Datenschutz-Politik

Zusammenfassung

Diese Datenschutz-Politik der CPI-Gruppe (“Datenschutz-Politik”) legt die Regeln für den Schutz personenbezogener Daten in der CPI PROPERTY GROUP und ihren verbundenen Gesellschaften (“CPIPG-Gesellschaften”) einschließlich der zusammenhängenden Pflichten der CPIPG-Gesellschaften fest. Die Datenschutz-Politik spiegelt die von der DSGVO und von der weiteren nationalen Legislative der Mitgliedstaaten festgelegten Regeln im Datenschutzbereich wider.

Die CPIPG-Gesellschaften nehmen den Schutz personenbezogener Daten ernst und gehen bei der Ausübung ihrer unternehmerischen Tätigkeit in Bezug auf personenbezogene Daten mit angemessener Sorgfalt und Verantwortung vor. Ein Verstoß gegen den Datenschutz kann ernsthafte rechtliche sowie wirtschaftliche Folgen für die CPIPG-Gesellschaften, ihre Mitarbeiter und Datensubjekte haben und zudem den guten Ruf der CPIPG-Gesellschaften schädigen. Durch die Implementierung der Datenschutz-Politik quer durch die CPIPG-Gesellschaften werden die Risiken der Beeinträchtigung der Sicherheit personenbezogener Daten sowie die sich daraus ergebenden Risiken minimiert.

Umfang

Diese Datenschutz-Politik ist für die CPIPG-Gesellschaften und für deren Mitarbeiter verbindlich. Sie betrifft jedwede Verarbeitung personenbezogener Daten, auf die sich die DSGVO und die nationale Legislative der Mitgliedstaaten beziehen.

1. Vorgehensweisen und Kompetenzen

Folgende Absätze beschreiben die Vorgehensweisen, die die CPIPG-Gesellschaften bei der Verarbeitung personenbezogener Daten einhalten. Des Weiteren enthalten sie eine kurze Beschreibung der Verteilung von Kompetenzen und Schlüsselrollen in den CPIPG-Gesellschaften im Bereich der Verarbeitung personenbezogener Daten.

1.1 Allgemeine Pflichten

Die CPIPG-Gesellschaften haben geeignete technische und organisatorische Maßnahmen eingeführt und werden auch weiterhin geeignete technische und organisatorische Maßnahmen ergreifen, die den Schutz personenbezogener Daten vor deren Missbrauch, Verlust oder Schädigung gewährleisten, und die CPIPG-Gesellschaften werden mit den Daten in Einklang mit der DSGVO und der nationalen Legislative der Mitgliedstaaten im Datenschutz-Bereich umgehen. Der Schutz personenbezogener Daten bezieht sich auf die Verarbeitung personenbezogener Daten von Partnern und Mitarbeitern der CPIPG-Gesellschaften, deren Familienangehörigen, Stellenbewerbern, Kunden und weiteren natürlichen Personen, deren personenbezogene Daten die CPIPG-Gesellschaften verarbeiten.

1.2 Wichtigste Grundsätze zum Schutz personenbezogener Daten

Bei der Verarbeitung personenbezogener Daten respektieren die CPIPG-Gesellschaften die in der DSGVO festgelegten Grundsätze. Die betreffenden wichtigsten Grundsätze lauten wie folgt:

1.3 Rechtsgrundlage der Verarbeitung und Zwecke der Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten basiert stets auf rechtlichen Verarbeitungsgrundlagen, zu denen die Einwilligung in die Verarbeitung personenbezogener Daten, Erfüllung der Rechtspflicht, Umsetzung des Vertrags, berechtigtes Interesse, öffentliche Interessen oder Schutz der Interessen des Datensubjekts gehören.

1.4 Verarbeitung besonderer Kategorien personenbezogener Daten und personenbezogener Daten betreffend Strafsachen

Besondere Kategorien personenbezogener Daten und personenbezogene Daten betreffend Strafsachen sind besonders empfindlich und somit bezieht sich auf sie ein hoher Schutzgrad. Jedwede Verarbeitung von besonderen Kategorien personenbezogener Daten wird mit dem Datenschutzbeauftragten erörtert.

1.5 Weiterleitung personenbezogener Daten

Die CPIPG-Gesellschaften können nur unter bestimmten Bedingungen personenbezogene Daten Dritten zugänglich machen (Weiterleitung personenbezogener Daten im Rahmen der Gruppe eingeschlossen). Personenbezogene Daten können Dritten in der Position des Auftragsverarbeiters auf der Grundlage eines Vertrags über die Verarbeitung personenbezogener Daten zugänglich gemacht werden. Personenbezogene Daten können auch Dritten in der Position des Verwalters oder eines gemeinsamen Verwalters auf der Grundlage entsprechender vertraglicher Abmachungen zugänglich gemacht werden. Bei Anforderungen bezüglich Korrektur oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung informieren die CPIPG-Gesellschaften unter bestimmten Bedingungen die betreffenden Drittparteien, denen die personenbezogenen Daten zugänglich gemacht wurden, mit Ausnahme von Situationen, in denen diese Informierung nicht durchführbar ist oder einen unangemessenen Aufwand erfordert. Die CPIPG-Gesellschaften unterrichten das Datensubjekt nur auf Wunsch des Datensubjekts über die Drittparteien, denen die betreffenden personenbezogenen Daten zugänglich gemacht wurden.

Unter bestimmten Bedingungen können die CPIPG-Gesellschaften personenbezogene Daten auch in Drittstaaten außerhalb des EWR oder der Europäischen Union oder an internationale Organisationen übermitteln. Bei der Beurteilung der gesetzlichen Bedingungen, unter denen die Übermittlung personenbezogener Daten in Drittstaaten oder an internationale Organisationen möglich ist, beraten sich die CPIPG-Gesellschaften mit dem Datenschutzbeauftragten.

1.6 Rechte von Datensubjekten

Die CPIPG-Gesellschaften unternehmen sämtliche Schritte, die erforderlich sind, damit Datensubjekte ihre in der DSGVO festgelegten Rechte ausüben können. In Bezug auf die Verarbeitung personenbezogener Daten gehören zu den Rechten von Datensubjekten das Recht auf Zugriff auf personenbezogene Daten, das Recht auf Korrektur, auf Einschränkung der Verarbeitung, Übertragbarkeit oder Löschung personenbezogener Daten, das Recht auf Erhebung von Einwänden gegen die Verarbeitung personenbezogener Daten und das Recht, kein Gegenstand irgendeiner ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten basierenden Entscheidung zu sein.

Datensubjekte können ihre Rechte in Form eines schriftlichen oder mündlichen Antrags ausüben. Die CPIPG-Gesellschaften haben zur Gewährleistung eines ausreichenden Schutzes der von den CPIPG-Gesellschaften zu verarbeitenden personenbezogenen Daten und mit dem Ziel, dem Missbrauch personenbezogener Daten vorzubeugen, die nachfolgend genannten Regeln für die Verifizierung der Identität von Datensubjekten festgelegt.

Schriftliche Anträge

Zur schriftlichen Beantragung der Geltendmachung eines bestimmten Rechts füllt das Datensubjekt das Antragsformular aus, welches dieser Datenschutz-Politik, hier downloaden. Die Unterschrift des Datensubjekts auf dem Formular muss amtlich beglaubigt werden. In Abhängigkeit vom lokalen Recht kann die Unterschrift z. B. in einer Notarkanzlei, bei der Post, in einer Anwaltskanzlei, beim Konsulat oder Gemeindeamt / Bezirksverwaltungsamt beglaubigt werden. Die Unterschrift muss in dem Land amtlich beglaubigt werden, in dem der Antrag bei der betreffenden CPIPG-Gesellschaft persönlich an der Anschrift des Sitzes der betreffenden CPIPG-Gesellschaft eingereicht wurde oder aus dem der Antrag auf dem Postweg mit Hilfe eines Postdienstleisters oder mit Hilfe von geprüften elektronischen Mitteln (z. B. eines elektronischen Postfachs in der Tschechischen Republik) übersandt wurde. Insbesondere in dem Fall, dass ein Datensubjekt den Antrag auf dem Postweg mit Hilfe eines Postdienstleisters aus einem Land außerhalb des Europäischen Wirtschaftsraums oder außerhalb der Europäischen Union übersendet, kann das Datensubjekt von der betreffenden CPIPG-Gesellschaft zwecks weiterer Verifizierung seiner Identität kontaktiert werden.

Mündliche Anträge

Die Geltendmachung eines bestimmten Rechts können Datensubjekte auch persönlich an der Anschrift des Sitzes der betreffenden CPIPG-Gesellschaft fordern. Ihre Identität wird vom beauftragten Mitarbeiter (z. B. an der Rezeption) auf der Grundlage der Vorlage eines der folgenden Dokumente verifiziert: Personalausweis, Reisepass oder ein anderes Dokument mit einer Fotografie, die eine klare Identifizierung ermöglicht.

Durch die Ausübung der Rechte von Datensubjekten dürfen keine Rechte Dritter berührt werden. Im Falle, dass Anträge von Datensubjekten offensichtlich unbegründet oder unangemessen sind, insbesondere wegen des sich wiederholenden Charakters, können die CPIPG-Gesellschaften für die Bearbeitung des Antrags eine angemessene Gebühr verlangen, die die notwendigen Kosten für die Übermittlung der vorgenannten Informationen oder für die Sicherstellung der Geltendmachung der Rechte von Datensubjekten nicht übersteigt.

Die CPIPG-Gesellschaften stellen eine ausreichende Kommunikation und Zusammenarbeit in einer solchen Art und Weise sicher, dass alle eingereichten Anträge in einer angemessenen Zeitspanne bearbeitet werden. Die CPIPG-Gesellschaften arbeiten eng daran zusammen, dass sie die Antwort dem betreffenden Datensubjekt in der vorgeschriebenen Frist übermitteln.

1.7 Rollen und Pflichten

Die CPIPG-Gesellschaften und ihre Statutarorgane sind für die Sicherstellung des Einklangs mit der DSGVO sowie mit der betreffenden nationalen Legislative der Mitgliedstaaten im Datenschutzbereich verantwortlich.

1.8 Datenschutzbeauftragter und Vertreter in der EU

Die in der Anlage genannten CPIPG-Gesellschaften mit Sitz in der EU haben einen Beauftragten mit Funktionsverantwortung und organisatorischen Verantwortung für den Einklang mit den Rechtsvorschriften und internen Vorschriften der CPIPG-Gesellschaften im Datenschutzbereich bestellt.

Der Beauftragte kann in Form einer E-Mail an dpo@cpipg.com oder auf dem Postweg an der Anschrift Vladislavova 1390/17, 110 00 Prag 1, Tschechische Republik, kontaktiert werden.

Die in der Anlage genannten CPIPG-Gesellschaften mit Sitz außerhalb der EU haben in Einklang mit Art. 27 DSGVO einen Vertreter mit Verantwortung für den Einklang mit den Rechtsvorschriften im Bereich des Datenschutzes bestellt. Zum Vertreter wurde die Gesellschaft Vilanel, a.s., mit Sitz Vladislavova 1390/17, Prag 1, Tschechische Republik, eingetragen beim Amtsgericht in Prag unter Nr. B 13297, Identifikationsnummer: 28211367, ernannt. Der Vertreter kann an der E-Mail-Adresse: representative@vilanel.cz oder auf dem Postweg an der vorgenannten Anschrift kontaktiert werden. Nähere Informationen über den Vertreter finden Sie hier.

1.9 Pflichten der Eigentümer von Daten und aller Mitarbeiter

Alle Eigentümer von Daten im Rahmen der CPIPG-Gesellschaften und alle Mitarbeiter sind verpflichtet, personenbezogene Daten in Einklang mit den internen Vorschriften der CPIPG-Gesellschaften, mit der DSGVO und weiterer nationaler Legislative der Mitgliedstaaten im Datenschutzbereich zu verarbeiten.

1.10 Meldung von Verstößen gegen den Datenschutz

Die CPIPG-Gesellschaften melden den vermeintlichen Verstoß gegen den Datenschutz dem zuständigen Datenschutzbeauftragten/Vertreter in der EU sofort, in jedem Fall spätestens innerhalb von 24 Stunden. Wenn der Verstoß gegen den Datenschutz die Anforderungen an die Meldung an die zuständige Aufsichtsbehörde und/oder Datensubjekte erfüllt, dann hat der Beauftragte/ Vertreter in der EU dieser Pflicht innerhalb von 72 Stunden nach dem Verstoß gegen den Datenschutz nachzukommen.

1.11 Löschung personenbezogener Daten

Die CPIPG-Gesellschaften verarbeiten die personenbezogenen Daten nur für die notwendige Dauer. Unter folgenden Umständen werden personenbezogene Daten gelöscht oder anonymisiert:

Beim Löschen und bei der Anonymisierung legen die CPIPG-Gesellschaften einen großen Wert auf die Einhaltung der unerlässlichen Sicherheitsmaßnahmen.

1.12 Verwaltung von Dokumenten

Die CPIPG-Gesellschaften gehen mit den Dokumenten in Einklang mit der DSGVO um. Die Regeln für Annahme, Erfassung, Umlauf, Speicherung und Vernichtung von Dokumenten in den CPIPG-Gesellschaften sind in den gültigen Aktenvernichtungsordnungen der CPIPG-Gesellschaften verankert.

Nach Ablauf der Archivierungsfrist werden die Dokumente in Einklang mit dem vorgeschriebenen Aktenvernichtungsverfahren vernichtet, und zwar mit einem nachweislichen Protokoll (Genehmigung durch den Eigentümer der Dokumente; Genehmigung durch das zuständige staatliche Bezirksarchiv; Bestätigung über die Aktenvernichtung).

1.13 Veröffentlichung personenbezogener Daten in den öffentlichen Medien und im Intranet

Die CPIPG-Gesellschaften können personenbezogene Daten im Intranet, Internet oder in jedweden anderen Medien nur mit Einwilligung des betreffenden Datensubjekts veröffentlichen, sofern im konkreten Fall keine andere Rechtsgrundlage für die Verarbeitung besteht.

1.14 Informationen über die Verarbeitung personenbezogener Daten

Sofern die CPIPG-Gesellschaften die personenbezogenen Daten, die Datensubjekte betreffen, direkt von diesen Datensubjekten erhalten, werden diesen Datensubjekten die Informationen über die Verarbeitung ihrer personenbezogenen Daten zum Zeitpunkt des Erhalts der personenbezogenen Daten mitgeteilt. Wenn die personenbezogenen Daten nicht direkt von den Datensubjekten stammen, dann werden die Informationen über die Verarbeitung an diese Datensubjekte anschließend, in der Regel bei der ersten Kommunikation mit dem betreffenden Subjekt übermittelt.

Informationen über ausgewählte Verarbeitungen personenbezogener Daten, in Fällen, in denen es nicht möglich ist, die Informationen über die Verarbeitung an die Datensubjekte bei Erhalt von Daten weiterzuleiten, finden Sie hier: Informationen über die Verarbeitung personenbezogener Daten.

2. Wichtigste Begriffe / Abkürzungen

Datensubjekt

Identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden; eine identifizierbare natürliche Person ist die natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch den Verweis auf einen bestimmten Identifikator wie z. B. Name, Identifikationsnummer, Lokalisierungsdaten, Netzidentifikator oder ein besonderes Merkmal oder mehrere besondere Merkmale der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder gesellschaftlichen Identität dieser natürlichen Person.

Datenverwalter

Der Verwalter ist eine natürliche oder juristische Person, ein Organ der öffentlichen Gewalt, eine Agentur oder ein anderes Subjekt, welches selbst oder gemeinsam mit anderen Subjekten die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

Auftragsverarbeiter

Der Auftragsverarbeiter ist eine natürliche oder juristische Person, ein Organ der öffentlichen Gewalt, eine Agentur oder ein anderes Subjekt, welches personenbezogene Daten für den Verwalter verarbeitet.

Personenbezogene Daten

Sämtliche Informationen über die identifizierte oder identifizierbare natürliche Person.

Besondere Kategorien personenbezogener Daten

Personenbezogene Daten mit Aussagekraft betreffend Rasse oder ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen oder Mitgliedschaft in einer Gewerkschaft sowie Verarbeitung genetischer Daten, biometrischer Daten zwecks einer einmaligen Identifizierung der natürlichen Person und der Daten über den Gesundheitszustand oder über das Sexualleben oder die sexuelle Orientierung der natürlichen Person.

Nationale Legislative der Mitgliedstaaten im Datenschutzbereich 

Die im Datenschutzbereich von den Mitgliedstaaten in Einklang mit der DSGVO verabschiedete Legislative.

DSGVO

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

Verarbeitung personenbezogener Daten 

Jedwede Operation oder jedwede Gesamtheit von Operationen mit personenbezogenen Daten oder Gesamtheiten von personenbezogenen Daten, die mit oder ohne Hilfe von automatisierten Verfahren wie z. B. Erhebung, Erfassung, Anordnung, Strukturierung, Speicherung, Anpassung oder Abänderung, Suche, Einsicht, Verwendung, Zugänglichmachung durch Übertragung, Verbreitung oder eine jedwede andere Zugänglichmachung, Gliederung oder Kombinierung, Einschränkung, Löschung oder Vernichtung durchgeführt wird.

Beauftragter

Datenschutzbeauftragter.

Vertreter in der EU

Die natürliche oder juristische in der EU niedergelassene, schriftlich vom Verwalter oder Auftragsverarbeiter gemäß Artikel 27 DSGVO benannte Person vertritt den Verwalter oder Auftragsverarbeiter bei der Erfüllung der betreffenden Pflichten gemäß der DSGVO.

Anonymisierte Informationen 

Die Informationen, die nicht die identifizierte oder identifizierbare natürliche Person betreffen, einschließlich der personenbezogenen Daten, die in einer solchen Art und Weise anonymisiert wurden, dass das Datensubjekt nicht mehr identifizierbar ist.

Drittpartei

Jedwede juristische oder natürliche Person, die kein Mitarbeiter der Gesellschaft ist, mit Ausnahme von Datensubjekten.

Einwilligung

Jedwede freiwillige, konkrete, informierte und eindeutige Willenserklärung, mit der das Datensubjekt in Form einer Erklärung oder einer anderen offensichtlichen Bestätigung seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten erteilt.

Anlage 1 – Verzeichnis der CPIPG-Gesellschaften, die einen Beauftragten bestellt haben

CZE

SVK

POL

HUN

ROU

Anlage 2 – Verzeichnis der CPIPG-Gesellschaften mit Sitz außerhalb der EU, die einen Vertreter in der EU bestellt haben

Anlage 3 - Antragsmuster

Antrag auf Geltendmachung eines Rechts des Datensubjekts gemäß der DSGVO (Datenschutz-Grundverordnung)

Belehrung für den Antragsteller

Sofern Sie Zweifel oder Fragen zu der Art der Stellung des Antrags haben, können Sie sich mit uns in Form einer E-Mail an dpo@cpipg.com (Datenschutzbeauftragter) / representative@vilanel.cz (Vertreter in der EU) in Verbindung setzen. Wir weisen darauf hin, dass die Annahme des Antrags über die elektronische Post – in Form einer E-Mail – keine garantierte Kommunikationsart ist und dass weder die Sicherheit noch die Herkunft, noch die zuverlässige Zustellung des Antrags sichergestellt werden kann.