1. Einführung

Diese interne Datenschutzrichtlinie ("Richtlinie") bietet Informationen und Verpflichtungen zur (internen) Verarbeitung personenbezogener Daten durch (Mitarbeiter von) Leat Technologies United Kingdom Ltd und deren Tochtergesellschaften ("Leat").

Leat kann über die folgenden Kontaktdaten erreicht werden:

Adresse: Bisonspoor 3002, B901, 3605 LT Maarssen
Telefonnummer: 085- 773 7177
E-Mail: business@leat.com

Diese Richtlinie gilt für Mitarbeiter von Leat und bezieht sich auf alle Daten, die von Leat und/oder im Auftrag von Leat verarbeitet werden, welche eine natürliche Person identifizieren oder identifizieren können ("Personenbezogene Daten").

Diese Richtlinie gilt für die Verarbeitung (einschließlich, aber nicht beschränkt auf, Erhebung, Übertragung und Speicherung) von personenbezogenen Daten von (potenziellen, aktuellen und ehemaligen) Mitarbeitern, Auftragnehmern, (potenziellen) Kunden, Geschäftspartnern und anderen Dritten. Die beteiligten natürlichen Personen werden nachfolgend zusammenfassend als Betroffene ("Betroffene") bezeichnet.

Fragen zu dieser Richtlinie oder zur Verarbeitung personenbezogener Daten im Allgemeinen können an die Datenschutz-Ansprechpartnerin unter business@leat.com gerichtet werden.

1.1 Zweck der Richtlinie

Diese Richtlinie legt die erforderlichen Elemente für die Einhaltung von Leat mit den geltenden Datenschutzgesetzen, -prinzipien und -praktiken fest, einschließlich, aber nicht beschränkt auf die Datenschutz-Grundverordnung der EU ("DSGVO").

Für die Auslegung von Begriffen und Verpflichtungen sind die Erlassungen und Richtlinien des Europäischen Datenschutzausschusses sowie andere zuständige Aufsichtsbehörden ("Aufsichtsbehörde") zu berücksichtigen.

1.2 Anwendungsbereich

Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten, bei denen Leat als Verantwortlicher im Sinne der DSGVO agiert. Dies ist dann der Fall, wenn Leat den Zweck (z.B. die Zahlung von Gehältern) und die Mittel (z.B. über ein digitales Portal) für die Verarbeitung personenbezogener Daten bestimmt.

Die Richtlinie richtet sich an die Mitarbeiter von Leat, einschließlich Direktoren, Praktikanten und Bewerber von Leat.

1.3 Evaluierung und Überarbeitung der Richtlinie

Leat behält sich das Recht vor, die Richtlinie regelmäßig (mindestens alle zwei Jahre) zu überprüfen und/oder zu ändern, um den lokalen Gesetzen zu entsprechen und aus sonstigen von Leat für angemessen erachteten Gründen. Leat wird die Betroffenen im Falle von Änderungen bezüglich der Verarbeitung ihrer personenbezogenen Daten informieren.

2. Glossar

Verantwortlicher

Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, wie in Artikel 4 Absatz 7 DSGVO definiert.

Datenpanne

Verstöße gegen die Sicherheit personenbezogener Daten, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Änderung, unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führen, die übertragen, gespeichert oder anderweitig verarbeitet werden, wie in Artikel 4 Absatz 12 DSGVO definiert.

Betroffene

Die natürlichen Personen, deren personenbezogene Daten verarbeitet werden, z.B. die (potenziellen, aktuellen und ehemaligen) Mitarbeiter, Auftragnehmer, (potenziellen) Kunden, Geschäftspartner und andere Drittparteien von Leat.

Niederländische DPA

Die niederländische Aufsichtsbehörde, „Dutch Data Protection Authority“ (auf Niederländisch: Autoriteit Persoonsgegevens).

EEA

Europäischer Wirtschaftsraum

Externe Datenschutzerklärung

Die externe Datenschutzerklärung von Leat, die Informationen zur Verarbeitung personenbezogener Daten von (potenziellen) Kunden, Auftragnehmern, Geschäftspartnern und anderen Dritten liefert.

Interne Datenschutzerklärung

Die interne Datenschutzerklärung von Leat, die Informationen zur Verarbeitung personenbezogener Daten von (potenziellen, aktuellen und ehemaligen) Mitarbeitern von Leat liefert.

Rechtsgrundlage

Eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, wie in Artikel 6 der DSGVO definiert.

Personenbezogene Daten

Entsprechend den Bestimmungen der DSGVO bedeutet „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Solche personenbezogenen Daten beziehen sich auch auf die bereits im Besitz von Leat befindlichen personenbezogenen Daten oder auf personenbezogene Daten, die Leat in Zukunft erheben wird.

Datenschutz-Ansprechpartner

Benannter Leat-Mitarbeiter, der als Ansprechpartner für datenschutzbezogene Fragen, Anfragen oder Beschwerden fungiert.

Verarbeitung

Jede Operation oder jede Reihe von Operationen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten durchgeführt wird, unabhängig davon, ob dies automatisiert erfolgt, wie z. B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder sonstige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung, wie in Artikel 4 Absatz 2 DSGVO definiert.

Auftragsverarbeiter

Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wie in Artikel 4 Absatz 8 DSGVO definiert.

Aufbewahrungsfrist

Aufbewahrungsfristen, die in Gesetzen und Vorschriften definiert sind, die auf Leat anwendbar sind, sowie die Fristen, während denen es erforderlich ist, die personenbezogenen Daten in Bezug auf die Zwecke aufzubewahren, für die die personenbezogenen Daten verarbeitet werden.

Rechte der Betroffenen

Die Betroffenen haben das Recht auf Auskunft, das Recht auf Zugang, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Datenübertragbarkeit, das Recht, der Datenverarbeitung zu widersprechen, das Recht, die Datenverarbeitung einzuschränken, das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen, und das Recht, die Einwilligung zu widerrufen.

Register der Verarbeitungstätigkeiten

Internes Verzeichnis, das Informationen zu allen von Leat durchgeführten Verarbeitungstätigkeiten personenbezogener Daten enthält.

Sicherheit

Angemessene technische und organisatorische Maßnahmen zur Sicherheit personenbezogener Daten, wie in Artikel 32 der DSGVO gefordert.

Besondere Kategorien personenbezogener Daten

Personenbezogene Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person offenbaren, wie in Artikel 9 Absatz 1 DSGVO beschrieben.

Aufsichtsbehörde

Eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat der Europäischen Union gemäß Artikel 51 der DSGVO eingerichtet wurde, wie in Artikel 4 Absatz 21 DSGVO definiert.

Interne Dritte

Andere Tochtergesellschaften von Leat, die als gemeinsame Verantwortliche oder Auftragsverarbeiter agieren und IT- und Systemadministrationsdienste bereitstellen sowie Berichterstattung an die Führung übernehmen.

Externe Dritte

Dienstleister, die als Auftragsverarbeiter fungieren und Dienstleistungen wie (i) IT- und Systemadministrationsdienste; (ii) Lohnabrechnungsdienste; oder (iii) Rekrutierungsdienste anbieten. Professionelle Berater, die als Auftragsverarbeiter oder gemeinsame Verantwortliche fungieren, einschließlich Anwälte, Banker, Ärzte, Prüfer und Versicherer, die Beratungs-, Bank-, Rechts-, Medizin-, Versicherungs- und Buchhaltungsdienste anbieten. Die niederländische Steuer- und Zollbehörde (Belastingdienst), Aufsichtsbehörden und andere Behörden, die als Auftragsverarbeiter oder gemeinsame Verantwortliche in den Niederlanden tätig sind und unter bestimmten Umständen die Berichterstattung über Verarbeitungstätigkeiten verlangen.

3. Kategorien der Verarbeitung personenbezogener Daten

Die Kategorien personenbezogener Daten, die von Leat verarbeitet werden, sind in den internen und externen Datenschutzerklärungen zu finden, die hier erhältlich sind:

• Interne Datenschutzerklärung

• Externe Datenschutzerklärung

4. Zwecke, Rechtsgrundlagen und Aufbewahrungsfristen der Datenverarbeitung

Leat erhebt personenbezogene Daten, um seine Geschäftsbereiche auszuführen und Dienstleistungen an und von Dritten bereitzustellen und/oder zu beschaffen. Leat verarbeitet personenbezogene Daten gemäß den Verantwortlichkeiten, die in Abschnitt 4.1 beschrieben sind. Darüber hinaus ist Leat rechtlich verpflichtet, personenbezogene Daten gemäß den (internen) Zwecken zu verarbeiten und die DSGVO einzuhalten. Die Zwecke und Rechtsgrundlagen zur Verarbeitung personenbezogener Daten sowie die Aufbewahrungsfristen sind in Leats internen und externen Datenschutzerklärungen zu finden, die hier erhältlich sind:

• Interne Datenschutzerklärung

• Externe Datenschutzerklärung

4.1 Verantwortlichkeiten von Leat

Zweckbindung
Die personenbezogenen Daten dürfen nur insoweit verarbeitet werden, als dies zur Erreichung der beschriebenen Zwecke erforderlich ist. Personenbezogene Daten dürfen grundsätzlich nicht für andere Zwecke verarbeitet werden. Wenn es notwendig oder erforderlich ist, personenbezogene Daten für andere Zwecke zu verarbeiten, sollte dies Leat zur Genehmigung vorgelegt werden. Leat wird prüfen, ob die Zwecke der beabsichtigten Datenverarbeitung mit den ursprünglichen Zwecken kompatibel sind. Leat wird die betroffene Person vor der weiteren Verarbeitung über den anderen Zweck informieren.

Rechtsgrundlage
Es ist nicht zulässig, personenbezogene Daten über die Rechtsgrundlage hinaus zu verarbeiten, auf der die Verarbeitung personenbezogener Daten basiert. Personenbezogene Daten können auf einer der folgenden Rechtsgrundlagen verarbeitet werden:

• Einwilligung: Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Wenn die Verarbeitung auf einer Einwilligung beruht, hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Um die Einwilligung zu widerrufen, kontaktieren Sie bitte: business@leat.com

• Für die Erfüllung eines Vertrags erforderlich: Die Verarbeitung kann für die Erfüllung eines Vertrags notwendig sein, an dem die betroffenen Personen beteiligt sind. Die verarbeiteten personenbezogenen Daten sind erforderlich, um einen Vertrag abzuschließen. Ohne die Bereitstellung der personenbezogenen Daten kann der Vertrag nicht zustande kommen;

• Rechtliche Verpflichtung: Die Verarbeitung kann für die Einhaltung einer rechtlichen Verpflichtung erforderlich sein, die Leat unterliegt;

• Lebenswichtige Interessen: Die Verarbeitung kann erforderlich sein, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

• Erfüllung einer öffentlichen Aufgabe: Die Verarbeitung kann für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse oder bei Ausübung der hoheitlichen Befugnisse des Verantwortlichen durchgeführt wird;

• Berechtigte Interessen: Die Verarbeitung kann für die Zwecke des berechtigten Interesses erforderlich sein, das Leat hat.

Besondere (Kategorien von) personenbezogenen Daten
Bestimmte Kategorien personenbezogener Daten qualifizieren sich als besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO (z.B. medizinische Daten). Es ist verboten, personenbezogene Daten über die described Legal Provision (oder Ausnahme) hinaus zu verarbeiten, für die diese speziellen Kategorien personenbezogener Daten verarbeitet werden.

Richtigkeit und Qualität
Leat wird regelmäßig bewerten, ob die personenbezogenen Daten weiterhin angemessen, relevant, korrekt, genau und nicht übermäßig im Hinblick auf die Zwecke der Datenverarbeitung sind. Die Richtigkeit und Genauigkeit der personenbezogenen Daten wird regelmäßig überprüft.

Sicherheit
Leat verwendet wirtschaftlich angemessene physische, organisatorische und technische Sicherheitsmaßnahmen, um die Integrität und Sicherheit personenbezogener Daten zu wahren (siehe Abschnitt 6.1 dieser Richtlinie für Beispiele der von Leat verwendeten Sicherheitsmaßnahmen).

Vertraulichkeit
Die personenbezogenen Daten sind vertraulich zu behandeln. Die Mitarbeiter und (Mitarbeiter von) Auftragsverarbeitern haben eine Vertraulichkeitspflicht.

Aufbewahrungsfrist
Die Aufbewahrungsfristen für jede der Kategorien personenbezogener Daten müssen eingehalten werden. Nach Ablauf der Aufbewahrungsfristen sollten die personenbezogenen Daten gelöscht oder unwiderruflich anonymisiert werden.

Rechtsmäßigkeit, Fairness und Transparenz
Leat wird personenbezogene Daten auf rechtmäßige, faire und transparente Weise in Bezug auf die betroffenen Personen und in Übereinstimmung mit dieser Richtlinie und geltenden Gesetzen verarbeiten. Anwendbare Gesetze haben Vorrang, wenn sie die Standards dieser Richtlinie übertreffen.

Datenminimierung
Leat wird nur personenbezogene Daten verarbeiten, die angemessen, relevant und auf das notwendige Maß beschränkt sind, in Bezug auf die Zwecke, für die sie verarbeitet werden.

Rechenschaftspflicht
Leat ist verantwortlich für die Einhaltung der genannten Grundsätze und muss nachweisen können, dass diese eingehalten werden.

Prinzipien der Verhältnismäßigkeit und Subsidiarität
Leat wird personenbezogene Daten im Einklang mit den Prinzipien der Verhältnismäßigkeit und Subsidiarität verarbeiten. Daher kann der Eingriff in das Privatleben der Betroffenen im Verhältnis zu dem Zweck der Datenverarbeitung unverhältnismäßig sein, und der Zweck der Verarbeitung personenbezogener Daten muss, wenn möglich, auf andere, weniger weitreichende Weise für die Betroffenen erreicht werden.

5. Rechte der Betroffenen

Die Betroffenen haben die folgenden Rechte bezüglich der Verarbeitung ihrer personenbezogenen Daten:

• das Recht auf Auskunft;

• das Recht auf Zugang;

• das Recht auf Berichtigung;

• das Recht auf Löschung;

• das Recht auf Datenübertragbarkeit;

• das Recht, der Datenverarbeitung zu widersprechen;

• das Recht, die Verarbeitung personenbezogener Daten einzuschränken;

• das Recht, die Einwilligung zu widerrufen;

• das Recht, eine Beschwerde bei der Aufsichtsbehörde (in den Niederlanden: Autoriteit Persoonsgegevens) einzureichen.

Die Verfahren von Leat, die es den Betroffenen ermöglichen, diese Rechte auszuüben, sind nachfolgend beschrieben. Bei der Ausübung der Rechte der betroffenen Personen und bei Fragen oder Anmerkungen zu personenbezogenen Daten wenden Sie sich bitte an Leat unter: business@leat.com.

5.1 Recht auf Auskunft

Die Betroffenen werden vor der Verarbeitung personenbezogener Daten, die sich auf sie beziehen, informiert (z.B. vor dem Beginn eines Arbeitsverhältnisses, in einem Mitarbeiterhandbuch oder Begrüßungsschreiben). Die Informationen sollten kurz und verständlich für den Mitarbeiter sein.

5.2 Recht auf Zugang

Ein Betroffener kann bei Leat einen Antrag auf Zugang stellen, der so schnell wie möglich, spätestens jedoch innerhalb eines (1) Monats nach Erhalt des Antrags, beantwortet wird. Der Antrag sollte (rechtzeitig) erfüllt werden, und wenn dies nicht geschieht, mit den Gründen für die Verzögerung oder Ablehnung versehen sein. Der Antrag sollte Folgendes enthalten:

• a) ob Leat personenbezogene Daten in Bezug auf die jeweilige betroffene Person speichert; und,

• b) falls ja, Informationen zu (i) den Zwecken der Verarbeitung, (ii) den Kategorien, (iii) den Empfängern (sofern zutreffend), (iv) der vorgesehenen Aufbewahrungsfrist oder den Kriterien zur Bestimmung der Aufbewahrungsfrist, (v) das Vorhandensein des Rechts auf Berichtigung, Löschung oder Einschränkung dieser Verarbeitung, (vi) das Recht auf Beschwerde bei einer Aufsichtsbehörde, (vii) das Vorhandensein automatisierter Entscheidungsfindung, (viii) alle verfügbaren Informationen über ihre Quelle, wenn die personenbezogenen Daten nicht von der betroffenen Person erhoben werden, und (ix) die angemessenen Schutzmaßnahmen, die ergriffen wurden, wenn die Daten in ein Drittland übertragen werden.

5.3 Weitere Rechte der Betroffenen

Nachdem ein Betroffener Zugang zu den personenbezogenen Daten erhalten hat, kann er/sie Leat bitten, die personenbezogenen Daten zu korrigieren, einzuschränken, zu ändern, hinzuzufügen, zu löschen und/oder in einem maschinenlesbaren Format an den Betroffenen oder an einen Dritten zu übermitteln, wie vom Betroffenen gewünscht.

Leat wird einem legitimen Antrag eines Betroffenen nachkommen, wenn die personenbezogenen Daten faktisch inkorrekt, unvollständig oder irrelevant für den Zweck/die Zwecke der Datenverarbeitung sind oder sonst gegen geltende Gesetze verarbeitet wurden.

Im Hinblick auf einen Antrag zur Löschung personenbezogener Daten sollte beachtet werden, dass Leat einem solchen Antrag nicht nachkommen wird, wenn dies mit einer rechtlichen Verpflichtung von Leat unvereinbar ist.

Wenn ein Antrag genehmigt wird, wird Leat die Entscheidung, die personenbezogenen Daten zu korrigieren, einzuschränken, zu ändern, zu löschen und/oder zu übermitteln, so schnell wie möglich umsetzen.

Im Falle von Bedenken hinsichtlich der Handhabung personenbezogener Daten oder wenn Anträge von betroffenen Personen von Leat nicht zeitgerecht und/oder korrekt bearbeitet wurden, haben die Betroffenen auch das Recht, eine Beschwerde bei der örtlichen Aufsichtsbehörde (in den Niederlanden: Autoriteit Persoonsgegevens) einzureichen.

6. Sicherheitsmaßnahmen und Benachrichtigung über Datenpannen

6.1 Sicherheitsmaßnahmen

Leat hat angemessene organisatorische und technische Maßnahmen für die Sicherheit personenbezogener Daten getroffen, die aus mindestens bestehen:

• Physische Sicherheit

• Passwörter (die gesalzen gespeichert werden)

• Rollenbasierte Zugriffskontrollen, nach dem „Need-to-Know“-Grundsatz;

• Pseudonymisierung;

• Verschlüsselung;

• 2-Faktor-Authentifizierung;

• Maßnahmen, die das Lesen, Kopieren, Ändern oder Entfernen während der Speicherung, Verarbeitung und Übertragung personenbezogener Daten verhindern;

Für weitere Informationen über die Sicherheit personenbezogener Daten können Sie das Datenschutzteam von Leat unter business@leat.com kontaktieren.

6.2 Verfahren zur Benachrichtigung über Datenpannen

Leat ist verpflichtet, Datenpannen gegenüber einer Datenschutzaufsichtsbehörde zu melden und – wenn die Datenpanne negative Folgen für die Betroffenen haben könnte – auch den betroffenen Personen.

6.2.1 Analyse der Datenpanne

Alle Mitarbeiter von Leat sollten eine (vermutete) Datenpanne unverzüglich, nachdem sie von einer verdächtigen Datenpanne erfahren haben, an die Datenschutz-Ansprechpartnerin melden, über die Kontaktdaten: business@leat.com. Soweit möglich, enthält diese Meldung folgende Informationen:

• die betroffenen personenbezogenen Daten;

• die Art der Datenpanne;

• die Kategorien und die ungefähre Anzahl der betroffenen Personen;

• die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;

• den Zeitraum, in dem die Datenpanne aufgetreten ist;

• die möglichen Folgen der Datenpanne;

• eine Beschreibung der tatsächlichen und vermuteten negativen Folgen der Datenpanne;

• die von den Datenverarbeitern ergriffenen und/oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne, einschließlich Maßnahmen zur Minderung möglicher negativer Auswirkungen der Datenpanne; und

• die Namen und Kontaktdaten relevanter interner und externer beteiligter Personen, bei denen weitere Informationen eingeholt werden können.

Wenn die Datenschutz-Ansprechpartnerin über eine Datenpanne informiert wird, wird sie prüfen, ob tatsächlich eine Datenpanne aufgetreten ist.

Nachdem festgestellt wurde, dass eine Datenpanne aufgetreten ist, wird die Datenschutz-Ansprechpartnerin bewerten, ob die Datenpanne unter den Geltungsbereich der DSGVO fällt. Die DSGVO findet Anwendung, wenn die Datenpanne sich auf die Verarbeitung personenbezogener Daten im Kontext der Aktivitäten von Leat innerhalb der EU bezieht. Darüber hinaus gilt die DSGVO, wenn die Datenpanne sich auf Aktivitäten von Leat außerhalb der EU bezieht, bei denen die Verarbeitung sich auf folgende Punkte bezieht:

• das Angebot von Waren oder Dienstleistungen an betroffene Personen in der EU; oder

• die Überwachung des Verhaltens von betroffenen Personen, soweit das Verhalten innerhalb der EU stattfindet.

Sofern die DSGVO nicht anwendbar ist, wird die Datenschutz-Ansprechpartnerin prüfen, welche Gesetze und Vorschriften auf die Datenpanne anwendbar sind.

Wenn gemäß dieser Bewertung der anwendbaren Gesetze und Vorschriften die DSGVO anwendbar ist, wird die Datenschutz-Ansprechpartnerin prüfen, ob Leat als Verantwortlicher oder Auftragsverarbeiter im Hinblick auf die Datenpanne gilt.

Als Verantwortlicher wird Leat wo angemessen die Aufsichtsbehörde und die betroffenen Personen im Einklang mit diesem Verfahren zur Meldung von Datenpannen informieren. Als Auftragsverarbeiter wird Leat zunächst die relevanten Vereinbarungen zur Datenverarbeitung prüfen, mit dem Verantwortlichen in Kontakt treten und sich mit dem Verantwortlichen über die nächsten Schritte abstimmen.

6.2.2 Meldung an die zuständige Aufsichtsbehörde

Nachdem festgestellt wurde, dass es sich um eine Datenpanne handelt, sollte die Datenschutz-Ansprechpartnerin die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme der Datenpanne benachrichtigen, es sei denn, die Datenpanne ist voraussichtlich nicht mit einem Risiko für die Rechte und Freiheiten natürlicher Personen verbunden.

Die Datenschutz-Ansprechpartnerin definiert das Risikoniveau einer Datenpanne anhand der Schwere der potenziellen Auswirkungen und der Wahrscheinlichkeit, dass dies eintritt. Darüber hinaus berücksichtigt die Datenschutz-Ansprechpartnerin die folgenden Faktoren:

• Art der Datenpanne;

• die Natur, Sensibilität und Menge der personenbezogenen Daten;

• die Leichtigkeit der Identifizierung der betroffenen Personen;

• Schwere der Folgen für die betroffenen Personen;

• besondere Merkmale der betroffenen Personen; und

• besondere Merkmale des Datenverantwortlichen.

Basierend auf der obigen Einschätzung wird die Datenschutz-Ansprechpartnerin feststellen und dokumentieren, ob die Schwellenwerte für eine Mitteilung, die in diesem Absatz beschrieben sind, erfüllt sind.

Sobald die Datenschutz-Ansprechpartnerin festgestellt hat, dass die Datenpanne der zuständigen Aufsichtsbehörde gemeldet werden sollte, muss die Datenschutz-Ansprechpartnerin die Aufsichtsbehörde benachrichtigen. Die zuständige Aufsichtsbehörde für Leat in den Niederlanden ist die niederländische Datenschutzbehörde (auf Niederländisch: Autoriteit Persoonsgegevens).

Diese Meldung umfasst mindestens:

• eine Beschreibung der Art der Datenpanne, einschließlich, sofern möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

• den Namen und die Kontaktdaten der Datenschutz-Ansprechpartnerin;

• eine Beschreibung der voraussichtlichen Folgen der Datenpanne; und

• eine Beschreibung der Maßnahmen, die von Leat zur Behebung der Datenpanne ergriffen oder vorgeschlagen wurden, einschließlich, wo angemessen, Maßnahmen zur Minderung ihrer möglichen negativen Auswirkungen.

Falls es der Datenschutz-Ansprechpartnerin nicht möglich ist, die oben genannten Informationen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu übermitteln, wird die Datenschutz-Ansprechpartnerin so viele Informationen wie möglich bereitstellen. Die Datenschutz-Ansprechpartnerin wird die Meldung so schnell wie möglich mit den erforderlichen Informationen ergänzen. Wenn es nicht möglich ist, innerhalb von 72 Stunden eine Meldung zu erstatten, wird die Datenschutz-Ansprechpartnerin der zuständigen Aufsichtsbehörde eine Erklärung für die Verzögerung vorlegen.

6.2.3 Benachrichtigung an die betroffene Person

Darüber hinaus ist eine Benachrichtigung an die betroffenen Personen erforderlich, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, es sei denn, es trifft eine der folgenden Ausnahmen zu:

• Leat hat angemessene technische und organisatorische Maßnahmen implementiert, um unbefugten Zugriff auf personenbezogene Daten zu vermeiden, und diese Maßnahmen wurden auf die von der Datenpanne betroffenen personenbezogenen Daten angewandt, insbesondere solche, die personenbezogene Daten für unbefugte Personen unleserlich machen, z.B. durch Verschlüsselung;

• Leat hatte Maßnahmen nach Entdeckung der Datenpanne ergriffen, um die Folgen der Datenpanne zu verhindern, die sicherstellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen nicht mehr wahrscheinlich ist; oder

• es würde einen unverhältnismäßigen Aufwand bedeuten, die betroffenen Personen zu benachrichtigen, in diesem Fall erfolgt eine öffentliche Mitteilung oder eine ähnliche Maßnahme, durch die die betroffenen Personen informiert werden.

Die Informationen sind den betroffenen Personen ohne angemessene Verzögerung bereitzustellen (so schnell wie möglich). Die Datenschutz-Ansprechpartnerin wird zumindest die folgenden Informationen (in klarer und verständlicher Sprache) bei der Benachrichtigung der betroffenen Personen bereitstellen:

• eine Beschreibung der Art der Datenpanne;

• den Namen und die Kontaktdaten der Datenschutz-Ansprechpartnerin;

• eine Beschreibung der voraussichtlichen Folgen der Datenpanne; und

• eine Beschreibung der Maßnahmen, die von Leat zur Behebung der Datenpanne ergriffen oder vorgeschlagen wurden, einschließlich, wo angemessen, Maßnahmen zur Minderung ihrer möglichen negativen Auswirkungen.

Die Benachrichtigung der betroffenen Personen sollte über eine gezielte Nachricht erfolgen, um sicherzustellen, dass die Kommunikation klar und transparent ist. Wo angemessen, wird die Datenschutz-Ansprechpartnerin den betroffenen Personen spezifische Ratschläge geben, um sie vor möglichen negativen Auswirkungen der Datenpanne zu schützen.

6.2.4 Registrierung von Datenpannen

Für jede Datenpanne (unabhängig davon, ob die Panne gemeldet werden muss) wird die Datenschutz-Ansprechpartnerin die in den Abschnitten 6.2.1 bis 6.2.4 dieser Richtlinie beschriebenen Informationen sowie die Fakten zur Datenpanne, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen dokumentieren. Soweit möglich sollten alle Überlegungen, Bewertungen und Entscheidungen im Zusammenhang mit der Datenpanne dokumentiert werden. Ziel dieser Dokumentation ist es, Leat zu ermöglichen, die Rechenschaftspflichtanforderungen der DSGVO zu erfüllen.

Um dies zu erleichtern, wird die gesamte Dokumentation über Datenpannen in einem internen Register festgehalten. Diese Informationen sollten auf Anfrage an eine Aufsichtsbehörde übergeben werden können.

7. Offenlegung personenbezogener Daten

Wir können Ihre personenbezogenen Daten mit den nachstehend aufgeführten Parteien für die in der Tabelle "Zwecke, für die wir Ihre personenbezogenen Daten verwenden" aufgeführten Zwecke teilen.

• Interne Dritte, wie im Glossar dargelegt.

• Externe Dritte, wie im Glossar dargelegt.

• Dritte, an die wir möglicherweise Teile unseres Geschäfts oder unserer Vermögenswerte verkaufen, übertragen oder fusionieren. Alternativ können wir versuchen, andere Unternehmen zu erwerben oder mit ihnen zu fusionieren. Wenn sich etwas an unserem Geschäft ändert, können die neuen Eigentümer Ihre personenbezogenen Daten auf die gleiche Weise wie in dieser Richtlinie dargelegt verwenden.

Wir verlangen von allen Dritten, die Sicherheit Ihrer personenbezogenen Daten zu respektieren und diese in Übereinstimmung mit dem Gesetz zu behandeln. Wir erlauben unseren Drittanbietern nicht, Ihre personenbezogenen Daten für ihre eigenen Zwecke zu verwenden, und erlauben ihnen nur, Ihre personenbezogenen Daten für bestimmte Zwecke und gemäß unseren Anweisungen zu verarbeiten.

8. Internationale Datenübertragungen

Leat bemüht sich, personenbezogene Daten innerhalb der Europäischen Union/Europäischen Wirtschaftsraums ("EU/EEA") zu verarbeiten und die Übertragungen personenbezogener Daten in ein Drittland oder internationale Organisationen außerhalb der EU/EEA zu beschränken. Aufgrund der Abhängigkeit von Dritten kann Leat jedoch nicht vollständig ausschließen, dass dies notwendig ist. Diese Übertragungen erfolgen nur in Übereinstimmung mit den geltenden Gesetzen und unter Berücksichtigung angemessener Schutzmaßnahmen, die das erforderliche Schutzniveau für Betroffene gemäß diesen geltenden Gesetzen gewährleisten (z.B. Übertragungen auf der Grundlage einer Angemessenheitsentscheidung oder der Standardvertragsklauseln der EU).

9. Schulung und Sensibilisierung

Leat wird ein Schulungs- und Überprüfungsprogramm aufrechterhalten, um die Einhaltung dieser Richtlinie sicherzustellen. Um das Bewusstsein für die DSGVO bei seinen Mitarbeitern zu fördern, organisiert Leat "Schulungen zur Sensibilisierung für die DSGVO". Leats Management, in Zusammenarbeit mit der Datenschutz-Ansprechpartnerin, ist verantwortlich für die Implementierung und Überwachung der Verwaltung dieser Richtlinie.

Mitarbeiter, deren Aufgaben die Verarbeitung personenbezogener Daten umfassen, sind verpflichtet, sich an diese Richtlinie und die damit verbundenen Richtlinien zu halten. Ein Verstoß wird als schwerwiegendes Vergehen angesehen, das disziplinarische Maßnahmen zur Folge haben kann, die möglicherweise zur Beendigung des Arbeitsverhältnisses führen. Anfragen oder Bedenken zur ordnungsgemäßen Erfüllung der Anforderungen dieser Richtlinie sollten an die Datenschutz-Ansprechpartnerin gerichtet werden.

10. Änderungen an dieser Richtlinie

Leat behält sich das Recht vor, Änderungen an dieser Richtlinie vorzunehmen. Es wird empfohlen, diese Datenschutzrichtlinie regelmäßig zu konsultieren, damit Sie über Änderungen informiert sind.