DSGVO-Grundsätze

Hinweise zur Verarbeitung personenbezogener Daten

Die Sprachschule Lingua Centrum als Verantwortlicher möchte Sie hiermit gerne über die Art sowie den Umfang der Verarbeitung personenbezogener Daten in Hinblick auf die EU-Datenschutz-Grundverordnung (nachfolgend nur als „DSGVO“) informieren.

Das Ziel der DSGVO-Grundsätze besteht darin, Sie zu informieren, welche personenbezogene Daten von uns erhoben, wie diese behandelt, aus welchen Quellen sie gewonnen, zu welchen Zwecken sie verwendet werden, an wen sie weitergeleitet werden dürfen und wo Sie Informationen zu Ihren durch uns verarbeiteten personenbezogenen Daten erhalten können.

Welche personenbezogenen Daten werden von uns verarbeitet?

Die personenbezogenen Daten werden im folgenden Umfang verarbeitet:

  • Identifikationsdaten: Vorname und Name des Studenten, Vorname und Name des gesetzlichen Vertreters,
  • Kontaktdaten: Wohnanschrift, Telefon, E-Mail,
  • Fotos zu Marketing- und Werbungszwecken (aufgrund einer Einwilligung),
  • weitere personenbezogene Daten: Bewertung der Kenntnisse des Studenten, Zahlungsangaben.

Die aufgrund einer Einwilligung verarbeiteten personenbezogenen Daten sind in der Einwilligung mit Verarbeitung personenbezogener Daten, die Sie uns erteilen können, aufgelistet.

Wie werden die personenbezogenen Daten genutzt?

Ihre personenbezogenen Daten werden lediglich zum vorgesehenen Zweck erhoben und verarbeitet und verwendet für:

  • Vertragserfüllung und Leistungserbringung (Veranstaltung von Sprach- und anderen Kursen),
  • Kommunikation mit Studenten, gesetzlichen Vertretern,
  • Information zu Änderungen und Neuheiten im Kursangebot (berechtigtes Interesse),
  • Zugang zum Online-System LAPort,
  • Erfüllung gesetzlicher Pflichten,
  • Rechnungs- und Steuerzwecke,
  • Kundenerfassung,
  • Marketing- und Werbungszwecke (aufgrund ausdrücklicher Einwilligung).

Die personenbezogenen Daten werden in dem für die Erfüllung dieser Tätigkeit erforderlichen Umfang und für die zu ihrer Erreichung erforderliche oder direkt durch rechtliche Vorschriften vorgesehene Zeit verarbeitet. Danach werden die personenbezogenen Daten anonymisiert.

Wie werden Ihre personenbezogenen Daten geschützt?

Zur Sicherheit und Vertraulichkeit Ihrer personenbezogenen Daten verwenden wir technische und organisatorische Maßnahmen insbesondere zum Schutz vor unbefugtem Zugriff auf die Daten und ihrem Missbrauch sowie zur Sicherheit unserer-IT-Systeme. Fall sinnvoll, werden Ihre Daten durch Verschlüsselung geschützt.

Datenschutzrichtlinie

1. Einleitende Bestimmungen

1.1. Zweck

Der Zweck dieser Richtlinie besteht darin, allgemein geltende Verfahren zur Handhabung und Verarbeitung personenbezogener Daten in der Sprachschule so festzulegen, damit die durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachfolgend nur als „Verordnung“), sowie durch das Gesetz Nr. 101/2000 Slg., Datenschutzgesetz, vorgesehenen Schutzbedingungen gewährleistet werden, und zwar um diese Daten ordnungsgemäß zu schützten und Verlust, Preisgabe, Missbrauch und Zerstörung zu verhindern.

Diese Richtlinie regelt die Verfahren der Sprachschule und ihrer Mitarbeiter bei der Handhabung der personenbezogenen Daten sowie die Regeln für ihre Erhebung, Sammlung, Speicherung, Verwendung, Verbreitung und Aufbewahrung. Die Richtlinie legt grundlegende und eindeutige Grundsätze für die Verantwortungen, Pflichten und Kompetenzen bei der Verarbeitung und beim Schutz personenbezogener Daten fest.

In Hinblick auf die Verordnung wird in dieser Richtlinie insbesondere die Pflicht vorgesehen, lediglich die personenbezogenen Daten zu verarbeiten, die zur Ausübung der Aktivitäten der Sprachschule erforderlich sind. Die Richtlinie beschreibt ferner das Verfahren bei der Verarbeitung personenbezogener Daten mit der erforderlichen Sorgfalt, um das Risiko eines Missbrauchs, unrichtiger Handhabung oder unbefugter Datenverarbeitung zu reduzieren.

1.2. Wirksamkeit

Diese Richtlinie ist für sämtliche Mitarbeiter der Sprachschule verbindlich.

1.3. Grundlegenden Begriffe und verwendete Abkürzungen

Sicherheitsvorfall

Ein oder mehrere unerwünschte oder unerwartete Sicherheitsereignisse, bei denen ein Datenschutzverstoß erfolgte oder erfolgen könnte, ungeachtet seines Schwergewichts.

Aufsichtsbehörde

In Tschechien Datenschutzbehörde.

Verordnung

Datenschutz-Grundverordnung bzw. DSGVO (engl.: General Data Protection Regulation bzw. GDPR).

Datenschutz

Maßnahmenpaket in den Bereichen Personal, Verwaltung, physischer Schutz und Informationssicherheit, das für den Datenschutz erforderlich ist.

Personenbezogene
Daten

Sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (nachfolgend nur als „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Einwilligung der betroffenen Person

Jegliche in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Verantwortlicher

Für die Zwecke dieser Richtlinie gilt als der Verantwortliche die Sprachschule – der Verantwortliche bestimmt den Zweck und die Mittel für die Datenverarbeitung, führt die Verarbeitung durch und ist dafür verantwortlich. Der Verantwortliche darf mit der Datenverarbeitung Auftragsverarbeiter beauftragen.

Betroffene Person

Natürliche Person, auf die sich die Daten beziehen. Die betroffene Person gilt als identifiziert oder identifizierbar, falls man aufgrund einer oder mehrerer Angaben ihre Identität direkt oder indirekt feststellen kann.

Mitarbeiter

Natürliche Person, die aufgrund eines abgeschlossenen Arbeitsvertrages im Rahmen eines Arbeitsverhältnisses oder aufgrund einer vom Arbeitsverhältnis ausgenommenen Vereinbarung in der Sprachschule beschäftigt ist.

Datenschutzgesetz

Gesetz Nr. 101/2000 Slg., Gesetz über Datenschutz und Änderung einiger Gesetze, in Fassung späterer Vorschriften.

Auftragsverarbeiter

Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Datenverarbeitung

Jedes mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung.

Besondere Datenkategorien (sensible Daten)

Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

 

2. Verantwortlichkeiten, Pflichten und Kompetenzen

2.1. Sprachschule

Die Sprachschule ist verpflichtet:

  • ein Datenschutzsystem entsprechend der Verordnung und dem Datenschutzgesetz zu erstellen, zu erhalten und zu steuern,
  • Methoden, Zwecke, Mittel und Orte für die Verarbeitung personenbezogener Daten festzulegen,
  • für die Verarbeitung von lediglich exakten personenbezogenen Daten ausschließlich zu dem Zweck, zu dem diese erhoben wurden, zu sorgen, und zwar in dem für die Erfüllung des vorgesehenen Zwecks erforderlichen Umfang,
  • eine Information der betroffenen Personen zu gewährleisten, ggf. ihre Einwilligungen zu der Verarbeitung zu beschaffen,
  • eine vertragliche Verpflichtung der kooperierenden juristischen und natürlichen Personen (z. B. Lieferanten, Kooperationsunternehmen), welche im Rahmen ihrer Tätigkeit die durch die Sprachschule verarbeiteten personenbezogenen Daten verwenden und zu ihren Zwecken weiterverarbeiten, sowie die Beachtung der Verordnung, des Datenschutzgesetzes und der zusammenhängenden allgemein verbindlichen Vorschriften und Anforderungen zum Datenschutz sicherzustellen,
  • für Beachtung von technischen und organisatorischen Maßnahmen zur Sicherheit und zum Schutz personenbezogener Daten zu sorgen,
  • für Datenschutz-Folgenabschätzung zu sorgen, falls eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben wird,
  • Schutz und Sicherheit personenbezogener Daten zu gewährleisten, und zwar vom Beginn ihrer Verarbeitung bis zum Zeitpunkt ihrer Vernichtung,
  • mit der Aufsichtsbehörde zusammenzuarbeiten und als Kontaktstelle für die Aufsichtsbehörde bei Angelegenheiten betreffend die Verarbeitung personenbezogener Daten aufzutreten,
  • als Kontaktstelle für betroffene Personen aufzutreten, die sich an sie wenden können, falls gegen die ordnungsgemäße Verarbeitung personenbezogener Daten verstoßen wurde sowie bei Ausübung ihrer Rechte gemäß der Verordnung und dem Datenschutzgesetz,
  • Anforderungen der betroffenen Personen zentral zu erfassen,
  • Einwilligungen mit der Verarbeitung personenbezogener Daten zentral zu erfassen,
  • Differenzen und Sicherheitsvorfälle zentral zu erfassen,
  • im Zusammenhang mit dem Datenschutz entstandene Sicherheitsvorfälle zu klären und zu ermitteln, ihre Ursachen zu analysieren und für Abhilfemaßnahmen zu sorgen,
  • die Mitarbeiter über sämtliche wichtigen Tatsachen, Verfahren und Ereignisse im Zusammenhang mit der Handhabung personenbezogener Daten in der Sprachschule unverzüglich zu informieren,
  • dafür zu sorgen, dass die Mitarbeiter der Sprachschule über ihre Rechte und Pflichten betreffend Datenschutz ordnungsgemäß belehrt werden,
  • zu gewährleisten, dass die Mitarbeiter der Sprachschule je nach Möglichkeit und Bedarf betreffend Datenschutz ausgebildet und geschult werden,
  • Beachtung der Verordnung sowie des Datenschutzgesetzes zu kontrollieren,
  • dafür zu sorgen, dass die Sprachschule in der Lage ist, die Erfüllung ihrer sich aus den rechtlichen Vorschriften ergebenden Pflichten ordnungsgemäß nachzuweisen.

2.2. Angestellter oder Vertragsmitarbeiter der Sprachschule

Jeder Angestellte oder Vertragsmitarbeiter der Sprachschule ist verpflichtet:

  • sich so zu verhalten, dass der Schutz der durch die Sprachschule verarbeiteten personenbezogenen Daten nicht gefährdet wird,
  • einen zufälligen und unbefugten Zugriff auf die durch die Sprachschule verarbeiteten personenbezogenen Daten von Mitarbeitern, Studenten, gesetzlichen Vertretern und weiteren Personen zu verhindern,
  • bei Feststellung eines Verstoßes gegen den Datenschutz, einer unbefugten Verwendung oder eines Missbrauchs personenbezogener Daten oder eines anderen gesetzwidrigen Verhaltens im Zusammenhang mit dem Datenschutz eine weitere unbefugte Handhabung, insbesondere den Zugriff, unverzüglich zu verhindern und diesen Umstand an den zuständigen Mitarbeiter zu melden,
  • Verschwiegenheit über personenbezogene Daten sowie über die Sicherheitsmaßnahmen zu ihrem Schutz zu bewahren; die Verschwiegenheitspflicht dauert auch nach der Beendigung des Arbeitsverhältnisses, einer Tätigkeit außerhalb eines Arbeitsverhältnisses oder nach der Beendigung der jeweiligen Aktivitäten an.

3. Verarbeitung personenbezogener Daten

3.1. Betroffene Personen

Als betroffene Personen in der Sprachschule gelten:

  • Studenten und ihre gesetzlichen Vertreter,
  • (aktive sowie ehemalige) natürliche Personen in einem Angestellten- oder einem ähnlichen Verhältnis,
  • Bewerber,
  • Geschäftspartner – natürliche Personen oder Vertreter von juristischen Personen.

Im Zusammenhang mit der Identifizierung einer betroffenen Person ist zu beurteilen, worin der Verarbeitungszweck besteht und ob zur Verarbeitung eine Einwilligung der betroffenen Person erforderlich oder ob die Verarbeitung ihrer personenbezogenen Daten aus einem anderen rechtlichen Grund möglich ist (Vertragsabschluss oder -Erfüllung, Erfüllung rechtlicher Pflichten, berechtigtes Interesse u. ä.).

Ferner muss die Methode bei der Erhebung personenbezogener Daten, insbesondere um zu vermeiden, dass die erhobenen Daten zu keinen anderen Zwecken verwendet oder zusammengefügt werden, sowie die Art der Erfüllung der Informationspflicht des Verantwortlichen gegenüber der betroffenen Person festgestellt werden.

3.2. Zweck der Verarbeitung personenbezogener Daten

Die Sprachschule haftet für die Festlegung des Zwecks der Verarbeitung personenbezogener Daten sowie für den Umfang der genutzten Daten. Personenbezogene Daten dürfen lediglich gemäß den tschechischen Rechtsvorschriften sowie der Verordnung entsprechend dem Zweck, zu dem sie erhoben wurden, verarbeitet werden. Verarbeitung zu einem anderen Zweck ist nur möglich, falls die betroffene Person über diese Änderung informiert wird und falls diese Verarbeitung aus einem rechtlichen Grund, der keine vorherige Einwilligung erfordert, nicht durchgeführt werden kann, falls dazu durch die betroffene Person eine Einwilligung erteilt wurde.

In der Sprachschule werden personenbezogene Daten zu folgenden Zwecken verarbeitet:

  • Studenten und ihre gesetzlichen Vertreter
    • Vertragserfüllung und Erbringung von Dienstleistungen (Erbringung von Sprach- und anderen Kursen),
    • Kommunikation mit den betroffenen Personen,
    • Informationen zu Änderungen und Neuheiten im Rahmen des Kursangebots (berechtigtes Interesse),
    • Zugang zum Online-System Laport,
    • Erfüllung gesetzlicher Pflichten,
    • Rechnungs- und Steuerzwecke,
    • Kundenerfassung,
    • Marketing- und Werbungszwecke (aufgrund ausdrücklicher Einwilligung),
  • Mitarbeiter und Bewerber
    • Erfüllung der arbeitsrechtlichen Pflichten des Arbeitgebers,
    • Zugang zu Informationssystemen,
    • Mitarbeiterakquisition und -Auswahl,
  • Geschäftspartner
    • Vertragsabschluss und -Erfüllung,
    • Kommunikation mit den betroffenen Personen,
    • Erfüllung gesetzlicher Pflichten,
    • Rechnungs- und Steuerzwecke.

Die persönlichen Daten für diese Tätigkeiten werden in dem zur Erfüllung dieser Tätigkeiten erforderlichen Umfang und während der zu ihrer Erreichung notwendigen oder der gesetzlich vorgesehenen Zeit verarbeitet. Danach werden die personenbezogenen Daten gelöscht oder anonymisiert.

3.3. Umfang der verarbeiteten personenbezogenen Daten

Der Umfang der verarbeiteten personenbezogenen Daten ist so festzulegen, damit der vorgesehene Zweck erfüllt wird und dabei keine unnötigen personenbezogenen Daten erhoben oder verarbeitet werden.

3.4. Quellen personenbezogener Daten

Personenbezogene Daten werden insbesondere von der betroffenen Person beim Vertragsabschluss oder während der vertraglichen Beziehungen erhoben.

3.5. Preisgabe personenbezogener Daten und Verarbeiten durch einen Auftragsverarbeiter

Personenbezogene Daten können zwecks Gewährleistung der oben dargestellten Zwecke nicht nur durch die Sprachschule und ihre Mitarbeiter, sondern auch durch einige weitere externe Unternehmer (sog. Auftragsverarbeiter) verarbeitet werden. Personenbezogene Daten werden an diese Auftragsverarbeiter nur dann übermittelt, wenn diese die organisatorischen und technischen Bedingungen zur Gewährleistung des entsprechenden Schutzes erfüllen. Der Auftragsverarbeiter ist nicht berechtigt, personenbezogene Daten zu anderen Zwecken und auf eine andere Art und Weise als vertraglich vereinbart zu verarbeiten. Als Voraussetzung für die Nutzung eines externen Auftragsverarbeiters gilt der Abschluss eines Vertrags über Verarbeitung personenbezogener Daten zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Der Vertrag muss sämtliche Bestandteile gemäß dem Art. 28, Abs. 3 der Verordnung enthalten.

3.6. Einwilligung mit der Verarbeitung, Informationen über die Verarbeitung, Schutz und Ausübung der Rechte der betroffenen Person

3.6.1. Einwilligung der betroffenen Person

Falls personenbezogene Daten aufgrund des Artikel 6, Abs. 1, Buchst. a-e der Verordnung verarbeitet werden:

  • a) – Vertragserfüllung,
  • b) – Erfüllung gesetzlicher Pflichten,
  • c) – Schutz lebenswichtiger Interessen,
  • d) – öffentliches Interesse oder Ausübung öffentlicher Gewalt,
  • e) – berechtigtes Interesse, fallt keine Einwilligung der betroffenen Person erforderlich ist, jedoch eine Informationspflicht gegenüber der betroffenen Person besteht.

In anderen Fällen darf die Sprachschule personenbezogene Daten lediglich mit einer vorherigen Einwilligung der betroffenen Person verarbeiten. Die Einwilligung muss nach Belehrung sowie Aufklärung und konkret, am besten schriftlich erfolgen. Die Einwilligung wird lediglich für konkrete Daten, konkrete Zeit und zum konkreten Zweck eingeholt. Die betroffene Person ist berechtigt, ihre Einwilligung jederzeit zu widerrufen.

3.6.2. Unterrichtung der betroffenen Person

Die Sprachschule ist verpflichtet, die betroffene Person ordnungs- und zeitgemäß entsprechend dem Artikel 13 und 14 der Verordnung im vorgesehenen Umfang darüber zu unterrichten, dass ihre personenbezogenen Daten verarbeitet werden. Gleichzeitig muss die Sprachschule die betroffene Person über ihre Rechte gemäß der Verordnung informieren. Die Informationspflicht wird durch die Veröffentlichung des Dokuments „Informationen zur Verarbeitung personenbezogener Daten“ auf der Website der Sprachschule, ggf. als Bestandteil des Vertrages mit der betroffenen Person erfüllt.

3.6.3. Rechte der betroffenen Person

Im Zusammenhang mit der Verarbeitung personenbezogener Daten sind betroffene Personen berechtigt, ihre Rechte geltend zu machen (siehe unten). Die Anträge werden kostenlos erledigt, lediglich bei unbegründeten oder unangemessenen Anträgen wird eine entsprechende Gebühr berechnet.

3.6.3.1. Auskunftsrecht

Die betroffene Person hat Recht auf klare, transparente und nachvollziehbare Informationen zu der Verarbeitung ihrer personenbezogenen Daten und zu ihren Rechten. Zu diesem Zweck dient das Dokument „Informationen zur Verarbeitung personenbezogener Daten“. Die betroffene Person hat Recht auf Zugang zu ihren personenbezogenen Daten.

3.6.3.2. Recht auf Berichtigung

Die betroffene Person hat Recht auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten.

3.6.3.3. Recht auf Löschung

Die betroffene Person hat Recht auf Löschung ihrer personenbezogenen Daten, insbesondere sofern (a) diese für die Weiterverarbeitung nicht mehr notwendig sind; (b) die Einwilligung für die Verarbeitung widerrufen wurde; (c) die betroffene Person Widerspruch gegen die Verarbeitung einlegt; (d) die Daten unrechtmäßig verarbeitet wurden; oder (e) diese gemäß den Rechtsvorschriften gelöscht werden müssen. Das Recht auf Löschung kann nicht angewendet werden, sofern die Sprachschule personenbezogene Daten aus einem anderen rechtlichen Grund als aufgrund der Einwilligung der betroffenen Person verarbeitet (z. B. Vertragserfüllung) und der Grund und Zweck der Verarbeitung personenbezogener Daten nach wie vor besteht (z. B. Erfassen personenbezogener Daten für den gesetzlich festgelegten Zeitraum).

3.6.3.4. Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten zu erhalten und zu einem anderen Dienstleister zu übertragen.

3.7. Nutzung personenbezogener Daten zur Übersendung von geschäftlichen Mitteilungen (Direktmarketing)

Zwecks Information zu Neuheiten bei den Kursangeboten sendet die Sprachschule der betroffenen Person geschäftliche Mitteilungen bei Beachtung der folgenden Bedingungen:

  • Mitteilungen lediglich zu eigenen Produkten und Leistungen,
  • Mitteilungen werden per Post, SMS oder E-Mail gesendet.

Die Verarbeitung personenbezogener Daten zu diesem Zweck (d.h. Direktmarketing) gilt als Verarbeitung aufgrund eines berechtigten Interesses der Sprachschule. Erhebt die betroffene Person gegen die Verarbeitung zwecks Direktmarketings einen Widerspruch, muss die Sprachschule dafür sorgen, dass die betroffene Person keine geschäftlichen Mitteilungen mehr erhält.

4. Schutz personenbezogener Daten

Zur Gewährleistung der Sicherheit und Vertrauenswürdigkeit personenbezogener Daten werden im Rahmen der Sprachschule geeignete technische und organisatorische Maßnahmen insbesondere zum Schutz gegen unbefugten Zugriff auf die Daten und ihren Missbrauch verwendet. Die Maßnahmen sind so konzipiert, damit sie dem Stand der Technik, den Durchführungskosten, dem Charakter, Umfang sowie den Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen entsprechen.

4.1. Organisatorische Maßnahmen

Es bestehen folgende organisatorische Maßnahmen zwecks Gewährleistung des Schutzes personenbezogener Daten.

  • Die Sprachschule schützt sämtliche personenbezogenen Daten, die handgehabt und verarbeitet werden, mit geeigneten und verfügbaren Mitteln vor Missbrauch. Personenbezogene Daten werden in Räumen, an Standorten und in Systemen aufbewahrt, zu denen nur ein im Voraus festgelegter, bekannter Personenkreis Zugang hat; andere Personen können Zugang zu personenbezogenen Daten lediglich mit Einwilligung eines Beauftragten erlangen.
  • Dokumente mit personenbezogenen Daten unserer Studenten werden dauerhaft in abgeschlossenen Schränken aufbewahrt. Die Dokumente dürfen nicht an fremde Personen übergeben bzw. kopiert und diese Kopien Unbefugten zur Verfügung gestellt werden.
  • Personenbezogene Akten unserer Angestellten oder Vertragsmitarbeiter werden in abgeschlossenen Schränken aufbewahrt, zu denen nur ein Beauftragter Zugang hat.
  • Die Sprachschule führt mindestens einmal pro Jahr eine Begutachtung der Verfahren bei der Handhabung und Verarbeitung personenbezogener Daten durch. Sollte festgestellt werden, dass einige der Verfahren veraltet, unnötig sind oder sich nicht bewährt haben, wird für Abhilfe gesorgt.
  • Jeder Angestellte oder Vertragsmitarbeiter beachtet bei der Handhabung personenbezogener Daten ihren Charakter, also dass es sich dabei um die Privatsphäre der betroffenen Person handelt. Dementsprechend werden die damit verbundenen Handlungen angepasst. Der Angestellte oder Vertragsmitarbeiter wird die personenbezogenen Daten insbesondere ohne Überprüfung, dass diese Vorgehensweise zulässig ist, nicht veröffentlichen und keinen Personen, die die entsprechende Berechtigung nicht nachweisen können, zugänglich machen. Der Angestellte oder Vertragsmitarbeiter, falls sich solche Pflicht aus anderen Dokumenten ergibt, informiert die betroffene Person über ihr Recht auf Schutz personenbezogener Daten.
  • Jeder Sicherheitsvorfall betreffend personenbezogene Daten wird durch die Sprachschule sofort behandelt. Besteht die Wahrscheinlichkeit, dass der Vorfall ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, vor allem eines konkreten Studenten, Angestellten, gesetzlichen Vertreters etc. zur Folge darstellen würde, wird die Sprachschule diese Person informieren und ihr mitteilen, welche Abhilfemaßnahmen ergriffen wurden. Über den Vorfall wird ein Protokoll verfasst. Über jeden wichtigen Vorfall wird die Sprachschule die Aufsichtsbehörde informieren, und zwar unverzüglich, jedoch spätestens innerhalb von 72 Stunden ab dem Zeitpunkt der Bekanntgabe, es sei denn, es ist unwahrscheinlich, dass dieser Verstoß ein Risiko für die Rechte und Pflichten natürlicher Personen nach sich ziehen würde.

4.2. Technische Maßnahmen

Es bestehen folgende technische Maßnahmen zwecks Gewährleistung des Schutzes personenbezogener Daten.

  • Die elektronische Erfassung personenbezogener Daten erfolgt in einem sicheren Informationssystem. Über einen Zugang zu diesem System verfügen die einzelnen Mitarbeiter lediglich aufgrund eines einmaligen Anmeldenamens und Passworts und nur im Rahmen einer aufgrund ihrer Funktion gegebenen Berechtigung. Bei der Arbeit mit der elektronischen Erfassung dürfen die berechtigten Personen ihren Rechner nicht verlassen, ohne sich abzumelden, sie dürfen keiner anderen Person die Einsicht ermöglichen, müssen ihr Anmeldepasswort schützen und bei einem Risiko seiner Preisgabe dieses Passwort unverzüglich ändern. Der Zugriff wird durch einen beauftragten Mitarbeiter – Verwalter des PC-Netzwerks – mit der erforderlichen Datensicherung eingestellt.
  • Gesetzliche Vertreter der Studenten, ggf. die Studenten selbst verfügen über einen sicheren Fernzugang ausschließlich zu den eigenen Daten bei Verwendung eines Anmeldenamens und Passworts.
  • Bei den Informationssystemen müssen Datenprotokollierung, -Sicherung und –Wiederherstellung sichergestellt werden.