relevantes Dateisystem bezeichnet jede Sammlung von Informationen über Einzelpersonen, ob in manuellen oder elektronischen Dateien geführt, strukturiert, entweder nach Einzelpersonen oder nach Kriterien, die sich auf Einzelpersonen beziehen, und zwar so, dass spezifische Informationen über eine bestimmte Einzelperson leicht zugänglich sind.

Daher fallen jede digitale Datenbank und/oder organisierte manuelle Dateien, die sich auf identifizierbare lebende Personen beziehen, in den Geltungsbereich der Datenschutzgesetze und -vorschriften, während eine Datenbank mit reinen statistischen oder finanziellen Informationen (die weder direkt noch indirekt mit identifizierbaren lebenden Personen in Verbindung gebracht werden können) nicht darunter fällt.

Sensible Daten: Sensible Daten sind personenbezogene Daten, die Informationen über die betroffenen Personen enthalten:

  • Ethnie oder ethnische Herkunft;
  • Religiöse Überzeugungen oder andere Überzeugungen ähnlicher Art;
  • Politische Meinungen;
  • Körperliche oder geistige Gesundheit oder Zustand;
  • Sexuelle Vorgeschichte oder Orientierung;
  • Mitgliedschaft in einer Gewerkschaft;
  • Begehung oder angebliche Begehung einer Straftat und alle damit verbundenen Gerichtsverfahren.

Technologie: Technologie ist weit auszulegen und umfasst alle Mittel zur Erfassung oder Verarbeitung von Daten, einschließlich, aber nicht beschränkt auf, Computer und Netzwerke, Telekommunikationssysteme, Video- und Audioaufzeichnungsgeräte, biometrische Geräte, geschlossene Fernsehsysteme usw.

Link zum DSA-Antragsformular
Link zur GDPR-Datenschutzerklärung