1. Einleitung

Diese Richtlinie legt die Verpflichtungen von KwikChex Ltd. fest, einem in Großbritannien unter der Nummer 07376192deren eingetragener Sitz sich in KwikChex Ltd, Exchange House, 12-14 The Crescent, Taunton, Somerset, TA1 4EB befindet. ("das Unternehmen") bezüglich des Datenschutzes und der Rechte von Kunden, Geschäftskontakten und Verbrauchern ("betroffene Personen") in Bezug auf ihre personenbezogenen Daten gemäß der EU-Verordnung 2016/679 General Data Protection Regulation ("GDPR").

KwikChex ist gemäß dem Datenschutzgesetz registriert, Registrierungsnummer: Z2749323

Die DSGVO definiert "personenbezogene Daten" als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (eine "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Diese Richtlinie legt die Verpflichtungen des Unternehmens in Bezug auf die Sammlung, Verarbeitung, Übertragung, Speicherung und Entsorgung von personenbezogenen Daten fest. Die hier dargelegten Verfahren und Grundsätze müssen vom Unternehmen, seinen Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Auftrag des Unternehmens arbeiten, jederzeit befolgt werden.

Das Unternehmen ist nicht nur dem Buchstaben des Gesetzes, sondern auch dem Geist des Gesetzes verpflichtet und legt großen Wert auf den korrekten, rechtmäßigen und fairen Umgang mit allen personenbezogenen Daten und respektiert die gesetzlichen Rechte, die Privatsphäre und das Vertrauen aller Personen, mit denen es zu tun hat.

2. Die Grundsätze des Datenschutzes

Diese Richtlinie zielt darauf ab, die Einhaltung der GDPR zu gewährleisten. Die GDPR legt die folgenden Prinzipien fest, die jede Partei, die personenbezogene Daten verarbeitet, einhalten muss. Alle personenbezogenen Daten müssen sein:

1. 1. 1. 1. Rechtmäßig, fair und auf transparente Weise in Bezug auf die betroffene Person verarbeitet werden.
      1. 1. Für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Die Weiterverarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken wird nicht als unvereinbar mit den ursprünglichen Zwecken betrachtet.
      1. 1. Angemessen, relevant und begrenzt auf das, was in Bezug auf die Zwecke, für die sie verarbeitet werden, notwendig ist.
      1. 1. Genau und, soweit erforderlich, auf dem neuesten Stand. Es müssen alle angemessenen Schritte unternommen werden, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
      1. 1. in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist. Personenbezogene Daten können länger gespeichert werden, sofern die personenbezogenen Daten ausschließlich zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, vorbehaltlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen, die gemäß der DSGVO erforderlich sind, um die Rechte und Freiheiten der betroffenen Person zu schützen.
      1. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen.

3. Die Rechte der betroffenen Personen

Die GDPR legt die folgenden Rechte fest, die auf die betroffenen Personen anwendbar sind (für weitere Einzelheiten verweisen wir auf die angegebenen Teile dieser Richtlinie):

1. 1. 1. 1. Das Recht, informiert zu werden (Teil 12).
      1. 1. Das Recht auf Zugang (Teil 13);
      1. 1. Das Recht auf Berichtigung (Teil 14);
      1. 1. Das Recht auf Löschung (auch bekannt als das "Recht auf Vergessenwerden") (Teil 15);
      1. 1. Das Recht auf Einschränkung der Verarbeitung (Teil 16);
      1. 1. Das Recht auf Datenübertragbarkeit (Teil 17);
      1. 1. Das Widerspruchsrecht (Teil 18); und
      1. Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling (Teile 19 und 20).

4. Rechtmäßige, faire und transparente Datenverarbeitung

1. 1. 1. Die GDPR soll sicherstellen, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden, ohne die Rechte der betroffenen Person zu beeinträchtigen. Die GDPR besagt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn mindestens einer der folgenden Punkte zutrifft:
         1. 1. 1. Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
            1. 1. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung von Maßnahmen auf Antrag der betroffenen Person vor Abschluss eines Vertrags mit ihr erforderlich;
            1. 1. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Datenverarbeitung Verantwortliche unterliegt;
            1. 1. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
            1. 1. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde; oder
            1. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.
   1. Handelt es sich bei den personenbezogenen Daten um "Daten einer besonderen Kategorie" (auch "sensible personenbezogene Daten" genannt) (z. B. Daten über die Rasse, die ethnische Herkunft, die politische Einstellung, die Religion, die Gewerkschaftszugehörigkeit, die Genetik, die biometrischen Daten (wenn sie zu Identifizierungszwecken verwendet werden), die Gesundheit, das Sexualleben oder die sexuelle Orientierung der betroffenen Person), muss mindestens eine der folgenden Bedingungen erfüllt sein:
      1. 1. 1. Die betroffene Person hat der Verarbeitung dieser Daten für einen oder mehrere festgelegte Zwecke ausdrücklich zugestimmt (es sei denn, das Recht der EU oder eines EU-Mitgliedstaats verbietet dies);
         1. 1. Die Verarbeitung ist zur Erfüllung der Pflichten und zur Ausübung bestimmter Rechte des für die Verarbeitung Verantwortlichen oder der betroffenen Person auf dem Gebiet des Arbeits-, Sozialversicherungs- und Sozialschutzrechts erforderlich (sofern sie durch Rechtsvorschriften der EU oder eines EU-Mitgliedstaats oder durch einen Tarifvertrag nach dem Recht eines EU-Mitgliedstaats, der angemessene Garantien für die Grundrechte und Interessen der betroffenen Person vorsieht, zugelassen ist);
         1. 1. Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich, wenn die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu geben;
         1. 1. Der für die Verarbeitung Verantwortliche ist eine Stiftung, ein Verein oder eine andere gemeinnützige Einrichtung mit politischer, philosophischer, religiöser oder gewerkschaftlicher Zielsetzung, und die Verarbeitung erfolgt im Rahmen ihrer rechtmäßigen Tätigkeiten, vorausgesetzt, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemaligen Mitglieder dieser Einrichtung oder auf Personen bezieht, die im Zusammenhang mit ihren Zwecken regelmäßig mit ihr in Kontakt stehen, und dass die personenbezogenen Daten nicht ohne die Einwilligung der betroffenen Personen außerhalb der Einrichtung offengelegt werden;
         1. 1. Die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person eindeutig öffentlich gemacht wurden;
         1. 1. Die Verarbeitung ist für die Geltendmachung von Rechtsansprüchen erforderlich oder wenn Gerichte in ihrer Eigenschaft als Richter tätig werden;
         1. 1. Die Verarbeitung ist aus wichtigen Gründen des öffentlichen Interesses auf der Grundlage von Rechtsvorschriften der EU oder der EU-Mitgliedstaaten erforderlich, die in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen, den Wesensgehalt des Rechts auf Datenschutz achten und geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsehen;
         1. 1. Die Verarbeitung ist für die Zwecke der Vorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit eines Mitarbeiters, für die medizinische Diagnose, für die Bereitstellung von Gesundheits- oder Sozialfürsorge oder Behandlung oder für die Verwaltung von Gesundheits- oder Sozialfürsorgesystemen oder -diensten auf der Grundlage des Rechts der EU oder der EU-Mitgliedstaaten oder gemäß einem Vertrag mit einem Angehörigen der Gesundheitsberufe erforderlich, vorbehaltlich der in Artikel 9 Absatz 3 der DSGVO genannten Bedingungen und Garantien;
         1. 1. Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich, z. B. zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsbedrohungen oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards in der Gesundheitsversorgung und bei Arzneimitteln oder Medizinprodukten auf der Grundlage von Rechtsvorschriften der EU oder der EU-Mitgliedstaaten, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person vorsehen (insbesondere das Berufsgeheimnis); oder
         1. Die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1 der DSGVO auf der Grundlage von Rechtsvorschriften der EU oder der EU-Mitgliedstaaten erforderlich, die in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen, den Wesensgehalt des Rechts auf Datenschutz achten und geeignete und spezifische Maßnahmen zur Wahrung der Grundrechte und der Interessen der betroffenen Person vorsehen.

5. Spezifizierte, explizite und legitime Zwecke

1. 1. 1. Das Unternehmen sammelt und verarbeitet die personenbezogenen Daten, die in Teil 21 dieser Richtlinie aufgeführt sind. Dies umfasst:
         1. 1. Personenbezogene Daten, die direkt von den betroffenen Personen erhoben werden und Personenbezogene Daten, die von Dritten erhalten wurden.
   1. 1. Das Unternehmen erhebt, verarbeitet und speichert personenbezogene Daten nur für die in Teil 21 dieser Richtlinie dargelegten Zwecke (oder für andere Zwecke, die durch die DSGVO ausdrücklich erlaubt sind).
   1. Betroffene Personen werden jederzeit über den Zweck oder die Zwecke informiert, für die das Unternehmen ihre personenbezogenen Daten verwendet. Weitere Informationen zur Unterrichtung der betroffenen Personen finden Sie in Teil 12.

6. Angemessene, relevante und begrenzte Datenverarbeitung

Das Unternehmen erhebt und verarbeitet personenbezogene Daten nur für und in dem Umfang, der für den spezifischen Zweck oder die spezifischen Zwecke erforderlich ist, über den/die die betroffenen Personen gemäß Teil 5, oben, und wie in Teil 21, unten, informiert wurden (oder werden).

7. Genauigkeit der Daten und Aktualität der Daten

1. 1. 1. Das Unternehmen stellt sicher, dass alle von ihm gesammelten, verarbeiteten und gehaltenen personenbezogenen Daten korrekt und aktuell gehalten werden. Dies umfasst unter anderem die Berichtigung personenbezogener Daten auf Antrag einer betroffenen Person, wie in Teil 14 unten dargelegt.
   1. Die Richtigkeit der personenbezogenen Daten wird bei ihrer Erhebung und danach in regelmäßigen Abständen überprüft. Wenn sich herausstellt, dass personenbezogene Daten ungenau oder veraltet sind, werden unverzüglich alle angemessenen Schritte unternommen, um diese Daten gegebenenfalls zu ändern oder zu löschen.

8. Datenaufbewahrung

1. 1. 1. Das Unternehmen darf personenbezogene Daten nicht länger aufbewahren, als es im Hinblick auf den Zweck oder die Zwecke, für die diese personenbezogenen Daten ursprünglich erhoben, gespeichert und verarbeitet wurden, erforderlich ist.
   1. 1. Wenn personenbezogene Daten nicht mehr benötigt werden, werden alle angemessenen Schritte unternommen, um sie unverzüglich zu löschen oder anderweitig zu entsorgen.
   1. Umfassende Informationen über die Vorgehensweise des Unternehmens bei der Datenaufbewahrung, einschließlich Aufbewahrungsfristen für bestimmte Arten personenbezogener Daten, die sich im Besitz des Unternehmens befinden, Bitte beachten Sie unsere Richtlinie zur Datenspeicherung.

9. Sichere Verarbeitung

Das Unternehmen stellt sicher, dass alle gesammelten, gehaltenen und verarbeiteten personenbezogenen Daten sicher aufbewahrt und gegen unbefugte oder unrechtmäßige Verarbeitung sowie gegen versehentlichen Verlust, Zerstörung oder Beschädigung geschützt werden. Weitere Einzelheiten zu den technischen und organisatorischen Maßnahmen, die zu treffen sind, finden Sie in den Teilen 22 bis 27 dieser Richtlinie.

10. Rechenschaftspflicht und Protokollierung

1. 1. 1. Alle Anfragen zum Datenschutz sollten an die Adresse des eingetragenen Firmensitzes gerichtet werden: KwikChex Ltd, Exchange House, 12-14 The Crescent, Taunton, Somerset, TA1 4EB oder per E-Mail info@kwikchex.com.
   1. 1. Die Direktoren sind für die Beaufsichtigung der Umsetzung dieser Richtlinie und für die Überwachung der Einhaltung dieser Richtlinie, der anderen datenschutzbezogenen Richtlinien des Unternehmens sowie der DSGVO und anderer anwendbarer Datenschutzgesetze verantwortlich.
   1. Das Unternehmen führt schriftliche interne Aufzeichnungen über alle Erhebungen, den Besitz und die Verarbeitung personenbezogener Daten, die die folgenden Informationen enthalten müssen:
      1. 1. 1. Der Name und die Details des Unternehmens und aller anwendbaren dritten Datenverarbeiter;
         1. 1. Die Zwecke, für die das Unternehmen personenbezogene Daten erhebt, speichert und verarbeitet;
         1. 1. Einzelheiten zu den Kategorien personenbezogener Daten, die vom Unternehmen erhoben, gespeichert und verarbeitet werden, sowie zu den Kategorien der betroffenen Personen, auf die sich diese personenbezogenen Daten beziehen;
         1. 1. Details zu allen Übertragungen von personenbezogenen Daten in Nicht-EWR-Länder einschließlich aller Mechanismen und Sicherheitsvorkehrungen;
         1. 1. Einzelheiten darüber, wie lange personenbezogene Daten vom Unternehmen aufbewahrt werden (bitte beachten Sie die Richtlinie zur Datenaufbewahrung); und
         1. Detaillierte Beschreibung aller technischen und organisatorischen Maßnahmen, die das Unternehmen getroffen hat, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

11. Datenschutz-Folgenabschätzungen

1. 1. 1. Das Unternehmen führt Datenschutz-Folgenabschätzungen für alle neuen Projekte und/oder neue Verwendungen personenbezogener Daten durch, die den Einsatz neuer Technologien beinhalten und bei denen die damit verbundene Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO führt.
   1. Die Datenschutz-Folgenabschätzungen werden von den Direktoren beaufsichtigt und müssen folgende Punkte berücksichtigen:
      1. 1. 1. Die Art(en) der personenbezogenen Daten, die erhoben, gespeichert und verarbeitet werden;
         1. 1. Der/die Zweck(e), für den/die die personenbezogenen Daten verwendet werden sollen;
         1. 1. Die Ziele des Unternehmens;
         1. 1. Wie personenbezogene Daten verwendet werden sollen;
         1. 1. Die Parteien (intern und/oder extern), die konsultiert werden sollen;
         1. 1. Die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung im Hinblick auf den/die Zweck(e), für den/die sie verarbeitet wird;
         1. 1. Risiken für die betroffenen Personen;
         1. 1. Risiken, die sowohl innerhalb als auch für das Unternehmen bestehen; und
         1. Vorgeschlagene Maßnahmen zur Minimierung und Handhabung der identifizierten Risiken.

12. Unterrichtung der betroffenen Personen

1. 1. 1. Das Unternehmen muss jeder betroffenen Person die in Teil 12.2 genannten Informationen zur Verfügung stellen:
         1. 1. 1. Wenn personenbezogene Daten direkt bei den betroffenen Personen erhoben werden, werden diese Personen zum Zeitpunkt der Erhebung über den Zweck der Datenerhebung informiert; und
            1. Werden personenbezogene Daten von Dritten erhoben, werden die betroffenen Personen über den Zweck der Erhebung informiert:
               1. 1. wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden, wenn die erste Kommunikation erfolgt; oder
               1. 1. wenn die personenbezogenen Daten an eine andere Partei übertragen werden sollen, bevor diese Übertragung erfolgt; oder
               1. so bald wie möglich und in jedem Fall nicht mehr als einen Monat nach Erhalt der personenbezogenen Daten.
   1. Die folgenden Informationen müssen bereitgestellt werden:
      1. 1. 1. Details zum Unternehmen.
         1. 1. Der Zweck/die Zwecke, für den/die die personenbezogenen Daten erhoben und verarbeitet werden (wie in Teil 21 dieser Richtlinie beschrieben) und die Rechtsgrundlage, die diese Erhebung und Verarbeitung rechtfertigt;
         1. 1. Gegebenenfalls die berechtigten Interessen, mit denen das Unternehmen die Erhebung und Verarbeitung der personenbezogenen Daten rechtfertigt;
         1. 1. Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person erhoben werden, die Kategorien der erhobenen und verarbeiteten personenbezogenen Daten;
         1. 1. Falls die personenbezogenen Daten an einen oder mehrere Dritte weitergegeben werden sollen, Angaben zu diesen Dritten;
         1. 1. Wenn die personenbezogenen Daten an einen Dritten übertragen werden sollen, der sich außerhalb des Europäischen Wirtschaftsraums (EWR) befindet, Einzelheiten zu dieser Übertragung, einschließlich, aber nicht beschränkt auf die bestehenden Sicherheitsvorkehrungen (siehe Teil 28 dieser Richtlinie für weitere Einzelheiten);
         1. 1. Details zur Datenspeicherung;
         1. 1. Einzelheiten zu den Rechten der betroffenen Person nach der DSGVO;
         1. 1. Einzelheiten über das Recht der betroffenen Person, ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen jederzeit zu widerrufen;
         1. 1. Einzelheiten über das Recht der betroffenen Person, sich beim Information Commissioner's Office (der "Aufsichtsbehörde" gemäß DSGVO) zu beschweren;
         1. 1. Gegebenenfalls Einzelheiten zu gesetzlichen oder vertraglichen Anforderungen oder Verpflichtungen, die die Erhebung und Verarbeitung der personenbezogenen Daten erfordern, sowie Einzelheiten zu den Folgen einer Nichtbereitstellung; und
         1. Einzelheiten zu jeder automatisierten Entscheidungsfindung oder Profiling, die unter Verwendung der personenbezogenen Daten stattfinden, einschließlich Informationen darüber, wie Entscheidungen getroffen werden, die Bedeutung dieser Entscheidungen und alle Konsequenzen.

13. Zugang für Betroffene

1. 1. 1. Betroffene Personen können jederzeit Auskunftsersuchen ("SARs") stellen, um mehr über die personenbezogenen Daten zu erfahren, die das Unternehmen über sie besitzt, was es mit diesen personenbezogenen Daten macht und warum.
   1. 1. Betroffene Personen, die eine Verdachtsmeldung abgeben möchten, können dies schriftlich tun, indem sie das Formular "Subject Access Request Form" des Unternehmens oder eine andere schriftliche Mitteilung verwenden. SARs sollten an KwikChex Ltd, Exchange House, 12-14 The Crescent, Taunton, Somerset, TA1 4EB gerichtet werden. oder per E-Mail an info@kwikchex.com.
   1. 1. Die Beantwortung von Verdachtsmeldungen erfolgt in der Regel innerhalb eines Monats nach Eingang; diese Frist kann jedoch um bis zu zwei Monate verlängert werden, wenn die Verdachtsmeldung komplex ist und/oder zahlreiche Anfragen gestellt werden. Wenn eine solche zusätzliche Zeit erforderlich ist, wird die betroffene Person informiert.
   1. 1. Alle eingegangenen Verdachtsmeldungen werden von einem Direktor bearbeitet.
   1. Das Unternehmen erhebt keine Gebühren für die Bearbeitung normaler SARs. Das Unternehmen behält sich das Recht vor, angemessene Gebühren für zusätzliche Kopien von Informationen zu erheben, die einer betroffenen Person bereits zur Verfügung gestellt wurden, sowie für Anfragen, die offensichtlich unbegründet oder übertrieben sind, insbesondere wenn sich solche Anfragen wiederholen.

14. Berichtigung von personenbezogenen Daten

1. 1. 1. Betroffene Personen haben das Recht, vom Unternehmen die Berichtigung ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind.
   1. 1. Das Unternehmen berichtigt die betreffenden personenbezogenen Daten und informiert die betroffene Person über diese Berichtigung innerhalb eines Monats, nachdem die betroffene Person das Unternehmen über das Problem informiert hat. Die Frist kann bei komplexen Anfragen um bis zu zwei Monate verlängert werden. Wenn eine solche zusätzliche Zeit erforderlich ist, wird die betroffene Person darüber informiert.
   1. Sollten betroffene personenbezogene Daten an Dritte weitergegeben worden sein, so sind diese über die erforderliche Berichtigung der personenbezogenen Daten zu informieren.

15. Löschung von personenbezogenen Daten

1. 1. 1. Betroffene Personen haben das Recht zu verlangen, dass das Unternehmen die über sie gespeicherten personenbezogenen Daten unter den folgenden Umständen löscht:
         1. 1. 1. Es ist für das Unternehmen nicht mehr erforderlich, diese personenbezogenen Daten im Hinblick auf den/die Zweck(e), für den/die sie ursprünglich erhoben oder verarbeitet wurden, zu speichern;
            1. 1. Die betroffene Person möchte ihre Zustimmung zur Speicherung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen widerrufen;
            1. 1. Die betroffene Person widerspricht der Speicherung und Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen (und es besteht kein überwiegendes berechtigtes Interesse, das es dem Unternehmen erlaubt, dies weiterhin zu tun) (weitere Einzelheiten zum Widerspruchsrecht finden Sie in Teil 18 dieser Richtlinie);
            1. 1. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
            1. Die personenbezogenen Daten müssen gelöscht werden, damit das Unternehmen einer bestimmten gesetzlichen Verpflichtung nachkommen kann.
   1. 1. Sofern das Unternehmen keine triftigen Gründe hat, die Löschung personenbezogener Daten zu verweigern, wird allen Anträgen auf Löschung entsprochen und die betroffene Person über die Löschung informiert, und zwar innerhalb eines Monats nach Eingang des Antrags der betroffenen Person. Die Frist kann bei komplexen Anträgen um bis zu zwei Monate verlängert werden. Wird eine solche zusätzliche Zeit benötigt, so ist die betroffene Person zu informieren.
   1. Falls personenbezogene Daten, die auf Wunsch der betroffenen Person gelöscht werden sollen, an Dritte weitergegeben wurden, sind diese über die Löschung zu informieren (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).

16. Einschränkung der Verarbeitung personenbezogener Daten

1. 1. 1. Betroffene Personen können verlangen, dass das Unternehmen die Verarbeitung der personenbezogenen Daten, die es über sie besitzt, einstellt. Wenn eine betroffene Person einen solchen Antrag stellt, wird das Unternehmen nur so viele personenbezogene Daten über diese betroffene Person aufbewahren (falls vorhanden), wie erforderlich ist, um sicherzustellen, dass die betreffenden personenbezogenen Daten nicht weiter verarbeitet werden.
   1. Sollten betroffene personenbezogene Daten an Dritte weitergegeben worden sein, so sind diese über die geltenden Verarbeitungsbeschränkungen zu informieren (es sei denn, dies ist unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern).

17. k.A.

18. Einwände gegen die Verarbeitung personenbezogener Daten

1. 1. 1. Betroffene Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen auf der Grundlage von berechtigten Interessen, Direktmarketing (einschließlich Profiling) und der Verarbeitung zu wissenschaftlichen und/oder historischen Forschungs- und Statistikzwecken zu widersprechen.
   1. 1. Widerspricht die betroffene Person gegenüber dem Unternehmen der Verarbeitung personenbezogener Daten, die auf dessen berechtigten Interessen beruhen, so wird das Unternehmen die Verarbeitung unverzüglich einstellen, es sei denn, es kann nachgewiesen werden, dass die berechtigten Gründe des Unternehmens für die Verarbeitung gegenüber den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen oder dass die Verarbeitung zur Geltendmachung von Rechtsansprüchen erforderlich ist.
   1. 1. Widerspricht die betroffene Person gegenüber dem Unternehmen der Verarbeitung für Zwecke der Direktwerbung, so wird das Unternehmen die personenbezogenen Daten unverzüglich löschen.
   1. Widerspricht eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten durch das Unternehmen zu wissenschaftlichen und/oder historischen Forschungszwecken und zu statistischen Zwecken, muss die betroffene Person gemäß der DSGVO "Gründe im Zusammenhang mit ihrer besonderen Situation nachweisen". Das Unternehmen ist nicht verpflichtet, dem nachzukommen, wenn die Forschung für die Erfüllung einer Aufgabe erforderlich ist, die aus Gründen des öffentlichen Interesses durchgeführt wird.

19. N/a

20. N/a

21. Erhobene, gespeicherte und verarbeitete personenbezogene Daten

Die folgenden personenbezogenen Daten werden von der Gesellschaft erhoben, gespeichert und verarbeitet (Einzelheiten zur Datenspeicherung finden Sie in der Richtlinie zur Datenaufbewahrung):

NB:

1. 1. Die obige Tabelle enthält nur Informationen darüber, wo wir personenbezogene Daten sammeln, daher sind alle geschäftsbezogenen Kontaktmethoden nicht enthalten.

1. Timesharehelpline.net leitet alle Kontakte an die oben genannten Stellen weiter.

Daten der Sonderkategorie - In manchen Fällen kann es relevant sein, Informationen über den Gesundheitszustand oder das Alter eines Verbrauchers zu sammeln oder ob eine finanzielle Notlage vorliegen könnte.

Dies dient lediglich dem Zweck, festzustellen, ob die Voraussetzungen für einen Vertragsverzicht gegeben sind. Der Verbraucher muss uns schriftlich die Erlaubnis erteilen, diese Informationen an einen Dritten, z. B. sein Timesharing-Unternehmen, weiterzugeben.

Statistische Aufzeichnung - Die Organisation ist zu einer effektiven statistischen Aufzeichnung der Nutzung ihrer Dienste verpflichtet, um die Nutzung und Leistung zu überwachen. Alle statistischen Aufzeichnungen, die an Dritte weitergegeben werden, z. B. zur Unterstützung von Förderanträgen oder Überwachungsberichten für die Kommune, sind in anonymisierter Form zu erstellen, so dass Einzelpersonen nicht erkannt werden können.

22. Datensicherheit - Übertragung von personenbezogenen Daten und Kommunikation

Das Unternehmen stellt sicher, dass bei allen Mitteilungen und sonstigen Übertragungen, die personenbezogene Daten betreffen, die folgenden Maßnahmen getroffen werden:

1. 1. 1. 1. Alle E-Mails, die sensible persönliche Daten enthalten, müssen verschlüsselt werden.
      1. 1. Alle E-Mails, die personenbezogene Daten enthalten, müssen als "vertraulich" gekennzeichnet sein;
      1. 1. Personenbezogene Daten dürfen nur über sichere Netze übertragen werden; eine Übertragung über ungesicherte Netze ist in keinem Fall zulässig;
      1. 1. Personenbezogene Daten dürfen nicht über ein drahtloses Netzwerk übertragen werden, wenn es eine kabelgebundene Alternative gibt, die vernünftigerweise praktikabel ist;
      1. 1. Personenbezogene Daten, die im Hauptteil einer E-Mail enthalten sind, ob gesendet oder empfangen, sollten aus dem Hauptteil dieser E-Mail kopiert und sicher aufbewahrt werden. Die E-Mail selbst sollte gelöscht werden. Alle temporären Dateien, die damit verbunden sind, sollten ebenfalls gelöscht werden.
      1. 1. Wenn personenbezogene Daten per Fax übermittelt werden sollen, sollte der Empfänger im Voraus über die Übermittlung informiert werden und am Faxgerät auf den Empfang der Daten warten;
      1. 1. Wenn personenbezogene Daten in Papierform übertragen werden sollen, sollten sie direkt an den Empfänger weitergegeben oder mit einem für die Art der enthaltenen Daten geeigneten Einschreibe-/Sicherheitszustelldienst versendet werden (vom Direktor in Abhängigkeit vom Inhalt zu bestimmen); und
      1. Alle personenbezogenen Daten, die physisch übertragen werden sollen, ob in Papierform oder auf entfernbaren elektronischen Medien, müssen in einem geeigneten Behälter mit der Aufschrift "vertraulich" übertragen werden.

23. Datensicherheit - Speicherung

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die Speicherung von personenbezogenen Daten getroffen werden:

1. 1. 1. 1. Alle elektronischen Kopien personenbezogener Daten sollten mit Passwörtern und einer 256-Bit-AES-Datenverschlüsselung sicher gespeichert werden;
      1. 1. Alle Ausdrucke personenbezogener Daten sowie alle elektronischen Kopien, die auf physischen, austauschbaren Medien gespeichert sind, sollten sicher in einem verschlossenen Kasten, einer Schublade, einem Schrank oder ähnlichem aufbewahrt werden;
      1. 1. Alle persönlichen Daten, die elektronisch gespeichert werden, sollten monatlich gesichert werden, wobei Backups in unserem Cloud-Speicher und vor Ort gespeichert werden. Alle Backups sollten mit einer 256-Bit-AES-Verschlüsselung versehen sein;
      1. 1. Es sollten keine persönlichen Daten auf einem mobilen Gerät (einschließlich, aber nicht beschränkt auf Laptops, Tablets und Smartphones) gespeichert werden, unabhängig davon, ob dieses Gerät dem Unternehmen gehört oder nicht ohne die formelle schriftliche Genehmigung eines der Direktoren und, im Falle einer solchen Genehmigung, unter strikter Einhaltung aller Anweisungen und Beschränkungen, die zum Zeitpunkt der Erteilung der Genehmigung beschrieben werden, und nicht länger als unbedingt erforderlich; und
      1. Es dürfen keine personenbezogenen Daten auf ein Gerät übertragen werden, das einem Mitarbeiter persönlich gehört, und personenbezogene Daten dürfen nur dann auf Geräte übertragen werden, die Vertretern, Auftragnehmern oder anderen Parteien gehören, die im Auftrag des Unternehmens arbeiten, wenn die betreffende Partei zugestimmt hat, den Buchstaben und den Geist dieser Richtlinie und der DSGVO vollständig einzuhalten (was den Nachweis gegenüber dem Unternehmen beinhalten kann, dass alle geeigneten technischen und organisatorischen Maßnahmen ergriffen wurden).

24. Datensicherheit - Vernichtung

Wenn personenbezogene Daten aus irgendeinem Grund gelöscht oder anderweitig entsorgt werden sollen (auch wenn Kopien erstellt wurden und nicht mehr benötigt werden), sollten sie sicher gelöscht und entsorgt werden. Weitere Informationen zur Löschung und Entsorgung von personenbezogenen Daten finden Sie in der Richtlinie zur Datenaufbewahrung.

25. Datensicherheit - Verwendung von personenbezogenen Daten

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die Verwendung personenbezogener Daten getroffen werden:

1. 1. 1. 1. Personenbezogene Daten dürfen nicht informell weitergegeben werden, und wenn ein Mitarbeiter, Vertreter, Subunternehmer oder eine andere Partei, die im Auftrag des Unternehmens arbeitet, Zugang zu personenbezogenen Daten benötigt, zu denen sie nicht bereits Zugang haben, sollte dieser Zugang formell bei einem Direktor beantragt werden;
      1. 1. Ohne die Genehmigung eines Verwaltungsratsmitglieds dürfen keine personenbezogenen Daten an Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien weitergegeben werden, unabhängig davon, ob diese Parteien im Auftrag der Gesellschaft arbeiten oder nicht;
      1. 1. Personenbezogene Daten müssen jederzeit sorgfältig behandelt werden und sollten zu keiner Zeit unbeaufsichtigt oder für unbefugte Mitarbeiter, Vertreter, Subunternehmer oder andere Parteien einsehbar sein;
      1. 1. Wenn personenbezogene Daten auf einem Computerbildschirm angezeigt werden und der betreffende Computer längere Zeit unbeaufsichtigt gelassen werden soll, muss der Benutzer den Computer und den Bildschirm vor dem Verlassen sperren; und
      1. Wenn personenbezogene Daten, die sich im Besitz des Unternehmens befinden, für Marketingzwecke verwendet werden, liegt es in der Verantwortung von <> sicherzustellen, dass die entsprechende Zustimmung eingeholt wurde und dass keine betroffenen Personen ihr Einverständnis gegeben haben, sei es direkt oder über einen Drittdienst wie das TPS.

26. Datensicherheit - IT-Sicherheit

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die IT- und Informationssicherheit getroffen werden:

1. 1. 1. 1. Alle Passwörter, die zum Schutz persönlicher Daten verwendet werden, sollten regelmäßig geändert werden und keine Wörter oder Phrasen verwenden, die leicht erraten oder anderweitig kompromittiert werden können. Alle Passwörter müssen eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. Die gesamte vom Unternehmen verwendete Software (die mit persönlichen Daten verbunden ist) ist so konzipiert, dass solche Passwörter erforderlich sind;
      1. 1. Unter keinen Umständen dürfen Passwörter aufgeschrieben oder zwischen Mitarbeitern, Vertretern, Auftragnehmern oder anderen Parteien, die im Auftrag des Unternehmens arbeiten, weitergegeben werden, unabhängig von der Dienststellung oder Abteilung. Wenn ein Passwort vergessen wird, muss es mit der entsprechenden Methode zurückgesetzt werden. Das IT-Personal hat keinen Zugang zu Passwörtern;
      1. 1. Die gesamte Software (einschließlich, aber nicht beschränkt auf Anwendungen und Betriebssysteme) muss auf dem neuesten Stand gehalten werden. Das IT-Personal des Unternehmens ist für die Installation aller sicherheitsrelevanten Updates verantwortlich, sobald dies vernünftigerweise und praktisch möglich ist, es sei denn, es gibt triftige technische Gründe, dies nicht zu tun; und
      1. Ohne die vorherige Genehmigung des IT-Managers darf keine Software auf einem firmeneigenen Computer oder Gerät installiert werden.

27. Organisatorische Maßnahmen

Das Unternehmen stellt sicher, dass die folgenden Maßnahmen in Bezug auf die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten getroffen werden:

1. 1. 1. 1. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens arbeiten, müssen sowohl über ihre individuellen Verantwortlichkeiten als auch über die Verantwortlichkeiten des Unternehmens gemäß der DSGVO und dieser Richtlinie aufgeklärt werden und eine Kopie dieser Richtlinie erhalten;
      1. 1. Nur Mitarbeiter, Vertreter, Subunternehmer oder andere Parteien, die im Auftrag des Unternehmens arbeiten, die Zugang zu personenbezogenen Daten und deren Verwendung benötigen, um die ihnen zugewiesenen Aufgaben ordnungsgemäß zu erfüllen, haben Zugang zu personenbezogenen Daten, die sich im Besitz des Unternehmens befinden;
      1. 1. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens mit personenbezogenen Daten umgehen, werden entsprechend geschult;
      1. 1. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden angemessen beaufsichtigt;
      1. 1. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Namen des Unternehmens mit personenbezogenen Daten arbeiten, sind aufgefordert und ermutigt, Sorgfalt, Vorsicht und Diskretion walten zu lassen, wenn sie arbeitsbezogene Angelegenheiten besprechen, die sich auf personenbezogene Daten beziehen, sei es am Arbeitsplatz oder anderweitig;
      1. 1. Die Methoden zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten sind regelmäßig zu bewerten und zu überprüfen;
      1. 1. Alle persönlichen Daten, die sich im Besitz des Unternehmens befinden, werden in regelmäßigen Abständen überprüft, wie in der Richtlinie zur Datenaufbewahrung;
      1. 1. Die Leistung der Mitarbeiter, Vertreter, Auftragnehmer oder anderer Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten umgehen, wird regelmäßig bewertet und überprüft;
      1. 1. Alle Mitarbeiter, Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, werden vertraglich dazu verpflichtet, dies in Übereinstimmung mit den Prinzipien der DSGVO und dieser Richtlinie zu tun;
      1. 1. Alle Vertreter, Auftragnehmer oder andere Parteien, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeiten, müssen sicherstellen, dass alle ihre Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, denselben Bedingungen unterliegen wie die entsprechenden Mitarbeiter des Unternehmens, die sich aus dieser Richtlinie und der DSGVO ergeben; und
      1. Wenn ein Vertreter, Auftragnehmer oder eine andere Partei, die im Auftrag des Unternehmens mit personenbezogenen Daten arbeitet, ihren Verpflichtungen gemäß dieser Richtlinie nicht nachkommt, muss diese Partei das Unternehmen von allen Kosten, Haftungen, Schäden, Verlusten, Ansprüchen oder Verfahren, die sich aus diesem Versäumnis ergeben, freistellen und schadlos halten.

28. Übermittlung personenbezogener Daten in ein Land außerhalb des EWR

1. 1. 1. Das Unternehmen kann von Zeit zu Zeit personenbezogene Daten in Länder außerhalb des EWR übertragen ("Übertragung" schließt die Bereitstellung aus der Ferne ein).
   1. Die Übermittlung von personenbezogenen Daten in ein Land außerhalb des EWR findet nur statt, wenn einer oder mehrere der folgenden Punkte zutreffen:
      1. 1. 1. Die Übermittlung erfolgt in ein Land, ein Gebiet oder einen oder mehrere bestimmte Sektoren in diesem Land (oder eine internationale Organisation), das/die nach Feststellung der Europäischen Kommission ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet;
         1. 1. Die Übermittlung erfolgt in ein Land (oder eine internationale Organisation), das/die angemessene Garantien in Form einer rechtsverbindlichen Vereinbarung zwischen Behörden oder Einrichtungen, verbindlichen Unternehmensregeln, von der Europäischen Kommission angenommenen Standarddatenschutzklauseln, der Einhaltung eines von einer Aufsichtsbehörde (z. B. dem Information Commissioner's Office) genehmigten Verhaltenskodex, der Zertifizierung im Rahmen eines genehmigten Zertifizierungsmechanismus (wie in der DSGVO vorgesehen), von der zuständigen Aufsichtsbehörde vereinbarten und genehmigten Vertragsklauseln oder von der zuständigen Aufsichtsbehörde genehmigten Bestimmungen in Verwaltungsvereinbarungen zwischen Behörden oder Einrichtungen bietet;
         1. 1. Die Übertragung erfolgt mit der informierten Zustimmung der betroffenen Person(en);
         1. 1. Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Unternehmen erforderlich (oder für vorvertragliche Maßnahmen, die auf Wunsch der betroffenen Person durchgeführt werden);
         1. 1. Die Übertragung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich;
         1. 1. Die Übermittlung ist zur Geltendmachung von Rechtsansprüchen erforderlich;
         1. 1. Die Übermittlung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder anderer Personen zu schützen, wenn die betroffene Person physisch oder rechtlich nicht in der Lage ist, ihre Einwilligung zu geben; oder
         1. Die Übertragung erfolgt aus einem Register, das nach britischem oder EU-Recht dazu bestimmt ist, Informationen für die Öffentlichkeit bereitzustellen, und das der allgemeinen Öffentlichkeit oder anderweitig denjenigen zugänglich ist, die ein berechtigtes Interesse am Zugriff auf das Register nachweisen können.

29. Benachrichtigung bei Datenverletzungen

1. 1. 1. Alle Verstöße gegen personenbezogene Daten müssen dem Vorstand des Unternehmens unverzüglich gemeldet werden.
   1. 1. Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt und diese Verletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt (z. B. finanzieller Verlust, Verletzung der Vertraulichkeit, Diskriminierung, Rufschädigung oder sonstiger erheblicher sozialer oder wirtschaftlicher Schaden), müssen die Direktoren sicherstellen, dass das Information Commissioner's Office unverzüglich, auf jeden Fall aber innerhalb von 72 Stunden, nachdem sie davon Kenntnis erlangt haben, über die Verletzung informiert wird.
   1. 1. Für den Fall, dass eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich ein hohes Risiko (d. h. ein höheres Risiko als das unter Teil 29.2 beschriebene) für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, muss ein Direktor sicherstellen, dass alle betroffenen Personen direkt und ohne unangemessene Verzögerung über die Verletzung informiert werden.
   1. Benachrichtigungen über Datenschutzverletzungen müssen die folgenden Informationen enthalten:
      1. 1. 1. Die Kategorien und die ungefähre Anzahl der betroffenen Personen;
         1. 1. Die Kategorien und die ungefähre Anzahl der betroffenen persönlichen Datensätze;
         1. 1. Name und Kontaktdaten des Direktors des Unternehmens, der den Verstoß bearbeitet (oder eine andere Kontaktstelle, bei der weitere Informationen eingeholt werden können);
         1. 1. Die wahrscheinlichen Folgen des Verstoßes;
         1. Einzelheiten zu den Maßnahmen, die das Unternehmen ergriffen hat oder zu ergreifen beabsichtigt, um den Verstoß zu beheben, einschließlich gegebenenfalls Maßnahmen zur Abmilderung seiner möglichen negativen Auswirkungen.

30. Umsetzung der Politik

Diese Richtlinie gilt ab dem 25.05.2018 als wirksam. Kein Teil dieser Richtlinie hat rückwirkende Kraft und gilt daher nur für Angelegenheiten, die an oder nach diesem Datum auftreten.

Diese Richtlinie wurde genehmigt und autorisiert von: