STATUT FÜR DATENSCHUTZZWISCHENFÄLLE

Gültig: von dem 25. Mai 2018 bis Widerruf

1. Einführung

CGP Europe Gesellschaft mit beschränkter Haftung (Geschäftssitz: 1024 Budapest, Ady Endre út 19. Ungarn; Firmenbuchnummer: 01-09-965048, Steuernummer: 23425026-2-41; Evidenznummer der Datenverarbeitung: NAIH-78299/2014; (ferner: „Datenverarbeiter”) schafft hierbei dieses Statut für Datenschutzzwischenfälle (ferner: „Statut”).

2. Definitionen

Personenbezogene Angabe: Irgendwelche Information über eine identifizierte oder identifizierbare natürliche Person (die betroffene Person); identifizierbar ist die natürliche Person, die auf direkter oder indirekter Weise, besonders auf Grund irgendwelches identifizierenden Charakteristikums, was zum Beispiel der Name, eine Nummer, standortbestimmende Daten, online Identifier, beziehungsweise ein Faktor oder mehrere Faktoren bezüglich der körperlichen, physiologischen, genetischen, geistlichen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sein kann, zu identifizieren ist.

Personenidentitätsangabe: Vorname und Nachname, Geburtsname, Geschlecht, Geburtsort und -datum, Geburtsname (Vorname und Nachname) der Mutter, Wohnort, Aufenthaltsort, Identifizierungskode der Sozialversicherung zusammen oder irgendwelche von diesen, falls für die Identifizierung der betroffenen Person geeignet sind oder geeignet sein können.

Besondere Angabe: Personenbezogene Angabe bezüglich der rassischen oder ethnischen Herkunft, der politischen Meinung oder der Parteiangehörigkeit, der Religion oder der Weltanschauung, der Gewerkschaftszugehörigkeit, der sexuellen Orientierung sowie personenbezogene Angabe bezüglich des Gesundheitszustands und der schädlichen Leidenschaften, ferner die strafrechtliche personenbezogene Angabe.

Gesundheitsangabe: Personenbezogene Angabe bezüglich des körperlichen oder psychischen Gesundheitszustands einer natürlichen Person, einschließlich der Daten über die der natürlichen Person geleisteten Gesundheitsdienstleistungen, die Informationen über den Gesundheitszustand der natürlichen Person beinhalten.

Datenverarbeiter: Eine natürliche oder juristische Person, beziehungsweise eine Organisation ohne Rechtspersönlichkeit, die selbstständig oder zusammen mit Anderen die Zwecke der Datenverarbeitung bestimmt, die Entscheidungen über die Datenverarbeitung (einschließlich der eingesetzten Mittel) trifft und ausführt oder durch einen von ihr beauftragten Auftragsverarbeiter ausführen lässt. Datenverarbeiter ist ferner auch die natürliche oder juristische Person, beziehungsweise die Organisation ohne Rechtspersönlichkeit, die zur Zwecke der gesetzlich vorgeschriebenen Datenverarbeitung personenbezogenen Daten oder Personenidentitätsdaten, sowie fallweise besondere Daten oder Gesundheitsdaten zu verarbeiten berechtigt ist.

Datenverarbeitung: Irgendwelche auf personenbezogenen Daten oder Datenbeständen automatisiert oder nicht automatisiert durchgeführte Operation oder eine Sequenz von Operationen, unter Anderen die Erhebung, Erfassung, Systematisierung, Speicherung, Konversion oder Modifikation, Abfrage, Einsicht, Anwendung, Kommunikation durch Übermittlung, Vertrieb oder sonstige Zugangverschaffung, Koordination oder Kopplung, Beschränkung, Löschen oder Vernichtung.

Auftragsverarbeiter: Eine natürliche oder juristische Person, Organ der öffentlichen Gewalt, Agentur oder sonstiges Organ, die/das im Namen des Datenverarbeiters personenbezogenen Daten verarbeitet.

Datenschutzzwischenfall: Ein Verstoß gegen die Sicherheit, der zur zufälligen oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung oder unberechtigten Kommunikation der übermittelten, gespeicherten oder anderswie verarbeiteten personenbezogenen Daten, oder zum unberechtigten Zugriff zu diesen führt.

3. Datenschutzrechtsnormen

Rechtsnormen, die hinsichtlich dieses Statuts große Bedeutung haben:

  1. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – „Datenschutz-Grundverordnung" (DSGVO);
  2. Das Grundgesetz von Ungarn:
  3. Das Bürgerliches Gesetzbuch, V. Gesetz des Jahres 2013, 2:42 §;
  4. Das CXII. Gesetz des Jahres 2011 über das Selbstbestimmungsrecht bezüglich der Informationen und über die Informationsfreiheit (InfG.);
  5. Das XLVII. Gesetz des Jahres 1997 über die Verarbeitung und über den Schutz der personenbezogenen Gesundheitsdaten und der damit zusammenhängenden Daten;
  6. Das CVIII. Gesetz des Jahres 2001 über einige Fragen der elektronischen Handelsdienstleistungen und der mit der Informationsgesellschaft zusammenhängenden Dienstleistungen;
  7. Das LXVI. Gesetz des Jahres 1992 über die Registrierung der personenbezogenen Daten und der Adresse der Bürger;
  8. Jeweilige Modifikationen der Verordnung, sowie die von der Europäischen Kommission und der für den Geschäftssitz des Datenverarbeiters zuständigen Aufsichtsbehörde auf Grund der Verordnung ausarbeitete Rechtsanwendungspraxis und Empfehlungen.

4. Anmeldung des Datenschutzzwischenfalls

Der Datenverarbeiter meldet den Datenschutzzwischenfall bei der zuständigen Aufsichtsbehörde ohne begründete Verzögerung und möglicherweise spätestens 72 Stunden nachdem er von dem Datenschutzzwischenfall Kenntnis genommen hat, ausgenommen den Fall, bei dem der Datenschutzzwischenfall wahrscheinlich kein Risiko hinsichtlich der Rechte und Freiheiten natürlicher Personen bedeutet. Falls diese Meldung nicht innerhalb 72 Stunden erfolgt, müssen auch die Gründe der Verzögerung als Bekräftigung beigelegt werden.
Der Auftragsverarbeiter meldet den Datenschutzzwischenfall ohne begründete Verzögerung dem Datenverarbeiter, nachdem er davon Kenntnis genommen hat.

Die Meldung über den Datenschutzzwischenfall muss Folgende beinhalten:

  1. die Natur des Datenschutzzwischenfalls muss beschrieben werden, falls möglich mit der Bekanntgabe der Kategorien der betroffenen Personen und deren ungefährer Anzahl; die Kategorien der durch den Datenschutzzwischenfall betroffenen Daten und deren ungefährer Anzahl;
  2. Name und Kontaktmöglichkeiten des Datenschutzbeauftragten oder der sonstigen Kontaktperson, die Auskunft geben kann;
  3. die Beschreibung der wahrscheinlichen Folgen des Datenschutzzwischenfalls;
  4. die Beschreibung der Maßnahmen, die für die Abhilfe der Folgen des Datenschutzzwischenfalls vom Datenverarbeiter getroffen sind oder von ihm dafür geplant sind, inklusive der Maßnahmen für die Minderung der eventuellen schädlichen Folgen des Datenschutzzwischenfalls.

Falls es nicht möglich ist, die obengenannten Informationen gleichzeitig mitzuteilen, kann deren Bekanntmachung ohne weitere begründete Verzögerung auch später absatzweise getan werden.
Der Auftragsverarbeiter führt Evidenz über die Datenschutzzwischenfälle, wo die mit dem Datenschutzzwischenfall zusammenhängenden Fakten, dessen Auswirkungen und die Maßnahmen für die Abhilfe angegeben sind.

5. Auskunft für die betroffenen Personen über den Datenschutzzwischenfall

Wenn der Datenschutzzwischenfall wahrscheinlich ein hohes Risiko hinsichtlich der Rechte und Freiheiten natürlicher Personen bedeutet, informiert der Datenverarbeiter die betroffene Person über den Datenschutzzwischenfall ohne begründete Verzögerung.
In dem Auskunft für die betroffene Person beschreibt der Datenverarbeiter in einer klaren und einfachen Sprache die Natur des Datenschutzzwischenfalls, und gibt mindestens Folgende an: Name und Kontaktmöglichkeiten der sonstigen Kontaktperson, die Auskunft geben kann; die Beschreibung der wahrscheinlichen Folgen des Datenschutzzwischenfalls; sowie die Beschreibung der Maßnahmen, die für die Abhilfe der Folgen des Datenschutzzwischenfalls getroffen sind oder dafür geplant sind, inklusive der Maßnahmen für die Minderung der eventuellen schädlichen Folgen des Datenschutzzwischenfalls.

Die betroffene Person muss nicht nach Punkt 5 dieses Statuts informiert werden, wenn irgendwelche der folgenden Angaben zutrifft:

  1. der Datenverarbeiter hat angemessene technische und organisatorische Maßnahmen getroffen, und diese Maßnahmen sind bezüglich der von dem Datenschutzzwischenfall betroffenen Daten ausgeübt, mit besonderer Aufmerksamkeit auf die Maßnahmen (z.B. die Verschlüsselung), die für die zum Zugriff zu den personenbezogenen Daten unbefugten Personen die Daten unverständig machen;
  2. der Datenverarbeiter hat nach dem Datenschutzzwischenfall weitere Maßnahmen getroffen, die garantieren, dass das hohe Risiko hinsichtlich der Rechte und Freiheiten der betroffenen natürlichen Person in der Zukunft wahrscheinlich nicht bestehen wird;
  3. für die Benachrichtigung würde unangemessene Anstrengung notwendig. In solchen Fällen müssen die betroffenen Personen öffentlich informiert werden, oder ähnliche Maßnahmen müssen getroffen werden, die eine gleich effektive Benachrichtigung der betroffenen Personen möglich machen.

Falls der Datenverarbeiter die betroffene Person über den Datenschutzzwischenfall noch nicht informiert hat, kann die Aufsichtsbehörde nach der Abschätzung des wahrscheinlich hohen Risikos des Datenschutzzwischenfalls verordnen, dass die betroffene Person zu informieren ist, oder sie kann es bestätigen, dass der betroffenen Person keine Auskunft zu geben ist.

6. Sonstige Bestimmungen

Dieses Statut schafft folgende sonstige Bestimmungen, in Übereinstimmung mit dem Datenverarbeitungsstatut des Datenverarbeiters und mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DSGVO):
Die Datenverarbeitung muss auch in solchen Fällen als rechtmäßig beurteilt werden, wo sie zum Schutz des Lebens der betroffenen Person oder der Interessen von anderen natürlichen Personen ausgeübt wird. Bezugnehmend auf die lebenswichtigen Interessen von anderen natürlichen Personen dürfen die personenbezogenen Daten theoretisch nur dann verarbeitet werden, wenn kein anderer Rechtsgrund für diese Datenverarbeitung zu finden ist. Einige Kategorien der Verarbeitung der personenbezogenen Daten kann gleichzeitig einem wichtigen öffentlichen Interesse und den lebenswichtigen Interessen der betroffenen Person dienen, zum Beispiel wenn die Datenverarbeitung zur Verfolgung von Epidemien und deren Verbreitung, oder in einer humanitären Notfall, besonders bei Natur- oder von Menschen ausgelösten Katastrophen notwendig ist.
Im Recht der Union oder der Mitgliedstaaten können Beschränkungen hinsichtlich bestimmter Grundsätze und hinsichtlich des Rechts auf Unterrichtung, Auskunft zu und Berichtigung oder Löschung personenbezogener Daten, des Rechts auf Datenübertragbarkeit und Widerspruch, Entscheidungen, die auf der Erstellung von Profilen beruhen, sowie Mitteilungen über einen Datenschutzzwischenfall an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Datenverarbeiter vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, die Verhütung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung — was auch den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit einschließt — oder die Verhütung, Aufdeckung und Verfolgung von Verstößen gegen Berufsstands regeln bei reglementierten Berufen, das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses sowie die Weiterverarbeitung von archivierten personenbezogenen Daten zur Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen gehört, oder die betroffene Person und die Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherheit, öffentliche Gesundheit und humanitäre Hilfe, zu schützen. Diese Beschränkungen sollten mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.

7. Schlußbestimmungen

Dieses Statut tritt am Tag der Unterfertigung in Kraft.
Die Bestimmungen dieses Statuts müssen bei den Datenverarbeitungen nach dessen Inkrafttreten angewandt werden.
Die Bestimmungen dieses Statuts müssen ebenfalls bei den Datenverarbeitungen angewandt werden, die beim Inkrafttreten schon gängig sind.
Bezüglich der in diesem Statut nicht geregelten Fragen sind die Bestimmungen der im Punkt 3 angegebenen Rechtsnormen maßgebend.
Mit dem Inkrafttreten dieses Statuts werden die früheren Statuten für Datenschutzzwischenfälle des Datenverarbeiters kraftlos.  


Budapest, den 25. Mai 2018