Datenschutzbestimmungen

COLORISED Sp. z o. o. verpflichtet sich, die höchsten Standards in ihrem Tätigkeitsbereich zu erfüllen, um zu gewährleisten, dass ihre Dienstleistungen korrekt und in Übereinstimmung mit den geltenden Rechtsvorschriften und den Normen des allgemein geltenden Rechts erbracht werden.

gestützt auf das Vorstehende und in Anbetracht der durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 eingeführten Anforderungen. zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU.L.2016.119.1, 2016.05.04), damit die COLORISED Sp. z o.o., den korrekten Umgang mit personenbezogenen Daten in Bezug auf jede Operation, die mit personenbezogenen Daten durchgeführt wird, werden diese Datenschutzbestimmungen übernommen.

Dieses Dokument wurde im Anschluss an ein internes RODO-Audit erstellt, für das die COLORISED Sp. z o.o., ist als für die Verarbeitung personenbezogener Daten Verantwortlicher eingestuft, der Informationen verarbeitet, die personenbezogene Daten im Sinne der oben genannten EU-Verordnung darstellen.

Dieses Dokument wird von COLORISED Sp. z o. o. an alle Mitarbeiter, Auftragnehmer sowie aktuelle und potenzielle Kunden, um den Schutzumfang und das Ausmaß der Maßnahmen darzulegen, die im Hinblick auf jeden Prozess ergriffen werden, der direkt oder indirekt mit der Verarbeitung personenbezogener Daten verbunden ist.

Kapitel I
DEFINITIONEN

§1

Im Sinne der vorliegenden Verordnung:

1. Der Verwalter der persönlichen Daten ist COLORISED Sp. z o.o., Adresse: Mikołaja Kopernika 36B, Polen, EU, NIP/VAT: PL729 270 77 66, REGON: 361607998, KRS: 0000560152, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, im Folgenden als „Verwalter“ bezeichnet.
2. Personenbezogene Daten sind Informationen über eine bestimmte oder bestimmbare natürliche Person, also eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
3. Handeln auf eigene Initiative des Verwalters – dies ist ein Handeln auf der Grundlage einer Entscheidung des Verwalters, was bedeutet, dass keine rechtliche Verpflichtung besteht und der Verwalter frei entscheiden kann.
4. Der Datenschutzbeauftragte ist die von dem für die Verarbeitung Verantwortlichen ernannte Person, die für die Überwachung der Einhaltung der RODO, anderer Datenschutzvorschriften der EU oder der Mitgliedstaaten und der Datenschutzpolitik des für die Verarbeitung Verantwortlichen verantwortlich ist (im Folgenden als „DSB“ bezeichnet).
5. Datenüberlassung – ist eine Datenverarbeitungstätigkeit, die darin besteht, dass der für die Verarbeitung Verantwortliche personenbezogene Daten zur Verarbeitung an einen Dritten übermittelt, der die Daten im Auftrag des für die Verarbeitung Verantwortlichen zu dem von diesem angegebenen Zweck und in der von diesem angegebenen Weise verarbeitet.
6. Verarbeitung ist ein Vorgang oder eine Reihe von Vorgängen, die mit personenbezogenen Daten oder einer Reihe von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Abrufen, das Anzeigen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, die in diesen Bedingungen als Verarbeitung bezeichnet werden.
7. Die RODO-Verordnung ist die VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES (EU) 2016/679 vom 27. April 2016. zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU.L.2016.119.1, 2016.05.04), im Folgenden auch als RODO-Verordnung bezeichnet.
8. Gemeinsame Nutzung von Daten – ist eine Datenverarbeitungstätigkeit, die darin besteht, dass der für die Verarbeitung Verantwortliche personenbezogene Daten an einen Dritten weitergibt, ohne den Zweck der Verarbeitung und die Art und Weise der Verarbeitung zu spezifizieren.
9. Das Gesetz ist das Gesetz vom 10. Mai 2018. Über den Schutz personenbezogener Daten (Dz.U.2018.1000 vom 24.05.2018) in der geänderten Fassung. zm.
10. Ein Datensatz ist eine strukturierte Menge personenbezogener Daten, auf die nach bestimmten Kriterien zugegriffen werden kann, unabhängig davon, ob diese Menge zentral, dezentral oder funktional oder geografisch verstreut ist.

Kapitel II
ALLGEMEINE BESTIMMUNGEN

§1

1. Diese Datenschutzbestimmungen stellen eine Reihe von Regeln und Verfahren dar, die für die Verarbeitung personenbezogener Daten und den Umgang mit personenbezogenen Daten im Rahmen der Geschäftstätigkeit des Verwalters gelten, unabhängig davon, ob sie in elektronischer oder Papierform vorliegen, und unabhängig von der Technik oder Methode ihrer Aufzeichnung oder Speicherung.
2. Die in diesen Datenschutzbestimmungen enthaltenen Bestimmungen enthalten die Anweisungen und die Unterstützung des Verwalters, um die Sicherheit der personenbezogenen Daten zu gewährleisten:
   
   a.) die Grundsätze für die Verwaltung, den Schutz und die Verarbeitung personenbezogener Daten darlegen;
   b.) Standards festzulegen, um das korrekte und sichere Funktionieren aller Systeme für die Verarbeitung personenbezogener Daten und den Informationsfluss innerhalb des Unternehmensbereichs des Verwalters zu gewährleisten
3. Die Grundlage für die Ausarbeitung dieser Datenschutzbestimmungen und ihre Umsetzung sind die zum Zeitpunkt ihres Erlasses geltenden Rechtsakte, insbesondere die folgenden:
   
   a.) Gesetz vom 10. Mai 2018 über den Schutz personenbezogener Daten (Gesetzblatt 2018.1000 vom 24.05.2018);
   b.) VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl.EU.L.2016.119.1 vom 2016.05.04).
   
4. Die gesamte Dokumentation, die das Datenschutzsystem im Unternehmen des Verwalters umfasst, besteht aus:
   
   a.) Vorschriften zum Schutz personenbezogener Daten.
   b.) Sicherheitspolitik für personenbezogene Daten und ihre Anhänge.
   c.) Das Handbuch für die Verwaltung des Informationssystems, das zur Verarbeitung personenbezogener Daten verwendet wird, zusammen mit den Anhängen.
5. Wenn es notwendig ist, die Sicherheit der persönlichen Daten im Unternehmen des Verwalters noch detaillierter zu regeln, ist es möglich, eine zusätzliche Dokumentation einzuführen, die die notwendigen Bereiche im Detail regelt.

Kapitel III
VERANTWORTLICHER FÜR PERSONENBEZOGENE DATEN

§1

1. Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos einer unterschiedlich wahrscheinlichen und schwerwiegenden Verletzung der Rechte und Freiheiten natürlicher Personen stellt der für die Verarbeitung Verantwortliche gemäß Absatz 3 dieses Abschnitts sicher, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Verarbeitung im Einklang mit den geltenden Rechtsvorschriften erfolgt.
2. Die in Absatz 1 genannten technischen und organisatorischen Maßnahmen umfassen die Sicherstellung, dass der Verwalter die in den geltenden Vorschriften geforderte angemessene Dokumentation, insbesondere ein Konzept für die Sicherheit personenbezogener Daten, anwendet, und die gebührende Sorgfalt walten lässt, um den Abschluss und die Anwendung von Einzelvereinbarungen mit externen Stellen, denen der Verwalter die Daten zumindest teilweise anvertraut hat, zu gewährleisten, sowie die Führung von Aufzeichnungen über die Datenaustauschaktivitäten.
3. Bei der Umsetzung und Anwendung geeigneter technischer und organisatorischer Maßnahmen berücksichtigt der Verwalter den Stand der Technik, die Kosten für die Umsetzung dieser Maßnahmen und die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das sich aus der Verarbeitung ergebende Risiko einer Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere.
4. Der Verwalter bemüht sich nach besten Kräften, im Rahmen der getroffenen Vorkehrungen sicherzustellen, dass Maßnahmen zum wirksamen Schutz personenbezogener Daten und zur Gewährleistung der erforderlichen Sicherheit bei der Verarbeitung personenbezogener Daten getroffen werden.
5. Der für die Verarbeitung Verantwortliche trifft im Falle einer gemeinsamen Vereinbarung mit einem anderen für die Verarbeitung Verantwortlichen für den gemeinsamen Zweck und die gemeinsame Art und Weise der Datenverarbeitung die erforderlichen Vorkehrungen und legt seine Verantwortlichkeiten und das Verhältnis zwischen ihm und dem anderen für die Verarbeitung Verantwortlichen sowie das Verhältnis zu den betroffenen Personen klar fest, indem er die in dieser Hinsicht erforderlichen Handlungen und Maßnahmen trifft.

Kapitel IV
VERARBEITER VON PERSONENBEZOGENEN DATEN

§1

1. Der für die Verarbeitung Verantwortliche kann Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden sollen, in Auftrag geben. Der für die Verarbeitung Verantwortliche überprüft den Auftragsverarbeiter im Hinblick darauf, ob dieser ausreichende Garantien für die Umsetzung der technischen und organisatorischen Maßnahmen bietet, damit die von dem für die Verarbeitung Verantwortlichen angeordnete Verarbeitung den Anforderungen des geltenden Rechts entspricht und die Rechte der betroffenen Personen schützt.
2. Der für die Verarbeitung Verantwortliche vertraut dem Auftragsverarbeiter Daten auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments an, das sowohl für den Auftragsverarbeiter als auch für den für die Verarbeitung Verantwortlichen verbindlich ist. Im Hinblick auf die Regelung der Datenüberlassung stellt der Verwalter sicher, dass im Rahmen des geschlossenen Vertrags oder eines anderen Rechtsinstruments insbesondere Folgendes festgelegt wird:
   
   a.) den Gegenstand und die Dauer der Verarbeitung,
   b.) die Art und den Zweck der Verarbeitung,
   c.) die Art der personenbezogenen Daten, die verarbeitet werden sollen
   d.) Kategorien von Personen, auf die sich die personenbezogenen Daten beziehen,
   e.) die Pflichten und Rechte des Verwalters.

Kapitel V
VERZEICHNIS DER VERARBEITUNG PERSONENBEZOGENER DATEN

§1

1. Der für die Verarbeitung Verantwortliche sorgt von sich aus und immer dann, wenn er nach den geltenden Rechtsvorschriften dazu verpflichtet ist, für die Führung eines Verzeichnisses der Verarbeitungen personenbezogener Daten, das in schriftlicher oder elektronischer Form vorliegen kann.
2. Der für die Verarbeitung Verantwortliche stellt sicher, dass im Register für die Verarbeitung personenbezogener Daten die folgenden Informationen erfasst werden:
   
   a.) den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen und etwaiger gemeinsam für die Verarbeitung Verantwortlicher sowie des DSB, sofern ein solcher bestellt wurde;
   b.) die Zwecke der Verarbeitung;
   c.) eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
   d.) die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen;
   e.) gegebenenfalls die Übermittlung personenbezogener Daten an ein Drittland oder ein internationales Unternehmen, einschließlich des Namens dieses Drittlandes oder internationalen Unternehmens;
   f.) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
   g.) soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
3. Der Verwalter stellt sicher, dass der Auftragsverarbeiter verpflichtet ist, über alle Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verwalters durchgeführt werden, ein Verzeichnis zu führen.

Kapitel VI
GENEHMIGUNG ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

§1

1. Der Verwalter stellt in seinem Unternehmen sicher, dass die Verarbeitung nur von Personen durchgeführt wird, die vom Verwalter gemäß den für das Unternehmen des Verwalters geltenden internen Vorschriften, in denen die spezifischen Verfahren für den Zugang zu personenbezogenen Daten angegeben sind, zur Verarbeitung ermächtigt wurden.
2. Der Verwalter stellt sicher, dass die Personen, die personenbezogene Daten verarbeiten, über die erforderlichen Kenntnisse und Fähigkeiten in diesem Bereich verfügen und dass die Dauer und der Umfang der Verarbeitung personenbezogener Daten durch diese Personen mit dem Inhalt der vom Verwalter erteilten Genehmigung übereinstimmen.
3. Der Verwalter muss in Übereinstimmung mit den für das Unternehmen des Verwalters geltenden internen Vorschriften, die die Einzelheiten des Zugangs zu personenbezogenen Daten regeln, persönliche Genehmigungen zur Verarbeitung personenbezogener Daten und widerrufene Genehmigungen ausstellen, aufzeichnen und speichern.

§2

1. Der für die Verarbeitung Verantwortliche stellt sicher, dass die Personen, die personenbezogene Daten verarbeiten, sich ihrer Verpflichtung zur Geheimhaltung der Daten, zu denen sie Zugang haben, bewusst sind und dass diese Tatsache durch eine schriftliche Erklärung dieser Personen bestätigt wird.
2. Der Verwalter stellt sicher, dass die zur Verarbeitung befugte Person alle Vorgänge im Zusammenhang mit den personenbezogenen Daten mit den organisatorischen und technischen Maßnahmen durchführt, die im Unternehmen des Verwalters vorhanden sind, um die personenbezogenen Daten vor unbefugtem Zugriff, Veränderung und Vernichtung zu schützen.

Kapitel VII
DATENSCHUTZBEAUFTRAGTER

§1

1. Was das Unternehmen des Verwalters betrifft, so gibt es keinen Grund für die Bestellung eines DSB, denn:
   
   a.) die Haupttätigkeit des für die Verarbeitung Verantwortlichen nicht in Verarbeitungen besteht, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern;
   b.) die Haupttätigkeit des für die Verarbeitung Verantwortlichen nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten und personenbezogener Daten über strafrechtliche Verurteilungen und Verstöße umfasst.

2. In Anbetracht des Inhalts von Absatz 1 stellt der Verwalter in Ermangelung einer Verpflichtung zur Bestellung eines Datenschutzbeauftragten sicher, dass der interne Spezialist oder der Verwalter in allen Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten direkt kontaktiert werden kann, indem er eine E-Mail-Adresse oder eine Telefonnummer angibt.
3. In Bezug auf den Wortlaut von Abs. In Ermangelung einer Verpflichtung zur Bestellung eines Datenschutzbeauftragten stellt der Verwalter die Zusammenarbeit mit einer professionellen Einrichtung sicher, die über die erforderlichen Kenntnisse und Instrumente verfügt, um in Bezug auf den Schutz personenbezogener Daten im Rahmen des Unternehmens zu beraten.

§2

1. Der für die Verarbeitung Verantwortliche kann von sich aus einen behördlichen Datenschutzbeauftragten bestellen; in diesem Fall sorgt der für die Verarbeitung Verantwortliche für die Veröffentlichung der Kontaktdaten des behördlichen Datenschutzbeauftragten und meldet die Bestellung der für den Schutz personenbezogener Daten zuständigen Aufsichtsbehörde gemäß den zum Zeitpunkt der Bestellung geltenden Rechtsvorschriften.
2. Hat der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten gemäß Absatz 1 bestellt, so stellt er sicher, dass der Datenschutzbeauftragte seine Aufgaben unter gebührender Berücksichtigung der mit der Verarbeitung verbundenen Risiken und unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung wahrnimmt.

Kapitel VIII
GRÜNDE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

§1

1. Der Verwalter stellt sicher, dass innerhalb seines Unternehmens alle Vorgänge im Zusammenhang mit personenbezogenen Daten unter Einhaltung der nachstehenden Leitlinien durchgeführt werden:
   
   a.) Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person transparenten Weise verarbeitet werden;
   b.) Personenbezogene Daten werden für bestimmte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet;
   c.) Die personenbezogenen Daten sind angemessen, relevant und auf das beschränkt, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
   d.) Personenbezogene Daten müssen korrekt sein und bei Bedarf aktualisiert werden, und der Verwalter unternimmt alle angemessenen Schritte, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
   e.) Personenbezogene Daten werden nur so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert, die die Identifizierung der betroffenen Person ermöglicht; sie können jedoch länger aufbewahrt werden, sofern sie nur für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden, vorausgesetzt, es werden geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen;
   f.) Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen.

§2

1. Der für die Verarbeitung Verantwortliche stellt sicher, dass die Verarbeitung personenbezogener Daten innerhalb seines Unternehmens zu den angegebenen Zwecken und in dem angegebenen Umfang erfolgt, wenn:
   
   a.) die betroffene Person hat in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt;
   b.) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für Maßnahmen erforderlich, die auf Antrag der betroffenen Person vor Abschluss eines Vertrags getroffen werden;
   c.) Die Verarbeitung ist für die Erfüllung einer dem Verwalter obliegenden rechtlichen Verpflichtung erforderlich;
   d.) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
   e.) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verwalter übertragen wurde;
   f.) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz der personenbezogenen Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.

2. Der Verwalter stellt sicher, dass in seinem Unternehmen keine personenbezogenen Daten verarbeitet werden, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, und dass keine genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über ihre Gesundheit, Sexualität oder sexuelle Ausrichtung verarbeitet werden, es sei denn, dies ist gesetzlich ausdrücklich erlaubt.
3. Der für die Verarbeitung Verantwortliche stellt sicher, dass die von ihm verarbeiteten personenbezogenen Daten in einer Weise erhoben werden, die dem allgemein geltenden Recht entspricht, sei es direkt von der betroffenen Person oder auf andere Weise als von der betroffenen Person.

Kapitel IX
DIE RECHTE DER PERSONEN, DEREN PERSONENBEZOGENE DATEN VERARBEITET WERDEN

§1

1. Der für die Verarbeitung Verantwortliche stellt sicher, dass die Erfassung personenbezogener Daten in einer Weise erfolgt, die im Einklang steht mit
   im Einklang mit dem allgemein geltenden Recht, insbesondere durch Bereitstellung aller in der RODO vorgeschriebenen Informationen für die betroffene Person.
2. Der für die Verarbeitung Verantwortliche stellt sicher, dass die betroffene Person nach der Datenschutz-Grundverordnung das Recht hat, die personenbezogenen Daten zu kontrollieren.
3. Die Person, deren personenbezogene Daten verarbeitet werden, hat in jeder Phase der Verarbeitung ihrer personenbezogenen Daten eine Reihe von Rechten, die es ihr ermöglichen, auf die personenbezogenen Daten zuzugreifen, die Korrektheit der Verarbeitung der personenbezogenen Daten zu überprüfen, die personenbezogenen Daten zu korrigieren sowie der Verarbeitung zu widersprechen, die Einschränkung der Verarbeitung zu verlangen und die personenbezogenen Daten zu übertragen.

Kapitel X
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUM SCHUTZ PERSONENBEZOGENER DATEN

§1

1. Der für die Verarbeitung Verantwortliche stellt sicher, dass geeignete technische und organisatorische Datenschutzmaßnahmen getroffen werden, insbesondere dass Dokumente, sowohl in elektronischer Form als auch in Papierform, die personenbezogene Daten enthalten, in ordnungsgemäß gesicherten Gebäuden und Räumlichkeiten aufbewahrt werden.
2. Beschließt der Verwalter in Erfüllung der in Absatz 1 dieses Abschnitts genannten Verpflichtung, Aufzeichnungen, die personenbezogene Daten enthalten, in verschlossenen Gebäuden und Räumlichkeiten aufzubewahren, so stellt er insbesondere sicher, dass:
   
   a.) geeignete Kontroll- und Überprüfungsmaßnahmen in Bezug auf den Zugang zu Gebäuden und Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, getroffen wurden,
   b.) die Schlüssel zu den Orten, an denen personenbezogene Daten verarbeitet werden, direkt vom für die Verarbeitung Verantwortlichen oder einer anderen verantwortlichen Person nur an Personen ausgegeben werden, die zum Zugang zu diesen Gebäuden und Räumlichkeiten berechtigt sind
   c.) die im Unternehmen des Verwalters geltenden internen Vorschriften – wenn der Verwalter Eigentümer eines Gebäudes ist, hat er die Person, die der Schlüsselinhaber war, verpflichtet, die Schlüssel zu den Orten, an denen personenbezogene Daten verarbeitet werden, nur an Personen auszuhändigen, die zum Zugang zu diesen Gebäuden und Räumlichkeiten berechtigt sind,
   d.) interne Vorschriften, die im Unternehmen des Verwalters gelten – wenn der Verwalter Eigentümer eines Gebäudes ist, verpflichten Sie die Person, die für die Ausgabe von Schlüsseln zu den Orten, an denen personenbezogene Daten verarbeitet werden, verantwortlich ist, die Schlüssel nur an Personen auszuhändigen, die zum Zugang zu diesen Gebäuden und Räumlichkeiten berechtigt sind,
   e.) Vorschriften für gemietete/verpachtete/genutzte Gebäude und Räumlichkeiten – wenn der Verwalter Gebäude oder Räumlichkeiten mietet/verpachtet/genutzt, verpflichten Sie die für die Ausgabe der Schlüssel verantwortliche Person, die Schlüssel zu den Orten, an denen personenbezogene Daten verarbeitet werden, nur an Personen auszuhändigen, die zum Zugang zu diesen Gebäuden und Räumlichkeiten berechtigt sind,
   f.) geeignete Verfahren vorhanden sind, die eine Person, die die Schlüssel zu einem Ort verloren hat, an dem personenbezogene Daten verarbeitet werden, dazu verpflichten, den Verwalter oder eine vom Verwalter benannte Person unverzüglich über diesen Umstand zu informieren.
3. Der Verwalter stellt sicher, dass detaillierte Regeln für die Zugangskontrolle zu den verschiedenen Orten, an denen personenbezogene Daten verarbeitet werden, in den internen Verfahren des Unternehmens des Verwalters festgelegt sind.

§2

1. Der Verwalter stellt sicher, dass das Unternehmen des Verwalters über geeignete interne Verfahren verfügt, die das korrekte Verhalten bei der Arbeit mit Unterlagen, die personenbezogene Daten enthalten, angeben, und insbesondere, dass:
   
   a.) bei der Verwendung von MFPs zum Kopieren oder Scannen von Dokumenten, die personenbezogene Daten enthalten, werden die Dokumente, die personenbezogene Daten enthalten, wenn sie kopiert oder gescannt werden, sowie ihre Kopien unmittelbar nach der Verwendung aus dem MFP entfernt,
   b.) bei der Übermittlung von Dokumenten, die personenbezogene Daten enthalten, auf elektronischem Wege besondere Sorgfalt angewandt wird, insbesondere, dass das übermittelte Dokument gegebenenfalls verschlüsselt wird,
   c.) Die zur Verarbeitung personenbezogener Daten befugte Person muss nach Abschluss der Verarbeitungsvorgänge von Dokumenten, die personenbezogene Daten enthalten, die Dokumente und elektronischen Datenträger an speziell dafür vorgesehenen Orten sichern.
   d.) Die zur Verarbeitung personenbezogener Daten befugte Person vernichtet nach Beendigung der Verarbeitungstätigkeit unbrauchbare Papierdokumente, die personenbezogene Daten enthalten, auf sichere Weise, insbesondere mit Hilfe eines Schredders.
2. Der Verwalter stellt sicher, dass das Unternehmen des Verwalters über geeignete interne Verfahren für die dauerhafte Vernichtung von Dokumenten mit personenbezogenen Daten verfügt; insbesondere kann der Verwalter Dokumente mit personenbezogenen Daten durch einen professionellen Aktenvernichter dauerhaft vernichten (nach Abschluss einer entsprechenden Vereinbarung gemäß den Bestimmungen von Kapitel IV).

§3

1. Der für die Verarbeitung Verantwortliche stellt sicher, dass alle Personen, die im Unternehmen des für die Verarbeitung Verantwortlichen zur Datenverarbeitung befugt sind, über die geltenden Rechtsvorschriften zum Schutz personenbezogener Daten informiert sind.
2. Der Verwalter schult, soweit erforderlich und ratsam, die zur Verarbeitung personenbezogener Daten befugten Personen im sicheren Betrieb von Geräten und Software im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten sowie in der Sicherheit der Orte, an denen Dokumente mit personenbezogenen Daten aufbewahrt werden.
3. Detaillierte physische, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten sind in den internen Dokumenten enthalten, die im Unternehmen des Verwalters gelten, insbesondere in der Sicherheitspolitik zum Schutz personenbezogener Daten und im IT-Systemmanagementhandbuch.

Kapitel XI
VERFAHREN FÜR DEN UMGANG MIT SICHERHEITSVERLETZUNGEN BEI PERSONENBEZOGENEN DATEN

§1

1. Der Verwalter sorgt innerhalb des Unternehmens des Verwalters für die Entwicklung und Umsetzung eines Verfahrens zum Umgang mit Sicherheitsverletzungen personenbezogener Daten, das insbesondere Folgendes regelt
   
   a.) Verringerung des Auftretens ähnlicher Vorfälle in der Zukunft;
   b.) Minimierung der Auswirkungen des Vorfalls;
   c.) Klärung der Umstände des Vorfalls;
   d.) Sicherung von Beweisen für den Vorfall.
2. Der Verwalter stellt sicher, dass das Verfahren, das im Falle einer Verletzung der Sicherheit personenbezogener Daten einzuhalten ist, umfassend und im Einklang mit den geltenden Vorschriften die richtigen Maßnahmen in jeder Phase regelt, d.h. Vorbeugung, Überwachung und Kontrolle sowie Klärung aller Risiken einer Verletzung des Schutzes personenbezogener Daten.

§2

1. Der Administrator behandelt jedes Ereignis, das die Sicherheit der personenbezogenen Daten beeinträchtigt, unabhängig davon, ob es vom menschlichen Willen abhängt oder nicht, als Sicherheitsvorfall, insbesondere:a.) ein Ereignis, das zu einem Verlust der Integrität (Vollständigkeit, Zuverlässigkeit) der personenbezogenen Daten führt;
   b.) ein Ereignis, das die Vertraulichkeit der personenbezogenen Daten gefährdet;
   b.) ein Ereignis, das die Verantwortlichkeit der personenbezogenen Daten beeinträchtigt.
2. Der Verwalter im Rahmen des Geltungsbereichs stellt sicher, dass alle notwendigen Schritte und Maßnahmen zum Schutz personenbezogener Daten ergriffen werden, wenn es zu Folgendem gekommen ist:a.) Ein Verstoß gegen die internen Richtlinien, Verfahren oder Anweisungen zum Schutz personenbezogener Daten, die für den Geschäftsbereich des Administrators gelten,
   b.) Verstöße gegen die geltenden Gesetze zum Schutz personenbezogener Daten,
   c.) Verstoß gegen die vom Verwalter angewandten physischen Sicherheitsmaßnahmen.
3. Detaillierte Regeln für den Umgang mit einer Verletzung des Schutzes personenbezogener Daten werden vom Verwalter in internen Dokumenten, Verfahren und Richtlinien geregelt.

Kapitel XII
GRUNDSÄTZE FÜR DEN AUSTAUSCH PERSONENBEZOGENER DATEN

§1

1. Der für die Verarbeitung Verantwortliche gibt personenbezogene Daten, die im Rahmen seiner Tätigkeit verarbeitet werden, nur an Personen oder Einrichtungen weiter, die nach den zum Zeitpunkt der Weitergabe geltenden gesetzlichen Bestimmungen zum Empfang berechtigt sind.
2. Der Verwalter stellt sicher, dass die Bereitstellung personenbezogener Daten nicht gegen die Rechte der betroffenen Person verstößt.

Kapitel XIII
SCHLUSSBESTIMMUNGEN

§1

1. Diese Datenschutzordnung tritt am 01.05.2023 in Kraft.