PRÄAMBEL

GREENFILL3D Sp. z o. o. bemüht sich im Rahmen seiner Tätigkeit, die höchsten Standards zu erfüllen, um die ordnungsgemäße Erbringung von Dienstleistungen gemäß den geltenden Vorschriften und Normen des allgemein geltenden Rechts zu gewährleisten.

Angesichts des oben Gesagten in Bezug auf die Anforderungen, die durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr eingeführt wurden solche Daten und zur Aufhebung der Richtlinie 95/46 / EG (allgemeine Datenschutzverordnung) (Gesetzblatt EU L.2016.119.1 vom 04.05.2016), um sicherzustellen, dass GREENFILL3D Sp. z o. o., für den ordnungsgemäßen Umgang mit personenbezogenen Daten im Rahmen jeder Operation, die mit personenbezogenen Daten durchgeführt wird, werden diese Vorschriften zum Schutz personenbezogener Daten erlassen.

Dieses Dokument wurde nach einem internen Audit der DSGVO entwickelt, in dessen Rahmen GREENFILL3D Sp. z o. o., wurde als Verwalter personenbezogener Daten eingestuft, der Informationen verarbeitet, die personenbezogene Daten im Sinne der oben genannten EU-Verordnung darstellen.

Dieses Dokument wird von GREENFILL3D Sp. verwaltet. z o. o. an alle kooperierenden Stellen, Auftragnehmer sowie aktuelle und potenzielle Kunden, um den Umfang des Schutzes und den Umfang der ergriffenen Maßnahmen aufgrund aller Prozesse darzustellen, die direkt oder indirekt mit der Verarbeitung personenbezogener Daten zusammenhängen.

Kapitel I
DEFINITIONEN

§ 1

Im Sinne dieser Vorschriften:

1. Der Administrator der personenbezogenen Daten ist GREENFILL3D Sp. z o.o., Adresse: Mikołaja Kopernika 36B, Polen, EU, NIP / MwSt.-Nummer: PL 727 285 10 52, REGON-Nummer: 389322819, die unabhängig oder gemeinsam mit anderen die Zwecke und Methoden der Verarbeitung personenbezogener Daten bestimmt, im Folgenden als die bezeichnet „Administrator“.
2. Personenbezogene Daten sind Informationen über eine identifizierte oder identifizierbare natürliche Person, also eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere anhand einer Kennung wie Vor- und Nachname, Identifikationsnummer, Standortdaten, Internetkennung oder einem oder mehreren besonderen Merkmalen Bestimmung der physischen, physiologischen, genetischen, mentalen, wirtschaftlichen, kulturellen oder sozialen Identität einer Person.
3. Handeln auf eigene Initiative des Administrators – es handelt sich um eine Handlung, die auf einer Entscheidung des Administrators basiert, was bedeutet, dass diesbezüglich keine gesetzliche Verpflichtung besteht und der Administrator frei ist, Entscheidungen zu treffen.
4. Der Datenschutzbeauftragte ist eine vom Administrator ernannte Person, die für die Überwachung der Einhaltung der DSGVO, anderer Datenschutzbestimmungen der EU oder der Mitgliedstaaten und der Richtlinien des Administrators im Bereich des Schutzes personenbezogener Daten verantwortlich ist, im Folgenden als „DSB“ bezeichnet.
5. Anvertrauen von Daten – ist die Aktivität der Datenverarbeitung, die in der Übertragung personenbezogener Daten durch den Administrator zur Verarbeitung durch einen Dritten besteht, der Daten auf Anfrage des Administrators für den Zweck und in einer vom Administrator angegebenen Weise verarbeitet.
6. Die Verarbeitung ist ein Vorgang oder eine Reihe von Vorgängen, die mit personenbezogenen Daten oder Sätzen personenbezogener Daten auf automatisierte oder nicht automatisierte Weise durchgeführt werden, wie z B. durch Senden, Verteilen oder anderweitiges Teilen, Abgleichen oder Kombinieren, Beschränken, Löschen oder Vernichten, im Folgenden als Verarbeitungsbestimmungen bezeichnet.
7. Die DSGVO-Verordnung ist die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016. zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 / EG (allgemeine Datenschutzverordnung) (Gesetzblatt EU L.2016.119.1 von 2016/ 05/04), im Folgenden auch als DSGVO-Verordnung bezeichnet.
8. Weitergabe von Daten – ist die Aktivität der Datenverarbeitung, die darin besteht, personenbezogene Daten durch den Administrator einem Dritten zur Verfügung zu stellen, ohne den Zweck der Verarbeitung anzugeben, ohne die Methode der Verarbeitung anzugeben.
9. Das Gesetz ist das Gesetz vom 10. Mai 2018. über den Schutz personenbezogener Daten (Gesetzblatt 2018.1000 vom 24.05.2018) in der geänderten Fassung d.
10. Ein Datensatz ist eine geordnete Menge personenbezogener Daten, die nach bestimmten Kriterien verfügbar sind, unabhängig davon, ob die Menge zentral, dezentral oder funktional oder geografisch verteilt ist.

Kapitel II
ALLGEMEINE BESTIMMUNGEN

§ 1

1. Diese Datenschutzbestimmungen stellen eine Reihe von Regeln und Verfahren dar, die für die Verarbeitung personenbezogener Daten und den Umgang mit personenbezogenen Daten im Unternehmen des Administrators gelten, sowohl in elektronischer als auch in Papierform, unabhängig von der Technik oder Methode der Aufzeichnung oder Speicherung.
2. Die in diesen Datenschutzbestimmungen enthaltenen Vorschriften definieren die Richtungen der Aktivitäten des Administrators und die Unterstützung zur Gewährleistung der Sicherheit personenbezogener Daten, insbesondere:
   
   a.) die Regeln für die Verwaltung, den Schutz und die Verarbeitung personenbezogener Daten definieren;
   b.) Standards definieren, die das korrekte und sichere Funktionieren aller Systeme zur Verarbeitung personenbezogener Daten und des Informationsflusses im Bereich des Unternehmens des Administrators gewährleisten
3. Grundlage für die Entwicklung dieser Verordnung zum Schutz personenbezogener Daten und ihre Umsetzung sind insbesondere die zum Zeitpunkt ihrer Annahme geltenden Rechtsakte
   
   a.) Gesetz vom 10. Mai 2018 zum Schutz personenbezogener Daten (Gesetzblatt 2018.1000 vom 24.05.2018);
   b.) VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 / EG (Allgemeine Verordnung zum Datenschutz) (Gesetzblatt UE.L.2016.119.1 vom 04.05.2016).
4. Die gesamte Dokumentation, die das System zum Schutz personenbezogener Daten im Bereich des Unternehmens des Verantwortlichen umfasst, besteht aus:
   
   a.) Vorschriften zum Schutz personenbezogener Daten.
   b.) Sicherheitsrichtlinie für personenbezogene Daten mit Anhängen.
   c.) Anweisungen für die Verwaltung des IT-Systems, das zur Verarbeitung personenbezogener Daten verwendet wird, einschließlich Anhängen.
5. Wenn eine zusätzliche detaillierte Regelung der Sicherheit personenbezogener Daten im Unternehmen des Administrators erforderlich ist, ist es möglich, zusätzliche Dokumentation einzuführen, die die erforderlichen Bereiche im Detail regelt.

Kapitel III
VERWALTER PERSÖNLICHER DATEN

§ 1

1. Unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung und des Risikos der Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere des Risikos stellt der Administrator gemäß den Bestimmungen von Absatz 3 dieses Absatzes sicher die Implementierung und Anwendung geeigneter technischer und organisatorischer Maßnahmen, damit die Datenverarbeitung in Übereinstimmung mit den geltenden Vorschriften erfolgt.
2. Die technischen und organisatorischen Maßnahmen, auf die in Absatz 1 oben Bezug genommen wird, umfassen die Sicherstellung, dass der Administrator die entsprechende Dokumentation implementiert, die von den geltenden Vorschriften gefordert wird, einschließlich insbesondere der Sicherheitsrichtlinie für personenbezogene Daten, und alle Anstrengungen unternimmt, um den Abschluss und die Anwendung individueller Verträge mit externen zu gewährleisten Stellen, denen der Administrator die Daten zumindest teilweise anvertraut hat, sowie Aufzeichnungstätigkeiten, die in der Bereitstellung von Daten bestehen.
3. Bei der Umsetzung und Anwendung geeigneter technischer und organisatorischer Maßnahmen berücksichtigt der Administrator den Stand des technischen Wissens, die Kosten für die Umsetzung dieser Maßnahmen und deren Art, Umfang, Kontext und Zweck der Verarbeitung sowie das Risiko der Verletzung der Rechte oder Freiheiten von natürlichen Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere des aus der Verarbeitung resultierenden Risikos.
4. Im Rahmen der verwendeten Lösungen wird der Administrator alle Anstrengungen unternehmen, um Maßnahmen zu ergreifen, die einen wirksamen Schutz personenbezogener Daten und die erforderliche Sicherheit bei der Verarbeitung personenbezogener Daten ermöglichen.
5. Für den Fall, dass eine gemeinsame Vereinbarung mit einem anderen Datenverantwortlichen über einen gemeinsamen Zweck und eine gemeinsame Methode der Datenverarbeitung besteht, trifft der Verantwortliche die erforderlichen Vorkehrungen und legt den Umfang seiner Verantwortung und die Beziehungen zwischen ihm und dem anderen Verantwortlichen sowie die Beziehungen klar fest mit den betroffenen Personen, indem sie diesbezüglich die erforderlichen Maßnahmen und Maßnahmen ergreifen.

Kapitel IV
VERARBEITENDE PERSONENBEZOGENE DATEN

§ 1

1. Der Administrator kann Daten anvertrauen – zur Verarbeitung auf Anfrage des Administrators. Der Administrator überprüft den Verarbeiter personenbezogener Daten, um sicherzustellen, dass das Unternehmen ausreichende Garantien für die Umsetzung solcher technischer und organisatorischer Maßnahmen bietet, damit die vom Administrator beauftragte Verarbeitung die Anforderungen des anwendbaren Rechts erfüllt und die Rechte der betroffenen Personen schützt.
2. Der Administrator vertraut die Daten der verarbeitenden Stelle auf der Grundlage einer Vereinbarung oder eines anderen Rechtsinstruments an, das sowohl für den Prozessor als auch für den Administrator verbindlich ist. In Bezug auf die Regelung der Datenanvertrauung stellt der Administrator sicher, dass im Rahmen des abgeschlossenen Vertrags oder eines anderen Rechtsinstruments insbesondere Folgendes festgelegt ist:
   
   a.) Gegenstand und Dauer der Verarbeitung,
   b.) Art und Zweck der Verarbeitung,
   c.) Art der zu verarbeitenden personenbezogenen Daten
   d.) Kategorien von Personen, auf die sich die personenbezogenen Daten beziehen,
   e.) die Pflichten und Rechte des Administrators,

Kapitel V
REGISTER DER VERARBEITUNG PERSONENBEZOGENER DATEN

§ 1

1. Der Administrator stellt auf eigene Initiative und immer dann, wenn er gemäß geltendem Recht dazu verpflichtet ist, sicher, dass ein Verzeichnis der Aktivitäten zur Verarbeitung personenbezogener Daten geführt wird, das in schriftlicher oder elektronischer Form erfolgen kann. Der Administrator kann dazu auch spezielle Software verwenden Register führen.
2. Im Rahmen des Registers der Verarbeitung personenbezogener Daten stellt der Administrator die folgenden Informationen bereit:
   
   a.) Vor- und Nachname oder Name und Kontaktdaten des Verwalters und etwaiger gemeinsamer Verwalter und des DSB, sofern bestellt;
   b.) die Zwecke der Verarbeitung;
   c.) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
   d.) Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder werden, einschließlich Empfänger in Drittländern oder in internationalen Organisationen;
   e.) gegebenenfalls Übermittlung personenbezogener Daten an ein Drittland oder internationales Unternehmen, einschließlich des Namens dieses Drittlandes oder internationalen Unternehmens;
   f.) soweit möglich die geplanten Löschzeitpunkte einzelner Datenkategorien;
   g.) soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
3. Der Administrator stellt die Verpflichtung des Auftragsverarbeiters sicher, ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die im Auftrag des Administrators durchgeführt werden.

Kapitel VI
ERMÄCHTIGUNG ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

§ 1

1. Der Administrator stellt in seinem Unternehmen sicher, dass die Verarbeitung nur von Personen durchgeführt wird, die zur Verarbeitung befugt sind, die vom Administrator gemäß den für das Unternehmen des Administrators geltenden internen Vorschriften ausgestellt wurden, die detaillierte Verfahren für den Zugriff auf personenbezogene Daten enthalten.
2. Der Administrator stellt sicher, dass die Personen, die personenbezogene Daten verarbeiten, über die diesbezüglich erforderlichen Kenntnisse und Fähigkeiten verfügen und dass der Zeitraum und Umfang der Verarbeitung personenbezogener Daten durch diese Personen mit dem Inhalt der vom Administrator erteilten Genehmigung übereinstimmt.
3. Der Administrator stellt gemäß den für das Unternehmen des Administrators geltenden internen Vorschriften, die die detaillierten Verfahren im Bereich des Zugriffs auf personenbezogene Daten regeln, persönliche Genehmigungen zur Verarbeitung personenbezogener Daten und entzogene Genehmigungen aus, zeichnet sie auf und speichert sie.

§ 2

1. Der Administrator stellt sicher, dass Personen, die personenbezogene Daten verarbeiten, sich der Verpflichtung zur Wahrung der Vertraulichkeit der Daten bewusst sind, auf die sie Zugriff haben, und dass diese Tatsache durch eine schriftliche Erklärung dieser Personen bestätigt wird.
2. Der Administrator stellt sicher, dass die zur Verarbeitung autorisierte Person alle Aktivitäten mit personenbezogenen Daten durchführt und gleichzeitig organisatorische und technische Maßnahmen innerhalb des Unternehmens des Administrators aufrechterhält, die der Sicherung und dem Schutz personenbezogener Daten vor unbefugtem Zugriff, Änderung und Zerstörung dienen.

Kapitel VII
DATENSCHUTZINSPEKTOR

§ 1

1. In Bezug auf das Unternehmen des Verantwortlichen gibt es keine Voraussetzungen für die Bestellung eines Datenschutzbeauftragten, weil:
   
   a.) die Haupttätigkeit des Administrators besteht nicht in Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern;
   b.) Die Haupttätigkeit des Administrators besteht nicht in der groß angelegten Verarbeitung bestimmter Kategorien personenbezogener Daten und personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Rechtsverletzungen.

2. Aufgrund des Inhalts von Absatz 1 oben bietet der Administrator in Ermangelung einer Verpflichtung zur Ernennung eines Datenschutzbeauftragten die Möglichkeit, sich in allen Angelegenheiten zum Schutz personenbezogener Daten an einen internen Spezialisten oder direkt an den Administrator zu wenden, indem er Kontaktdaten angibt E-Mail-Adresse oder Telefonnummer.
3. In Anbetracht des Inhalts von Absatz 1 oben bietet der Administrator in Ermangelung einer Verpflichtung zur Ernennung eines Datenschutzbeauftragten die Zusammenarbeit mit einer professionellen Einrichtung an, die über die erforderlichen Kenntnisse und Werkzeuge verfügt, um Beratung zum Schutz personenbezogener Daten im Rahmen des Administrators zu leisten Unternehmen.

§ 2

1. Der Administrator kann auf eigene Initiative die Ernennung des Datenschutzbeauftragten vorsehen, dann sorgt der Administrator für die Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und benachrichtigt die für den Schutz personenbezogener Daten zuständige Aufsichtsbehörde über seine Ernennung gemäß dem zum Zeitpunkt der Ernennung des Datenschutzbeauftragten geltenden gesetzlichen Bestimmungen.
2. Wenn der Administrator gemäß Absatz 1 dieses Absatzes einen Datenschutzbeauftragten ernannt hat, stellt er sicher, dass er seine Aufgaben unter gebührender Berücksichtigung der mit den Verarbeitungsvorgängen verbundenen Risiken unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung ausführt.

Kapitel VIII
GRUNDLAGE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

§ 1

1. Der Administrator stellt sicher, dass in seinem Unternehmen alle Vorgänge mit personenbezogenen Daten gemäß den folgenden Richtlinien durchgeführt werden:
   
   a.) Personenbezogene Daten werden gesetzeskonform, fair und transparent für die betroffene Person verarbeitet;
   b.) Personenbezogene Daten werden für bestimmte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die diesen Zwecken widerspricht;
   c.) Personenbezogene Daten sind für die Zwecke, für die sie verarbeitet werden, angemessen, relevant und auf das Notwendige beschränkt;
   d.) personenbezogene Daten korrekt sind und gegebenenfalls aktualisiert werden und der Administrator alle angemessenen Schritte unternimmt, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung falsch sind, unverzüglich entfernt oder korrigiert werden;
   e.) Personenbezogene Daten werden in einer Form gespeichert, die die Identifizierung der Person, auf die sie sich beziehen, nicht länger als für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist, und sie können länger gespeichert werden, solange sie werden nur für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet, sofern angemessene technische und organisatorische Maßnahmen ergriffen werden, die zum Schutz der Rechte und Freiheiten der betroffenen Personen erforderlich sind;
   f.) Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit personenbezogener Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen.

§ 2

1. Der Administrator stellt sicher, dass die Verarbeitung personenbezogener Daten in seinem Unternehmen für bestimmte Zwecke und in einem bestimmten Umfang erfolgt, wenn:
   
   a.) die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;
   b.) Die Verarbeitung ist zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich;
   c.) Die Verarbeitung ist notwendig, um die rechtliche Verpflichtung des Administrators zu erfüllen;
   d.) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
   e.) Die Verarbeitung ist notwendig, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Administrator übertragen wurde;
   f.) Die Verarbeitung ist für die Zwecke der berechtigten Interessen des Administrators oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person außer Kraft gesetzt, die den Schutz personenbezogener Daten erfordern insbesondere, wenn die betroffene Person ein Kind ist.

2. The administrator will ensure that, if he is not authorized to do so by an express legal provision within his company, there is no Processing of Personal Data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership and the Processing of genetic data, biometric data for the purpose of unambiguous identifying an individual or data relating to that person’s health, sexuality or sexual orientation.
3. Der Administrator stellt sicher, dass die von ihm verarbeiteten personenbezogenen Daten in Übereinstimmung mit den allgemein geltenden gesetzlichen Bestimmungen entweder direkt von der betroffenen Person oder auf andere Weise als von der betroffenen Person erhalten werden.

Kapitel IX
RECHTE DER PERSONEN, DEREN PERSONENBEZOGENE DATEN VERARBEITET WERDEN

§ 1

1. Der Administrator stellt sicher, dass die Erfassung personenbezogener Daten auf einheitliche Weise erfolgt
   mit den allgemein geltenden Rechtsvorschriften, insbesondere die Bereitstellung aller von der DSGVO geforderten Informationen an die betroffene Person.
2. Der Administrator stellt sicher, dass die Person, deren Daten verarbeitet werden, das Recht hat, personenbezogene Daten gemäß der DSGVO zu kontrollieren.
3. Die Person, deren personenbezogene Daten in jeder Phase der Verarbeitung ihrer personenbezogenen Daten verarbeitet werden, verfügt über eine Reihe von Rechten, die es ihr ermöglichen, Zugang zu personenbezogenen Daten zu erhalten, die Richtigkeit der Verarbeitung personenbezogener Daten zu überprüfen, sie zu korrigieren und ihnen zu widersprechen Verarbeitung, Antrag auf Einschränkung der Verarbeitung und Übertragung der personenbezogenen Daten.

Kapitel X
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUM SCHUTZ PERSONENBEZOGENER DATEN

§ 1

1. Der Administrator stellt sicher, dass geeignete technische und organisatorische Datenschutzmaßnahmen ergriffen werden, insbesondere dass die Dokumente sowohl in elektronischer als auch in Papierform, die personenbezogene Daten enthalten, in ordnungsgemäß gesicherten Gebäuden und Räumen aufbewahrt werden.
2. Wenn der Administrator im Rahmen der Erfüllung der in Absatz 1 dieses Absatzes genannten Verpflichtung beschließt, Dokumente mit personenbezogenen Daten in verschlossenen Gebäuden und Räumen aufzubewahren, stellt der Administrator sicher, dass insbesondere:
   
   a.) im Bereich des Zugangs zu Gebäuden und Räumen, in denen personenbezogene Daten verarbeitet werden, Kontroll- und Überprüfungsmaßnahmen getroffen wurden,
   b.) Die Schlüssel zu den Orten, an denen personenbezogene Daten verarbeitet werden, wurden direkt vom Administrator oder einer anderen verantwortlichen Person nur an Personen ausgegeben, die zum Zugang zu diesen Gebäuden und Räumen berechtigt sind
   c.) im Unternehmen des Verwalters geltende interne Vorschriften – wenn der Verwalter Eigentümer des Gebäudes ist, verpflichten sie die Person, die Inhaber der Schlüssel war, die Schlüssel zu den Orten, an denen personenbezogene Daten verarbeitet werden, nur an autorisierte Personen zu übergeben diese Gebäude und Räume zu betreten,
   d.) im Unternehmen des Verwalters geltende interne Vorschriften – wenn der Verwalter Eigentümer des Gebäudes ist, haben sie die für die Schlüsselausgabe verantwortliche Person verpflichtet, die Schlüssel zu den Orten, an denen personenbezogene Daten verarbeitet werden, nur an Personen mit Zugangsberechtigung zu übergeben diese Gebäude und Räume,
   e.) die für gemietete / geleaste / genutzte Gebäude und Räumlichkeiten geltenden Vorschriften – wenn der Verwalter Gebäude oder Räumlichkeiten mietet / vermietet / nutzt – verpflichtet die für die Schlüsselausgabe verantwortliche Person, die Schlüssel an den Orten zu übergeben, an denen personenbezogene Daten verarbeitet werden nur berechtigten Personen der Zutritt zu diesen Gebäuden und Räumen,
   f.) Es wurden geeignete Verfahren eingeführt, die die Person, die die Schlüssel zu dem Ort, an dem personenbezogene Daten verarbeitet werden, verloren hat, dazu verpflichtet, diesen Umstand unverzüglich dem Administrator oder einer vom Administrator benannten Person zu melden.
3. Der Administrator stellt sicher, dass die detaillierten Regeln der Zugangskontrolle zu einzelnen Orten, an denen personenbezogene Daten verarbeitet werden, in internen Verfahren festgelegt sind, die im Unternehmen des Administrators gelten.

§ 2

1. Der Administrator stellt sicher, dass das Unternehmen des Administrators über geeignete interne Verfahren verfügt, die das korrekte Verhalten bei der Arbeit mit Dokumenten angeben, die personenbezogene Daten enthalten, insbesondere dass:
   
   a.) bei Verwendung von Multifunktionsgeräten zum Kopieren oder Scannen von Dokumenten mit personenbezogenen Daten, Dokumente mit personenbezogenen Daten, sofern kopiert oder gescannt, sowie deren Kopien unmittelbar nach ihrer Verwendung vom Multifunktionsgerät entfernt wurden,
   b.) bei der Übermittlung von Dokumenten, die personenbezogene Daten enthalten, mittels elektronischer Kommunikation wird besonders darauf geachtet, dass das übermittelte Dokument ggf. verschlüsselt wird,
   c.) die Person, die zur Verarbeitung personenbezogener Daten berechtigt ist, sichert nach Abschluss der Verarbeitungstätigkeiten an Dokumenten, die personenbezogene Daten enthalten, Dokumente und elektronische Medien an speziell dafür vorgesehenen Orten.
   d.) eine Person, die zur Verarbeitung personenbezogener Daten berechtigt ist, vernichtet nach Abschluss der Verarbeitungsvorgänge nutzlose Papierdokumente, die personenbezogene Daten enthalten, auf sichere Weise, insbesondere mit einem Aktenvernichter.
2. Der Administrator stellt sicher, dass das Unternehmen des Administrators über geeignete interne Verfahren für die dauerhafte Vernichtung von Dokumenten mit personenbezogenen Daten verfügt, insbesondere kann der Administrator Dokumente mit personenbezogenen Daten durch einen professionellen Unternehmer, der sich mit der Vernichtung von Dokumenten befasst, dauerhaft vernichten (nach Abschluss eines entsprechenden Vertrags in gemäß den Bestimmungen von Kapitel IV dieses Reglements).

§ 3

1. Der Administrator stellt sicher, dass jede Person, die zur Datenverarbeitung innerhalb des Unternehmens des Administrators berechtigt ist, die geltenden Bestimmungen zum Schutz personenbezogener Daten kennt.
2. Der Administrator schult, falls erforderlich und angezeigt, Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, in der sicheren Verwendung von Geräten und Programmen im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten und der Sicherung der Orte, an denen Dokumente mit personenbezogenen Daten gespeichert werden.
3. Detaillierte physische, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten wurden in die im Unternehmen des Administrators geltenden internen Dokumente aufgenommen, insbesondere in die Sicherheitsrichtlinie zum Schutz personenbezogener Daten und die IT-Systemverwaltungsanweisung.

Kapitel XI
VORGEHENSWEISE IM FALLE EINER VERLETZUNG DER SICHERHEIT PERSONENBEZOGENER DATEN

§ 1

1. Der Administrator stellt als Teil des Unternehmens des Administrators die Entwicklung und Implementierung eines Verfahrens zur Verfügung, das im Falle einer Verletzung der Sicherheit personenbezogener Daten zu befolgen ist und insbesondere Folgendes regelt:
   
   a.) Verringerung des Auftretens ähnlicher Vorfälle in der Zukunft;
   b.) Minimierung der Folgen des Ereignisses;
   c.) Erläuterung der Umstände des Ereignisses;
   d.) Beweissicherung des Ereignisses.
2. Der Administrator stellt sicher, dass das Verfahren zum Umgang mit einer Verletzung der Sicherheit personenbezogener Daten erschöpfend und in Übereinstimmung mit den geltenden Vorschriften den korrekten Betrieb in jeder Phase regelt, d. h. jede Bedrohung der Verletzung personenbezogener Daten verhindert, überwacht, kontrolliert und erklärt.

§ 2

1. Als Teil seines Unternehmens behandelt der Administrator jedes Ereignis als Verletzung des Schutzes personenbezogener Daten, das vom menschlichen Willen abhängig und unabhängig ist und eine Bedrohung für die Sicherheit personenbezogener Daten darstellt, insbesondere:
   
   a.) ein Ereignis, das zum Verlust der Integrität (Vollständigkeit, Glaubwürdigkeit) personenbezogener Daten führt;
   b.) ein Ereignis, das die Vertraulichkeit personenbezogener Daten bedroht;
   c.) ein Ereignis, das die Verantwortlichkeit personenbezogener Daten bedroht.
2. Der Administrator stellt sicher, dass alle notwendigen Schritte und Maßnahmen im Bereich des Schutzes personenbezogener Daten ergriffen werden, wenn dies stattgefunden hat:
   
   a.) Verstoß gegen die internen Richtlinien, Verfahren oder Anweisungen zum Schutz personenbezogener Daten, die im Bereich des Unternehmens des Administrators gelten,
   b.) Verstöße gegen die geltenden gesetzlichen Bestimmungen zum Schutz personenbezogener Daten,
   c.) Verstöße gegen die vom Administrator angewandte physische Sicherheit.
3. Detaillierte Verhaltensregeln im Falle einer Verletzung des Schutzes personenbezogener Daten werden vom Administrator in internen Dokumenten, Verfahren und Richtlinien geregelt.

Kapitel XII
REGELN FÜR DIE WEITERGABE PERSONENBEZOGENER DATEN

§ 1

1. Der Administrator stellt personenbezogene Daten, die im Rahmen seines Unternehmens verarbeitet werden, nur Personen oder Organisationen zur Verfügung, die berechtigt sind, sie zu erhalten, unter Berücksichtigung der zum Zeitpunkt der Bereitstellung geltenden gesetzlichen Bestimmungen.
2. Der Administrator stellt sicher, dass die Aktivität der Bereitstellung personenbezogener Daten nicht die Rechte von Personen verletzt, auf die sich die personenbezogenen Daten beziehen.

Kapitel XIII
SCHLUSSBESTIMMUNGEN

§1

1. Diese Datenschutzbestimmungen treten am 01.01.2022 in Kraft.