1. ZWECK

Diese Richtlinie schafft einen wirksamen, verantwortungsvollen und transparenten Rahmen, der die Einhaltung der Anforderungen der DSGVO sicherstellen soll.

2. GELTUNGSBEREICH

Diese Richtlinie gilt für alle Mitarbeiter von FundamentalVR sowie Dritte, die für die Verarbeitung personenbezogener Daten im Auftrag von Servicefunktionen/Einheiten von FundamentalVR zuständig sind.

3. GRUNDSATZERKLÄRUNG

FundamentalVR ist bestrebt, seiner Geschäftstätigkeit im Einklang mit allen anwendbaren Datenschutzgesetzen und -bestimmungen und entsprechend den höchsten ethischen Verhaltensstandards nachzugehen.

Diese Richtlinie regelt, welche Verhaltensweisen von den Mitarbeitern von FundamentalVR und Dritten in Bezug auf die Erhebung, Verwendung, Aufbewahrung, Übermittlung, Offenlegung und Vernichtung von personenbezogenen Daten eines Kontakts von FundamentalVR (d. h. einer betroffenen Person) erwartet werden.

Personenbezogene Daten sind alle Informationen (einschließlich Meinungen und Absichten), die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten unterliegen bestimmten rechtlichen Schutzmaßnahmen und anderen Verordnungen, die die Art und Weise beschränken, wie Organisationen personenbezogene Daten verarbeiten dürfen. Eine Organisation, die personenbezogene Daten verarbeitet und Entscheidungen über ihre Verwendung trifft, wird als für die Daten Verantwortlicher bezeichnet. FundamentalVR ist als Verantwortlicher dafür zuständig, die Einhaltung der Datenschutzanforderungen aus dieser Richtlinie sicherzustellen. Werden die Anforderungen nicht eingehalten, kann dies für FundamentalVR Beschwerden, regulatorische Maßnahmen, Bußgelder und/oder Reputationsschäden zur Folge haben.

Die Geschäftsführung von FundamentalVR hat sich dazu verpflichtet, die fortgesetzte und wirksame Umsetzung dieser Richtlinie sicherzustellen, und erwartet von allen Mitarbeitern von FundamentalVR sowie Dritten, dies ebenfalls zu tun. Jede Zuwiderhandlung gegen diese Richtlinie wird ernst genommen und kann zu Disziplinarmaßnahmen oder geschäftlichen Sanktionen führen.

3.1. Governance

3.1.1. Datenschutzbeauftragter
Als Beleg unseres Engagements für den Datenschutz und zur Verbesserung der Effektivität unserer Compliance-Maßnahmen hat FundamentalVR einen Datenschutzbeauftragten ernannt. Der Datenschutzbeauftragte ist unabhängig tätig und wird von entsprechend qualifizierten Personen unterstützt, denen alle erforderlichen Befugnisse erteilt wurden. Der Datenschutzbeauftragte berichtet an den CEO von FundamentalVR. Die Pflichten des Datenschutzbeauftragten umfassen Folgendes:

  • Unterrichtung und Beratung von FundamentalVR und Mitarbeitern von FundamentalVR, die Daten gemäß Datenschutzbestimmungen, nationalen Gesetzen oder EU-Datenschutzvorschriften verarbeiten
  • Sicherstellung der Ausrichtung dieser Richtlinie an Datenschutzbestimmungen, nationalen Gesetzen oder EU-Datenschutzvorschriften
  • Anleitung zur Durchführung von Datenschutz-Folgenabschätzungen
  • Funktion als Ansprechpartner für Datenschutzbehörden und Zusammenarbeit mit diesen
  • Feststellung der Meldepflicht gegenüber einer oder mehrerer Datenschutzbehörden infolge der aktuellen oder geplanten Aktivitäten zur Verarbeitung personenbezogener Daten durch FundamentalVR
  • Zustellung aktueller Meldungen an eine oder mehrere Datenschutzbehörden infolge der aktuellen oder geplanten Aktivitäten zur Verarbeitung personenbezogener Daten durch FundamentalVR
  • Schaffung und Betrieb eines Systems zur umgehenden und angemessenen Reaktion auf Anfragen von betroffenen Personen
  • Unterrichtung von leitenden Angestellten, Vorständen und Geschäftsleitern von FundamentalVR über potenzielle Unternehmenssanktionen und zivil- und strafrechtlichen Strafen, die gegen FundamentalVR und/oder Mitarbeiter von FundamentalVR aufgrund von Verstößen gegen anwendbare Datenschutzgesetze verhängt werden

Sicherstellung der Festlegung von Verfahrensweisen und standardmäßigen Vertragsbestimmungen zur Einhaltung dieser Richtlinie durch Dritte, die:

  • personenbezogene Daten an eine Servicefunktion/Einheit von FundamentalVR weitergeben,
  • personenbezogene Daten von einer Servicefunktion/Einheit von FundamentalVR erhalten,
  • Zugang zu von FundamentalVR erhobenen oder verarbeiteten personenbezogenen Daten haben.

3.1.2. Datenschutz durch Technik

Damit bei der Planung neuer Systeme oder Prozesse und/oder bei der Prüfung oder Erweiterung bestehender Systeme oder Prozesse alle Datenschutzanforderungen identifiziert und berücksichtigt werden, muss stets zunächst ein Genehmigungsprozess durchlaufen werden. Jede Servicefunktion/Einheit von FundamentalVR muss sicherstellen, dass für alle neuen und/oder überarbeiteten Systeme oder Prozesse in ihrem Zuständigkeitsbereich in Zusammenarbeit mit dem Datenschutzbeauftragten eine Datenschutz-Folgenabschätzung durchgeführt wird. Die Ergebnisse der Datenschutz-Folgenabschätzung sind anschließend dem CEO zur Prüfung und Genehmigung vorzulegen. Sofern zutreffend, kooperiert die Abteilung Information Technology (IT) im Rahmen des Prüfprozesses zum IT-System- und Anwendungsdesign mit dem Datenschutzbeauftragten, um die Auswirkungen von neuer Technologie auf die Sicherheit personenbezogener Daten zu beurteilen.

3.1.3. Überwachung der Einhaltung

Um zu bestätigen, dass alle Servicefunktionen/Einheiten von FundamentalVR diese Richtlinie angemessen einhalten, führt der Datenschutzbeauftragte in all diesen Servicefunktionen/Einheiten von FundamentalVR eine jährliche Prüfung zum Datenschutz durch. Bei jeder Prüfung wird mindestens Folgendes beurteilt:

  • Einhaltung der Richtlinie in Bezug auf den Schutz personenbezogener Daten, einschließlich:
  • Zuweisung von Verantwortlichkeiten
    • Sensibilisierung
    • Schulung von Mitarbeitern
  • Wirksamkeit des Datenschutzes in Bezug auf operative Tätigkeiten, einschließlich folgender Punkte:
    • Rechte betroffener Personen
    • Übermittlung personenbezogener Daten
    • Vorfallsmanagement im Zusammenhang mit personenbezogenen Daten
    • Bearbeitung von Beschwerden im Zusammenhang mit personenbezogenen Daten
    • Verständnisgrad in Bezug auf Datenschutzrichtlinien und Datenschutzerklärungen
    • Aktualität von Datenschutzrichtlinien und Datenschutzerklärungen
    • Richtigkeit von zu speichernden personenbezogenen Daten
    • Konformität von Aktivitäten zur Datenverarbeitung
    • Angemessenheit von Maßnahmen zur Behebung von Konformitätsmängeln und Verletzungen des Schutzes personenbezogener Daten. Der Datenschutzbeauftragte entwickelt in Zusammenarbeit mit wichtigen geschäftlichen Stakeholdern aus jeder Servicefunktion/Einheit von FundamentalVR einen Plan mit zugehöriger Zeitplanung zur Behebung von ermittelten Mängeln in einem festgelegten und angemessenen Zeitrahmen. Größere Mängel und bewährte Praktiken, die ermittelt wurden, werden an das Führungsteam von FundamentalVR gemeldet, von diesem überwacht und von diesem kommuniziert.

3.2. Datenschutzgrundsätze

FundamentalVR hat sich bei der Erhebung, Verwendung, Aufbewahrung, Übermittlung, Offenlegung und Vernichtung personenbezogener Daten folgenden Grundsätzen verschrieben:

Grundsatz 1: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Das bedeutet, dass FundamentalVR die betroffene Person darüber in Kenntnis setzen muss, welche Verarbeitung erfolgt (Transparenz), dass die Verarbeitung dieser Beschreibung entsprechen muss (Verarbeitung nach Treu und Glauben) und dass sie für einen der in der anwendbaren Datenschutzverordnung angegebenen Zwecke erfolgen muss (Rechtmäßigkeit).

Grundsatz 2: Zweckbindung. Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht auf eine Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Das bedeutet, dass FundamentalVR genau angeben muss, wofür die erhobenen personenbezogenen Daten verwendet werden, und die Verarbeitung dieser Daten auf das zur Erfüllung des jeweiligen Zwecks notwendige Maß beschränkt sein muss.

Grundsatz 3: Datenminimierung. Personenbezogene Daten müssen für die Zwecke, zu denen sie verarbeitet werden, angemessen und sachbezogen sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Das bedeutet, dass FundamentalVR keine personenbezogenen Daten speichern darf, die über das unbedingt notwendige Maß hinausgehen.

Grundsatz 4: Richtigkeit. Personenbezogene Daten müssen richtig und aktuell sein. Das bedeutet, dass FundamentalVR über Prozesse zur Identifizierung von und zum Umgang mit veralteten, falschen oder redundanten personenbezogenen Daten verfügen muss.

Grundsatz 5: Speicherbegrenzung. Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das bedeutet, dass FundamentalVR wann immer möglich personenbezogene Daten auf eine Weise speichern muss, die die Identifizierung der betroffenen Person nur eingeschränkt möglich macht oder verhindert.

Grundsatz 6: Integrität und Vertraulichkeit. Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. FundamentalVR muss angemessene technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Integrität und Vertraulichkeit der personenbezogenen Daten zu jeder Zeit gewahrt bleiben.

Grundsatz 7: Rechenschaftspflicht. Der Verantwortliche ist für die Einhaltung verantwortlich und muss die Einhaltung nachweisen können. Das bedeutet, dass FundamentalVR nachweisen muss, dass die sechs vorstehenden Datenschutzgrundsätze in Bezug auf alle personenbezogenen Daten im Verantwortungsbereich erfüllt werden.

3.3. Datenerhebung

3.3.1. Datenquellen

Personenbezogene Daten sollten nur von der betroffenen Person erhoben werden, sofern Folgendes nicht zutrifft:

  • Die Art des Geschäftszwecks macht das Erheben personenbezogener Daten von anderen Personen oder Stellen erforderlich.
  • Die Erhebung dient dazu, in einer Notfallsituation die lebenswichtigen Interessen der betroffenen Person zu schützen oder schwerwiegende Verluste oder Verletzungen einer anderen Person zu verhindern.

Sofern personenbezogene Daten von jemand anderem als der betroffenen Person eingeholt werden, muss die betroffene Person darüber informiert werden, sofern Folgendes nicht zutrifft:

  • Die betroffene Person hat die erforderlichen Informationen bereits über andere Wege erhalten.
  • Die Informationen müssen aufgrund des Berufsgeheimnisses vertraulich behandelt werden.
  • Die Erhebung, Verarbeitung oder Übermittlung der personenbezogenen Daten ist durch ein nationales Gesetz ausdrücklich gestattet.

Wenn festgestellt wurde, dass eine Benachrichtigung der betroffenen Person erforderlich ist, sollte dies umgehend erfolgen, jedoch spätestens:

  • einen Kalendermonat ab der ersten Erhebung oder Aufzeichnung der personenbezogenen Daten,
  • zum Zeitpunkt der ersten Mitteilung, falls die Daten zur Kommunikation mit der betroffenen Person verwendet werden,
  • zum Zeitpunkt der Offenlegung, falls die Offenlegung gegenüber einem anderen Empfänger erfolgt.

3.3.2. Einwilligung der betroffenen Person

Jede Servicefunktion/Einheit von FundamentalVR holt personenbezogene Daten nur auf rechtmäßige und angemessene Weise ein und ggf. mit Wissen und Einwilligung der betroffenen Person. Sofern es erforderlich ist, vor der Erhebung, Verwendung oder Offenlegung personenbezogener Daten eine Einwilligung einzuholen, ist FundamentalVR bestrebt, eine solche Einwilligung zu erhalten. Der Datenschutzbeauftragte schafft in Zusammenarbeit mit anderen relevanten Vertretern des Unternehmens ein System zur Einholung und Dokumentation der Einwilligungen von betroffenen Personen zum Zwecke der Erhebung, Verarbeitung und/oder Übermittlung ihrer personenbezogenen Daten.

3.3.3. Benachrichtigung der betroffenen Person

Jede Servicefunktion/Einheit von FundamentalVR stellt der betroffenen Person, sofern dies nach geltendem Recht oder im Rahmen eines Vertrags erforderlich ist oder FundamentalVR dies als angemessen erachtet, Informationen zum Zweck der Verarbeitung ihrer personenbezogenen Daten bereit. Wird eine betroffene Person um ihre Einwilligung in die Verarbeitung personenbezogener Daten gebeten und werden personenbezogene Daten von ihr erhoben, erfolgt jegliche angemessene Offenlegung auf ersichtliche Weise, sofern nicht Folgendes zutrifft:

  • Die betroffene Person verfügt bereits über die Informationen.
  • Es gilt eine rechtliche Ausnahme hinsichtlich der erforderlichen Offenlegung und/oder Einwilligung. Die Offenlegung kann mündlich, auf elektronischem Wege oder schriftlich erfolgen. Sofern sie mündlich vorgenommen wird, sollte die sie vornehmende Person ein geeignetes Skript oder Formular verwenden, das vorab vom Datenschutzbeauftragten genehmigt wurde. Die entsprechende Empfangsbestätigung bzw. das Formular ist zusammen mit den dokumentierten Fakten, Daten, Inhalten und Methoden der Offenlegung aufzubewahren.

3.3.4. Externe Datenschutzerklärungen

Jede von FundamentalVR extern bereitgestellte Website umfasst zur Erfüllung der Anforderungen geltenden Rechts eine Online-Datenschutzerklärung und eine Online-Cookie-Richtlinie.

3.4. Datenverwendung

3.4.1. Datenverarbeitung

FundamentalVR verwendet die personenbezogenen Daten von Kontakten für folgende allgemeine Zwecke:

  • Allgemeiner Betrieb und Führung der Geschäfte von Servicefunktionen/Einheiten von FundamentalVR
  • Erbringung von Dienstleistungen für Stakeholder von FundamentalVR
  • Laufende Administration und Verwaltung des Kundenservice

Die Verwendung der Informationen eines Kontakts sollte stets aus dessen Perspektive erfolgen und berücksichtigen, ob dadurch seine Erwartungen erfüllt werden oder sein Widerspruch wahrscheinlich ist. Beispielsweise läge die Verwendung der Daten des Kontakts durch FundamentalVR zur Reaktion auf eine Anfrage seinerseits in Bezug auf die angebotenen Produkte und Dienstleistungen eindeutig im Rahmen seiner Erwartungen. Dagegen entspräche es nicht seinen vernünftigen Erwartungen, wenn FundamentalVR seine Daten anschließend zu Werbezwecken an Dritte weitergeben würde.

Jede Servicefunktion/Einheit von FundamentalVR verarbeitet personenbezogene Daten in Übereinstimmung mit sämtlichen geltenden Gesetzen und vertraglichen Pflichten. Genauer gesagt verarbeitet FundamentalVR keine personenbezogenen Daten, sofern nicht mindestens eine der folgenden Voraussetzungen erfüllt ist:

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
  • Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt).

Unter bestimmten Umständen können personenbezogene Daten für Zwecke weiterverarbeitet werden, die über den ursprünglichen Zweck ihrer Erhebung hinausgehen. Zur Feststellung der Konformität des neuen Grunds für die Verarbeitung bedarf es der Weisung und Genehmigung des Datenschutzbeauftragten, bevor mit einer solchen Verarbeitung begonnen werden kann.

  • Wenn die Einwilligung für die betreffende Verarbeitung nicht erteilt wurde, prüft FundamentalVR in jedem Fall folgende zusätzlichen Bedingungen, um festzustellen, ob eine über den ursprünglichen Zweck der Erhebung personenbezogener Daten hinausgehende Verarbeitung nach Treu und Glauben und transparent erfolgen würde:
  • Jegliche Verbindung zwischen dem Zweck, für den die personenbezogenen Daten erhoben wurden, und den Gründen für die geplante Weiterverarbeitung
  • Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen der betroffenen Person und dem Verantwortlichen
  • Mögliche Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person
  • Vorhandensein geeigneter Garantien hinsichtlich der Weiterverarbeitung, wozu die Verschlüsselung, Anonymisierung und Pseudonymisierung gehören können

3.4.2. Besondere Kategorien personenbezogener Daten

FundamentalVR verarbeitet nur dann besondere Kategorien personenbezogener Daten (auch „sensible Daten“ genannt), wenn die betroffene Person dieser Verarbeitung ausdrücklich zugestimmt hat oder wenn eine der folgenden Voraussetzungen erfüllt ist:

  • Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person bereits öffentlich gemacht hat.
  • Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  • Die Verarbeitung ist gesetzlich erforderlich oder zulässig.
  • Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.
  • Zusätzliche Bedingungen, einschließlich Beschränkungen, basierend auf Landesrecht in Bezug auf die Verarbeitung von genetischen, biometrischen und Gesundheitsdaten.

Sollen besondere Kategorien personenbezogener Daten verarbeitet werden, muss zuvor die Genehmigung des Datenschutzbeauftragten eingeholt werden. Zudem muss die Grundlage für die Verarbeitung zusammen mit den betreffenden personenbezogenen Daten eindeutig erfasst sein. Wenn besondere Kategorien personenbezogener Daten verarbeitet werden, ergreift FundamentalVR zusätzliche Schutzmaßnahmen.

3.4.3. Daten von Kindern

Kinder unter 14 Jahren können nicht in die Verarbeitung personenbezogener Daten für Dienste der Informationsgesellschaft (jeglicher Dienst, der regulär gegen Zahlung auf elektronischem Wege und auf individuelle Anfrage eines Dienstleistungsempfängers bereitgestellt wird) einwilligen. Daher muss die Einwilligung der Erziehungsberechtigten des Kindes eingeholt werden. Zu beachten ist jedoch, dass es nicht erforderlich ist, die Einwilligung der Erziehungsberechtigten des Kindes einzuholen, wenn die Verarbeitung auf einer anderen Rechtsgrundlage basiert.

3.4.4. Datenqualität

Jede Servicefunktion/Einheit von FundamentalVR ergreift sämtliche erforderlichen Maßnahmen, um sicherzustellen, dass die von ihr erhobenen und verarbeiteten personenbezogenen Daten von Anfang an vollständig und richtig sind und aktualisiert werden, um die jeweils aktuelle Situation der betroffenen Person widerzuspiegeln. Die von FundamentalVR ergriffenen Maßnahmen zur Sicherstellung der Datenqualität umfassen Folgendes:

  • Berichtigung personenbezogener Daten, die bekanntermaßen falsch, unvollständig, mehrdeutig, irreführend oder veraltet sind, auch wenn die Korrektur nicht von der betroffene Person angefordert wird
  • Aufbewahrung personenbezogener Daten ausschließlich über einen Zeitraum, der erforderlich ist, um die zulässigen Verwendungszwecke zu erfüllen oder geltende gesetzliche Aufbewahrungsfristen einzuhalten
  • Löschung personenbezogener Daten im Falle einer Verletzung eines der Datenschutzgrundsätze oder wenn die personenbezogenen Daten nicht mehr benötigt werden
  • Einschränkung statt Löschung personenbezogener Daten, sofern:
    • ein Gesetz die Löschung verbietet,
    • die Löschung die berechtigten Interessen der betroffenen Person beeinträchtigen würde,
    • die betroffene Person bestreitet, dass ihre personenbezogenen Daten richtig sind, und nicht eindeutig geklärt werden kann, ob die Daten richtig sind.

3.4.5. Profiling und automatisierte Entscheidungsfindung

FundamentalVR wendet nur dann Profiling und die automatisierte Entscheidungsfindung an, wenn dies zum Abschluss oder der Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist oder wenn dies gesetzlich zulässig ist. Wenn eine Servicefunktion/Einheit von FundamentalVR Profiling und die automatisierte Entscheidungsfindung nutzt, wird dies den betroffenen Personen mitgeteilt. In diesen Fällen hat eine betroffene Person die Möglichkeit:

  • ihren Standpunkt darzulegen,
  • eine Erklärung über die automatisierte Entscheidung zu erhalten,
  • die vom automatisierten System verwendete Logik zu prüfen,
  • das automatisierte System um zusätzliche Daten zu ergänzen,
  • das menschliche Eingreifen einer Person zur Prüfung der automatisierten Entscheidung zu erwirken,
  • die automatisierte Entscheidung anzufechten.

Vorbehaltlich der Durchführung der automatisierten Entscheidungsfindung muss jede Servicefunktion/Einheit von FundamentalVR auch sicherstellen, dass jegliches Profiling und die automatisierte Entscheidungsfindung in Bezug auf eine betroffene Person auf richtigen Daten beruht.

3.4.6. Digitales Marketing

Als Grundregel gilt, dass FundamentalVR keine Materialien zur Verkaufsförderung oder Direktwerbung über digitale Kanäle wie Mobiltelefone, E-Mail oder Internet an einen Kontakt von FundamentalVR sendet, bevor dieser nicht zunächst seine Einwilligung gegeben hat. Jede Servicefunktion/Einheit von FundamentalVR, die digitale Marketingkampagnen durchführen möchte, ohne zuvor die Einwilligung der betroffenen Person einzuholen, muss dies zunächst vom Datenschutzbeauftragten genehmigen lassen. Wird die Verarbeitung personenbezogener Daten zum Zwecke des digitalen Marketings genehmigt, muss die betroffene Person bei der ersten Kontaktaufnahme darüber informiert werden, dass sie das Recht hat, zu jeder Zeit gegen die Verarbeitung ihrer Daten zu solchen Zwecken Widerspruch einzulegen. Sollte die betroffene Person Widerspruch einlegen, muss die Verarbeitung ihrer personenbezogenen Daten zum Zwecke des digitalen Marketings umgehend eingestellt werden und die Daten sind zusammen mit der Entscheidung zur Abbestellung in einer Sperrliste zu erfassen, statt vollständig gelöscht zu werden. Zu beachten ist, dass im Falle des digitalen Marketings im B2B-Kontext kein rechtliches Erfordernis besteht, eine Einwilligung in die digitale Marketingkommunikation an Personen einzuholen, vorausgesetzt, ihnen wurde die Möglichkeit zur Abbestellung gewährt.

3.5. Datenspeicherung

Zur Sicherstellung einer angemessenen Verarbeitung werden personenbezogene Daten von FundamentalVR nicht länger aufbewahrt, als es für die Zwecke erforderlich ist, für die sie ursprünglich erhoben oder für die sie weiterverarbeitet wurden. Die Dauer der erforderlichen Aufbewahrung von personenbezogenen Daten durch die Servicefunktionen/Einheiten von FundamentalVR ist in der Aufbewahrungsrichtlinie von FundamentalVR dargelegt. Diese berücksichtigt die rechtlichen und vertraglichen Mindest- und Höchstanforderungen, die Auswirkungen auf die in dem Anhang dargelegten Aufbewahrungsfristen haben. Sobald bestätigt wurde, dass sie nicht länger aufbewahrt werden müssen, sollten sämtliche personenbezogenen Daten so bald wie möglich gelöscht oder vernichtet werden.

3.6. Datenschutz

Jede Servicefunktion/Einheit von FundamentalVR ergreift physische, technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten. Dies beinhaltet auch, Schäden und Verluste, die unrechtmäßige Veränderung oder Verarbeitung, den unbefugten Zugang sowie sonstige Gefahren zu verhindern, denen die Daten ausgesetzt sind, seien sie durch menschliche Hand oder durch physische oder natürliche Umstände verursacht. Die Schutzmaßnahmen bezüglich personenbezogener Daten lassen sich wie folgt zusammenfassen:

  • Verhindern des Zugangs durch unbefugte Personen zu Datenverarbeitungssystemen, in denen personenbezogene Daten verarbeitet werden
  • Verhindern des Zugriffs auf personenbezogene Daten durch zur Verwendung berechtigte Personen über deren Erfordernisse und Befugnisse hinaus
  • Sicherstellen, dass personenbezogene Daten ohne Genehmigung während der elektronischen Übermittlung nicht gelesen, kopiert, verändert oder entfernt werden können
  • Sicherstellen, dass Zugriffsprotokolle erstellt werden, um festzustellen, ob und durch wen personenbezogene Daten in einem Datenverarbeitungssystem eingegeben, verändert oder entfernt wurden
  • Sicherstellen, dass die Daten im Falle der Verarbeitung durch einen Auftragsverarbeiter nur im Einklang mit den Anweisungen des Verantwortlichen verarbeitet werden können
  • Sicherstellen, dass personenbezogene Daten vor ungewollter Vernichtung und Verlust geschützt sind
  • Sicherstellen, dass für unterschiedliche Zwecke erhobene personenbezogene Daten separat verarbeitet werden können und werden
  • Sicherstellen, dass personenbezogene Daten nicht länger als erforderlich aufbewahrt werden

3.7. Anträge von betroffenen Person

Der Datenschutzbeauftragte schafft ein System, das die Ausübung der Rechte betroffener Personen ermöglicht und vereinfacht, und zwar bezüglich folgender Rechte:

  • Informationsauskunft
  • Widerspruch gegen die Verarbeitung
  • Widerspruch gegen die automatisierte Entscheidungsfindung und gegen Profiling
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Datenspeicherung
  • Datenlöschung, wenn eine Person einen Antrag in Bezug auf ein vorstehendes Recht stellt

FundamentalVR prüft jeden Antrag unter Berücksichtigung der geltenden Datenschutzgesetze und -bestimmungen. Für die Prüfung und/oder Bearbeitung eines Antrags wird keine Verwaltungsgebühr erhoben, außer die Anfrage wird als unnötig oder exzessiv erachtet. Die betroffenen Personen haben das Recht, über dieses Formular per Post oder E-Mail an DPO@fundamentalvr.com einen Antrag zum Einholen von Informationen zu stellen.

Zu beachten ist, dass die Bereitstellung von Informationen, die von einer betroffenen Person angefordert wurden, in einigen Situationen die personenbezogenen Daten einer anderen Person offenlegen würde. In solchen Fällen sind die Informationen nach Bedarf oder sofern angemessen zu schwärzen oder einzubehalten, um die Rechte dieser Person zu schützen. Ausführliche Informationen zum Umgang mit Anträgen von betroffenen Personen sind dem Dokument „Data Subject Access Rights Policy and Procedure“ von FundamentalVR zu entnehmen.

3.8. Anfragen von Strafverfolgungsbehörden und Offenlegungen

Unter bestimmten Umständen ist es zulässig, personenbezogene Daten ohne das Wissen oder die Einwilligung der betroffenen Person weiterzugeben. Dies gilt in Fällen, in denen die Offenlegung der personenbezogenen Daten für folgende Zwecke erforderlich ist:

  • Verhindern oder Aufdecken von Straftaten
  • Festnahme oder strafrechtliche Verfolgung von Straftätern
  • Veranlagung oder Erhebung von Steuern oder Abgaben
  • Auf gerichtliche Anordnung oder gemäß Rechtsgrundsatz

Wenn eine Servicefunktion/Einheit von FundamentalVR personenbezogene Daten zu einem dieser Zwecke verarbeitet, kann sie Ausnahmen auf die in dieser Richtlinie enthaltenen Regeln zur Verarbeitung anwenden, jedoch ausschließlich soweit sich eine entsprechende Unterlassung nachteilig auf den betreffenden Fall auswirken würde. Wenn eine Servicefunktion/Einheit von FundamentalVR eine Anfrage eines Gerichts oder einer Aufsichts- oder Strafverfolgungsbehörde zu Informationen in Bezug auf einen Kontakt von FundamentalVR erhält, muss sie umgehend den Datenschutzbeauftragten informieren, der umfassende Hilfestellung geben und Unterstützung leisten wird.

3.9. Datenschutzschulung

Sämtlichen Mitarbeitern von FundamentalVR mit Zugriff auf personenbezogene Daten müssen ihre Verantwortlichkeiten im Rahmen dieser Richtlinie in einer Einführungsschulung erläutert werden. Darüber hinaus führt jede Servicefunktion/Einheit von FundamentalVR regelmäßige Schulungen zum Datenschutz und zur verfahrensspezifischen Anleitung für Mitarbeiter durch.

3.10. Datenübermittlung

Servicefunktionen/Einheiten von FundamentalVR können personenbezogene Daten an interne oder dritte Empfänger übermitteln, die sich in einem anderen Land befinden, sofern dieses Land ein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen bietet. Ist eine Übermittlung in ein Land erforderlich, in dem ein solches rechtliches Schutzniveau nicht gegeben ist (z. B. Drittländer), dann ist diese in Übereinstimmung mit genehmigten Mechanismen der Übermittlung vorzunehmen. Servicefunktionen/Einheiten von FundamentalVR dürfen personenbezogene Daten nur in einem der folgenden Szenarien übermitteln:

  • Die betroffene Person hat ihre Einwilligung zur vorgeschlagenen Übermittlung gegeben.
  • Die Übermittlung ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich.
  • Die Übermittlung ist zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich.
  • Die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags mit einer Drittpartei, der im Interesse der betroffenen Person geschlossen wird, erforderlich.
  • Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses gesetzlich erforderlich.
  • Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  • Die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich.

3.11. Beschwerdebearbeitung

Betroffene Personen, die sich über die Verarbeitung ihrer personenbezogenen Daten beschweren möchten, sollten die Angelegenheit schriftlich an den Datenschutzbeauftragten weiterleiten. Daraufhin findet eine Untersuchung des Beschwerdefalls statt, soweit dies dem Sachverhalt des jeweiligen Falls nach angemessen ist. Der Datenschutzbeauftragte unterrichtet die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde. Wenn das Problem von der betroffenen Person und dem Datenschutzbeauftragten nicht geklärt werden kann, kann die betroffene Person auf Wunsch eine Lösung per Vermittlung, verbindlicher Schlichtung, Klage oder Beschwerde an die jeweils zuständige Datenschutzbehörde anstreben.

3.12. Meldung von Verletzungen

Eine Person, die eine Verletzung des Schutzes personenbezogener Daten aufgrund von Diebstahl oder Offenlegung personenbezogener Daten vermutet, muss dies umgehend zusammen mit einer Beschreibung des Vorfalls an den Datenschutzbeauftragten melden. Die Meldung des Vorfalls kann per E-Mail oder Anruf erfolgen. Der Datenschutzbeauftragte untersucht alle gemeldeten Vorfälle, um zu bestätigen, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt oder nicht. Wird eine Verletzung des Schutzes personenbezogener Daten bestätigt, befolgt der Datenschutzbeauftragte das entsprechende genehmigte Verfahren auf Grundlage der Kritikalität und Menge der betroffenen personenbezogenen Daten. Bei schwerwiegenden Verletzungen des Schutzes personenbezogener Daten setzt das Führungsteam von FundamentalVR ein Notfallteam unter seiner Leitung ein, das die Reaktion auf diese Verletzung koordiniert und steuert.

4. ROLLEN UND VERANTWORTLICHKEITEN

4.1 Umsetzung

Das Führungsteam jeder Servicefunktion/Einheit von FundamentalVR muss sicherstellen, dass alle Mitarbeiter von FundamentalVR, die für die Verarbeitung personenbezogener Daten verantwortlich sind, die Bestimmungen dieser Richtlinie kennen und einhalten. Zusätzlich stellt jede Servicefunktion/Einheit von FundamentalVR sicher, dass alle in ihrem Auftrag an der Verarbeitung personenbezogener Daten beteiligte Dritte (z. B. ihre Auftragsverarbeiter) die Bestimmungen dieser Richtlinie kennen und einhalten. Die Bestätigung der Einhaltung muss von allen Dritten, ob Unternehmen oder Einzelpersonen, eingeholt werden, bevor diese Zugang zu von FundamentalVR verwalteten personenbezogenen Daten erhalten.

4.2 Unterstützung, Beratung und Kommunikation

Für Beratung und Unterstützung in Bezug auf diese Richtlinie kontaktieren Sie bitte den Datenschutzbeauftragten per E-Mail an DPO@fundamentalvr.com.

5. ÜBERPRÜFUNG

Diese Richtlinie wird vom Datenschutzbeauftragten alle drei Jahre überprüft, sofern Änderungen an den Verordnungen oder Gesetzen nicht eine frühere Überprüfung erforderlich machen.

6. SCHRIFTGUTVERWALTUNG

Mitarbeiter müssen sämtliche für die Administration dieser Richtlinie und Verfahrensweise relevanten Aufzeichnungen in elektronischer Form in einem dafür vorgesehen System von FundamentalVR aufbewahren.

Sämtliche für die Administration dieser Richtlinie und Verfahrensweise relevanten Aufzeichnungen werden fünf (5) Jahre lang aufbewahrt.

7. BEGRIFFSBESTIMMUNGEN

Datenschutz-Grundverordnung (DSGVO): Mit der Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) beabsichtigen das Europäische Parlament, der Rat der Europäischen Union und die Europäische Kommission, den Datenschutz für alle Personen in der Europäischen Union (EU) zu stärken und zu vereinheitlichen. Sie regelt auch den Export von personenbezogenen Daten in Länder außerhalb der EU.

Verantwortlicher: Einheit, die den Zweck, die Umstände und die Mittel der Verarbeitung personenbezogener Daten festlegt.

Auftragsverarbeiter: Einheit, die Daten im Auftrag des Verantwortlichen verarbeitet.

Datenschutzbehörde: nationale Behörden zum Schutz von Daten und Privatsphäre sowie zur Überwachung und Durchsetzung der Datenschutzbestimmungen innerhalb der Europäischen Union.

Datenschutzbeauftragter: Experte für Daten und Privatsphäre, der unabhängig arbeitet und sicherstellt, dass eine Einheit die in der DSGVO enthaltenen Richtlinien und Verfahren einhält.

Betroffene Person: natürliche Person, deren personenbezogene Daten von einem Verantwortlichen oder Auftragsverarbeiter verarbeitet werden.

Personenbezogene Daten: Informationen über eine natürliche Person oder „betroffene Person“, anhand derer die jeweilige Person direkt oder indirekt identifiziert werden kann.

Datenschutz-Folgeabschätzung: ein Instrument zur Ermittlung und Eindämmung der mit dem Datenschutz verbundenen Risiken von Einheiten durch Analyse der verarbeiteten personenbezogenen Daten und der zum Schutz der Daten umgesetzten Richtlinien.

Verarbeitung: alle mit personenbezogenen Daten durchgeführten Abläufe, die auf automatisierte oder andere Weise erfolgen, einschließlich der Erhebung, Verwendung, Aufzeichnung usw.

Profiling: jegliche automatisierte Verarbeitung personenbezogener Daten zur Bewertung, Analyse oder Voraussage bezüglich des Verhaltens von betroffenen Personen.

Verordnung: ein verbindlicher Gesetzgebungsakt, der in der gesamten Europäischen Union vollständig angewandt werden muss.

Auskunftsrecht der betroffenen Person (auch: Recht auf Auskunft): Recht auf Zugriff und Auskunft der betroffenen Person im Hinblick auf die personenbezogenen Daten gegenüber dem Verantwortlichen.

8. RELEVANTE GESETZE UND DOKUMENTE