Datenschutzrichtlinie

Regulamin przetwarzania i ochrony danych osobowych w bazach danych osobowych będących własnością sprzedawcy

Inhalt

  1. Allgemeine Begriffe und Anwendungsbereich
  2. Verzeichnis der personenbezogenen Datenbanken
  3. Zweck der Verarbeitung personenbezogener Daten
  4. Verfahren zur Verarbeitung personenbezogener Daten: Einholung der Einwilligung, Benachrichtigung über Rechte und Maßnahmen im Zusammenhang mit personenbezogenen Daten der betroffenen Person
  5. Standort der personenbezogenen Datenbank
  6. Bedingungen für die Offenlegung personenbezogener Daten an Dritte
  7. Schutz personenbezogener Daten: Sicherheitsmaßnahmen, verantwortliche Person, Mitarbeiter, die personenbezogene Daten direkt verarbeiten und/oder im Rahmen ihrer beruflichen Pflichten darauf zugreifen, Dauer der Speicherung personenbezogener Daten
  8. Rechte der betroffenen Person
  9. Verfahren zur Bearbeitung von Anträgen betroffener Personen

1. Allgemeine Begriffe und Anwendungsbereich

1.1. Begriffsbestimmungen:

  • Datenbank mit personenbezogenen Daten – ein benannter, organisierter Satz personenbezogener Daten in elektronischer Form und/oder als Sammlung personenbezogener Daten.
  • Verantwortliche Person – eine benannte Person, die den Schutz personenbezogener Daten während ihrer Verarbeitung gemäß den gesetzlichen Vorschriften organisiert.
  • Eigentümer der Datenbank mit personenbezogenen Daten – eine natürliche oder juristische Person, die kraft Gesetzes oder mit Zustimmung der betroffenen Person zur Verarbeitung dieser Daten befugt ist, den Zweck der Datenverarbeitung in dieser Datenbank festlegt, den Umfang dieser Daten bestimmt und die Verfahren zu ihrer Verarbeitung festlegt, sofern gesetzliche Vorschriften nichts anderes bestimmen.
  • Staatliches Register für Datenbanken mit personenbezogenen Daten – ein einheitliches staatliches Informationssystem zur Erfassung, Speicherung und Verarbeitung von Informationen über registrierte Datenbanken mit personenbezogenen Daten.
  • Öffentlich zugängliche Quellen personenbezogener Daten – Verzeichnisse, Adressbücher, Register, Listen, Kataloge und andere systematisierte Sammlungen offengelegter Informationen, die personenbezogene Daten enthalten und mit Zustimmung der betroffenen Person veröffentlicht wurden. Soziale Netzwerke und Internetressourcen, auf denen die betroffene Person ihre personenbezogenen Daten hinterlässt, gelten nicht als öffentlich zugängliche Quellen, es sei denn, die betroffene Person hat ausdrücklich erklärt, dass sie ihre Daten zur freien Verbreitung und Nutzung veröffentlicht.
  • Einwilligung der betroffenen Person – jede dokumentierte, freiwillige Willenserklärung einer natürlichen Person, mit der sie der Verarbeitung ihrer personenbezogenen Daten zu einem bestimmten Zweck zustimmt.
  • Anonymisierung personenbezogener Daten – Entfernung von Informationen, die eine Identifizierung der Person ermöglichen.
  • Verarbeitung personenbezogener Daten – jede Handlung oder Reihe von Handlungen, die ganz oder teilweise in einem automatisierten System und/oder in einer Datenbank mit personenbezogenen Daten durchgeführt werden und die Erfassung, Registrierung, Speicherung, Anpassung, Änderung, Aktualisierung, Nutzung und Verbreitung (Übermittlung, Verkauf, Transfer), Anonymisierung oder Vernichtung von Informationen über eine natürliche Person betreffen.
  • Personenbezogene Daten – Informationen oder eine Sammlung von Informationen über eine natürliche Person, die identifiziert wurde oder identifizierbar ist.
  • Datenbankadministrator – eine natürliche oder juristische Person, die vom Eigentümer der Datenbank mit personenbezogenen Daten oder kraft Gesetzes zur Verarbeitung dieser Daten befugt wurde. Eine Person, die vom Eigentümer und/oder Administrator der Datenbank mit personenbezogenen Daten mit technischen Arbeiten an der Datenbank ohne Zugriff auf den Inhalt der personenbezogenen Daten beauftragt wurde, gilt nicht als Administrator.
  • Betroffene Person – eine natürliche Person, deren personenbezogene Daten gemäß den gesetzlichen Vorschriften verarbeitet werden.
  • Dritte Partei – jede Person mit Ausnahme der betroffenen Person, des Eigentümers oder Administrators der Datenbank mit personenbezogenen Daten sowie der zuständigen staatlichen Aufsichtsbehörde für den Schutz personenbezogener Daten, an die der Eigentümer oder Administrator der Datenbank personenbezogene Daten gemäß den gesetzlichen Vorschriften weitergibt.
  • Besondere Kategorien personenbezogener Daten – personenbezogene Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Mitgliedschaft in politischen Parteien und Gewerkschaften sowie Daten zur Gesundheit oder zum Sexualleben.

1.2. Diese Verordnung ist verbindlich für die verantwortliche Person sowie für die Mitarbeiter des Verkäufers, die personenbezogene Daten direkt verarbeiten und/oder im Rahmen ihrer dienstlichen Pflichten darauf zugreifen.

2. Verzeichnis der Datenbanken mit personenbezogenen Daten

2.1. Der Eigentümer der folgenden Datenbanken mit personenbezogenen Daten ist der Verkäufer:

  • Datenbank mit personenbezogenen Daten der Vertragspartner.

3. Zweck der Verarbeitung personenbezogener Daten

3.1. Der Zweck der Verarbeitung personenbezogener Daten im System besteht darin, die Durchführung zivilrechtlicher Beziehungen zu gewährleisten, Dienstleistungen zu erbringen, Zahlungen für erworbene Waren und Dienstleistungen gemäß der Abgabenordnung entgegenzunehmen und abzurechnen.

4. Verfahren zur Verarbeitung personenbezogener Daten: Einholung der Einwilligung, Benachrichtigung über Rechte und Maßnahmen in Bezug auf personenbezogene Daten der betroffenen Person

4.1. Die Einwilligung der betroffenen Person muss eine freiwillige Willenserklärung sein, mit der sie der Verarbeitung ihrer personenbezogenen Daten zu einem bestimmten Zweck zustimmt.

4.2. Die Einwilligung der betroffenen Person kann in folgenden Formen erteilt werden:

  • Ein schriftliches Dokument in Papierform, das die Identifizierung des Dokuments und der natürlichen Person ermöglicht.
  • Ein elektronisches Dokument, das verpflichtend Identifikationsdaten zur Bestimmung des Dokuments und der natürlichen Person enthalten muss. Die freiwillige Willenserklärung zur Einwilligung in die Verarbeitung personenbezogener Daten muss mit einer elektronischen Signatur der betroffenen Person bestätigt werden.
  • Eine Markierung auf einer elektronischen Dokumentenseite oder in einer elektronischen Datei, die in einem IT-System auf Basis dokumentierter Software- und Hardwarelösungen verarbeitet wird.

4.3. Die Einwilligung der betroffenen Person wird bei der Begründung zivilrechtlicher Beziehungen gemäß den geltenden gesetzlichen Vorschriften eingeholt.

4.4. Die betroffene Person wird über die Aufnahme ihrer personenbezogenen Daten in die Datenbank, über die sich aus dem deutschen Datenschutzgesetz ergebenden Rechte, über den Zweck der Datenerhebung und über die Personen, an die ihre personenbezogenen Daten weitergegeben werden, im Rahmen der Begründung zivilrechtlicher Beziehungen gemäß den geltenden Vorschriften informiert.

4.5. Die Verarbeitung personenbezogener Daten zu Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Mitgliedschaft in politischen Parteien und Gewerkschaften sowie Daten zur Gesundheit oder zum Sexualleben (besondere Kategorien von Daten) ist verboten.

5. Standort der personenbezogenen Datenbank

5.1. Die in Abschnitt 2 dieser Verordnung genannten Datenbanken mit personenbezogenen Daten befinden sich an der Adresse des Verkäufers.

6. Bedingungen für die Offenlegung personenbezogener Daten an Dritte

6.1. Das Verfahren für den Zugang Dritter zu personenbezogenen Daten wird durch die Einwilligungsbedingungen der betroffenen Person festgelegt, die dem Datenbankadministrator die Verarbeitung dieser Daten gestattet hat, oder gemäß den gesetzlichen Bestimmungen geregelt.

6.2. Dritten wird kein Zugang zu personenbezogenen Daten gewährt, wenn sie sich weigern, die Einhaltung der Anforderungen des Datenschutzgesetzes zu gewährleisten oder nicht in der Lage sind, diese sicherzustellen.

6.3. Ein Beteiligter an datenschutzrechtlichen Beziehungen stellt beim Datenbankadministrator einen Antrag auf Zugang zu personenbezogenen Daten (im Folgenden „Antrag“).

6.4. Der Antrag muss enthalten:

  • Vor- und Nachname sowie gegebenenfalls weitere Namen, Wohnort (Aufenthaltsort) sowie Daten eines Identifikationsdokuments der antragstellenden natürlichen Person (bei einer Einzelperson).
  • Name und Sitz der antragstellenden juristischen Person, Position, Vor- und Nachname sowie weitere Namen der Person, die den Antrag unterzeichnet; Nachweis, dass der Inhalt des Antrags den Befugnissen der juristischen Person entspricht (bei einer juristischen Person als Antragsteller).
  • Vor- und Nachname sowie weitere identifizierende Informationen der natürlichen Person, auf die sich der Antrag bezieht.
  • Angaben zur Datenbank mit personenbezogenen Daten, auf die sich die Anfrage bezieht, oder Informationen über den Eigentümer oder Administrator der betreffenden Datenbank.
  • Liste der personenbezogenen Daten, die angefordert werden.
  • Zweck und/oder rechtliche Grundlage für den Antrag.

6.5. Die Frist für die Bearbeitung des Antrags darf zehn Arbeitstage ab dem Datum des Eingangs nicht überschreiten. Innerhalb dieser Frist informiert der Eigentümer der Datenbank die antragstellende Person darüber, ob der Antrag erfüllt wird oder ob die angeforderten personenbezogenen Daten nicht bereitgestellt werden, unter Angabe der Gründe gemäß der entsprechenden rechtlichen Vorschrift. Die Erfüllung des Antrags erfolgt innerhalb von dreißig Kalendertagen ab dem Datum des Eingangs, sofern gesetzliche Bestimmungen nichts anderes vorschreiben.

6.6. Eine Verzögerung des Zugangs zu personenbezogenen Daten für Dritte ist zulässig, wenn die angeforderten Daten nicht innerhalb von dreißig Kalendertagen nach Eingang des Antrags bereitgestellt werden können. In diesem Fall darf die Gesamtdauer der Bearbeitung des Antrags vierzigfünf Kalendertage nicht überschreiten.

6.7. Die Benachrichtigung über die Verzögerung wird der antragstellenden dritten Person schriftlich mit einer Erläuterung des Verfahrens zur Anfechtung einer solchen Entscheidung übermittelt.

6.8. Die Benachrichtigung über die Verzögerung enthält:

  • Vor- und Nachname des zuständigen Beamten.
  • Datum der Versendung der Mitteilung.
  • Grund für die Verzögerung.
  • Frist für die Erfüllung des Antrags.

6.9. Eine Ablehnung des Zugangs zu personenbezogenen Daten ist zulässig, wenn der Zugang zu diesen gesetzlich verboten ist.

6.10. Die Mitteilung über die Ablehnung muss enthalten:

  • Vor- und Nachname des zuständigen Beamten, der den Zugang verweigert.
  • Datum der Versendung der Mitteilung.
  • Grund für die Ablehnung.

6.11. Gegen die Entscheidung über die Verzögerung oder Ablehnung des Zugangs zu personenbezogenen Daten kann gerichtlich Einspruch erhoben werden.

7. Schutz personenbezogener Daten: Schutzmethoden, verantwortliche Person, Mitarbeiter mit direktem Zugriff auf personenbezogene Daten, Aufbewahrungsfrist

7.1. Der Eigentümer der personenbezogenen Datenbank verfügt über systemische, software- und hardwarebasierte sowie kommunikative Mittel, die den Verlust, Diebstahl, die unbefugte Zerstörung, Verfälschung, Fälschung oder das Kopieren von Informationen verhindern und den Anforderungen internationaler und nationaler Standards entsprechen.

7.2. Die verantwortliche Person organisiert den Schutz personenbezogener Daten während der Verarbeitung gemäß den gesetzlichen Vorschriften. Sie wird durch eine Anordnung des Eigentümers der Datenbank ernannt.

Der Aufgabenbereich der verantwortlichen Person im Zusammenhang mit der Organisation des Schutzes personenbezogener Daten während ihrer Verarbeitung ist in der Stellenbeschreibung festgelegt.

7.3. Die verantwortliche Person ist verpflichtet:

  • Das deutsche Datenschutzrecht zu kennen.
  • Verfahren für den Zugang zu personenbezogenen Daten der Mitarbeiter gemäß ihren beruflichen oder dienstlichen Aufgaben oder ihrer Verantwortung für die Beschäftigung zu entwickeln.
  • Die Einhaltung der deutschen Datenschutzbestimmungen sowie der internen Regelungen des Verantwortlichen für die Verarbeitung und den Schutz personenbezogener Daten in den Datenbanken sicherzustellen.
  • Ein internes Kontrollverfahren zur Einhaltung der deutschen Datenschutzgesetze sowie der internen Regelungen des Verantwortlichen zu entwickeln, das insbesondere die Häufigkeit solcher Kontrollen regelt.
  • Den Verantwortlichen für die Verarbeitung personenbezogener Daten innerhalb eines Arbeitstages nach Feststellung über Verstöße der Mitarbeiter gegen die deutschen Datenschutzbestimmungen und die internen Regelungen zu informieren.
  • Die Aufbewahrung von Dokumenten sicherzustellen, die belegen, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilt hat und über ihre Rechte informiert wurde.

7.4. Zur Erfüllung ihrer Aufgaben ist die verantwortliche Person berechtigt:

  • Notwendige Dokumente, einschließlich Anordnungen und andere Verwaltungsdokumente des Eigentümers personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten, einzusehen.
  • Kopien der erhaltenen Dokumente, einschließlich Aktenkopien und aller Aufzeichnungen, die in lokalen Computernetzwerken und autonomen Computersystemen gespeichert sind, anzufertigen.
  • An Diskussionen über ihre Aufgaben zur Organisation des Schutzes personenbezogener Daten während der Verarbeitung teilzunehmen.
  • Vorschläge zur Verbesserung von Maßnahmen und Methoden einzubringen sowie Mängel in der Verarbeitung personenbezogener Daten aufzuzeigen und deren Beseitigung vorzuschlagen.
  • Erklärungen zu Fragen der Verarbeitung personenbezogener Daten entgegenzunehmen.
  • Dokumente innerhalb ihrer Zuständigkeit zu unterzeichnen und zu genehmigen.

7.5. Mitarbeiter, die direkt personenbezogene Daten verarbeiten und/oder im Rahmen ihrer beruflichen Pflichten Zugriff darauf haben, sind verpflichtet, die deutschen Datenschutzbestimmungen sowie die internen Regelungen zur Verarbeitung und zum Schutz personenbezogener Daten einzuhalten.

7.6. Mitarbeiter mit Zugang zu personenbezogenen Daten, einschließlich deren Verarbeitung, sind verpflichtet, die ihnen anvertrauten oder im Rahmen ihrer beruflichen oder dienstlichen Tätigkeit erlangten personenbezogenen Daten nicht offenzulegen. Diese Verpflichtung bleibt auch nach Beendigung ihrer Tätigkeit mit personenbezogenen Daten bestehen, es sei denn, gesetzliche Vorschriften sehen etwas anderes vor.

7.7. Personen mit Zugang zu personenbezogenen Daten, einschließlich deren Verarbeitung, haften im Falle eines Verstoßes gegen die Bestimmungen des Datenschutzgesetzes nach deutschem Recht.

7.8. Personenbezogene Daten werden nicht länger gespeichert, als es zur Erfüllung des Zwecks, für den sie erhoben wurden, erforderlich ist. In jedem Fall darf die Speicherdauer den in der Einwilligung der betroffenen Person festgelegten Zeitraum nicht überschreiten.

8. Rechte der betroffenen Person

8.1. Die betroffene Person hat das Recht:

  • Informationen über den Standort der Datenbank, die ihre personenbezogenen Daten enthält, deren Zweck sowie den Namen, den Standort und/oder den Wohnsitz (Aufenthaltsort) des Eigentümers oder Administrators dieser Datenbank zu erhalten oder eine bevollmächtigte Person zu beauftragen, diese Informationen einzuholen, sofern gesetzliche Vorschriften nichts anderes bestimmen.
  • Informationen über die Bedingungen für den Zugang zu ihren personenbezogenen Daten zu erhalten, einschließlich Informationen über Dritte, an die ihre personenbezogenen Daten weitergegeben werden.
  • Zugang zu ihren personenbezogenen Daten zu erhalten, die in der entsprechenden Datenbank gespeichert sind.
  • Eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten in der betreffenden Datenbank gespeichert sind, spätestens innerhalb von dreißig Kalendertagen nach Eingang des Antrags, sofern gesetzliche Bestimmungen nichts anderes vorsehen, sowie eine Kopie der gespeicherten personenbezogenen Daten zu erhalten.
  • Eine begründete Forderung einzureichen und der Verarbeitung ihrer personenbezogenen Daten durch staatliche oder kommunale Behörden im Rahmen ihrer gesetzlich festgelegten Befugnisse zu widersprechen.
  • Eine begründete Forderung zur Änderung oder Löschung ihrer personenbezogenen Daten durch jeden Eigentümer oder Administrator dieser Datenbank einzureichen, wenn diese Daten unrechtmäßig verarbeitet werden oder unrichtig sind.
  • Den Schutz ihrer personenbezogenen Daten vor unrechtmäßiger Verarbeitung sowie vor zufälligem Verlust, Zerstörung oder Beschädigung infolge vorsätzlicher Zurückhaltung, Nichtbereitstellung oder verspäteter Bereitstellung zu verlangen, ebenso wie den Schutz vor der Verbreitung falscher oder rufschädigender Informationen.
  • Den Schutz ihrer datenschutzrechtlichen Rechte durch staatliche und kommunale Behörden, die für den Datenschutz zuständig sind, in Anspruch zu nehmen.
  • Rechtsmittel einzulegen, wenn Vorschriften zum Schutz personenbezogener Daten verletzt wurden.

9. Verfahren zur Bearbeitung von Anträgen betroffener Personen

9.1. Die betroffene Person hat das Recht, von jeder datenverarbeitenden Stelle Informationen über sich selbst zu erhalten, ohne einen Verwendungszweck für die Anfrage anzugeben, außer in gesetzlich bestimmten Fällen.

9.2. Der Zugang der betroffenen Person zu ihren personenbezogenen Daten ist kostenlos.

9.3. Die betroffene Person stellt beim Eigentümer der Datenbank einen Antrag auf Zugang zu personenbezogenen Daten (im Folgenden „Antrag“).

Der Antrag muss folgende Angaben enthalten:

  • Vor- und Nachname sowie gegebenenfalls weitere Namen, Wohnort (Aufenthaltsort) sowie Daten eines Identifikationsdokuments der betroffenen Person.
  • Weitere Informationen, die zur Identifikation der betroffenen Person beitragen.
  • Informationen über die personenbezogene Datenbank, auf die sich der Antrag bezieht, oder Angaben zum Eigentümer oder Administrator dieser Datenbank.
  • Eine Liste der personenbezogenen Daten, auf die sich der Antrag bezieht.

9.4. Die Frist für die Bearbeitung des Antrags darf zehn Arbeitstage ab dem Datum des Eingangs nicht überschreiten. Innerhalb dieses Zeitraums informiert der Eigentümer der Datenbank die betroffene Person darüber, ob die Anfrage erfüllt wird oder ob die angeforderten personenbezogenen Daten nicht bereitgestellt werden, unter Angabe der Gründe gemäß den entsprechenden gesetzlichen Vorschriften.

9.5. Die Erfüllung des Antrags erfolgt innerhalb von dreißig Kalendertagen ab dem Datum des Eingangs, sofern gesetzliche Bestimmungen nichts anderes vorsehen.