Einleitung

Die/Der White Crystal Kft. (2600 Vác, Zrinyi u., 41/b, Steuernummer:  14431391-2-13, Handelsregisternummer: 13-09-148323) (im Folgenden: Dienstleister, Datenverantwortlicher) unterwirft sich den folgenden Vorschriften:

Zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) gemäß der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 geben wir folgende Informationen:

Diese Datenschutzerklärung regelt die Datenverarbeitung auf den folgenden Seiten/Mobilanwendungen: https://www.spielemarkt.de

Die Datenschutzerklärung ist über die folgende Seite abrufbar: https://www.spielemarkt.de/datenschutzerklärung/de

Änderungen der Vorschriften treten mit der Veröffentlichung unter der obigen Adresse in Kraft.

Der Datenverantwortliche und seine Kontaktangaben

Name: White Crystal Kft.

Sitz:  2600 Vác, Zrinyi u., 41/b

E-Mail:  info@spielemarkt.de

 

Begriffsbestimmungen

 

1. „personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
2. „Verarbeitung“: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Verantwortlicher“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitglied staaten vorgesehen werden;
4. „Auftragsverarbeiter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
5. „Empfänger“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
6. „Einwilligung“ der betroffenen Person: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
7. „Datenschutzverletzung“: eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Grundsätze der Verarbeitung personenbezogener Daten

Personenbezogene Daten:

1. werden auf rechtmäßige, faire und für die betroffene Person nachvollziehbare Weise verarbeitet („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
2. werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet; die Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 gilt nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
3. sind dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt („Datenminimierung“);
4. müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
5. werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten ausschließlich zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 verarbeitet werden, vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen gemäß dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person („Speicherbegrenzung“);
6. werden in einer Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Der Datenverantwortliche ist für die Einhaltung der oben genannten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).

Der Datenverantwortliche erklärt, dass seine Datenverarbeitung in Übereinstimmung mit den in diesem Punkt dargelegten Grundsätzen erfolgt.

Datenverarbeitung im Zusammenhang mit dem Betrieb des Onlineshops / der Inanspruchnahme von Dienstleistungen

1. Art der Datenerhebung, Umfang der verarbeiteten Daten und Zweck der Datenverarbeitung:

Personenbezogene Daten	Zweck der Datenverarbeitung	Rechtsgrundlage
Benutzername	Identifizierung, Ermöglichung der Registrierung.	Art. 6 Abs. 1 lit. a) DSGVO.
Passwort	Sicherer Zugang zum Benutzerkonto.
Vor- und Nachname	Kontaktaufnahme, Kauf, Ausstellung einer ordnungsgemäßen Rechnung, Ausübung des Widerrufsrechts.	Art. 6 Abs. 1 lit. b) DSGVO.
E-Mail-Adresse	Kontaktaufnahme.
Telefonnummer	Kontaktaufnahme, effektivere Abstimmung von Rechnungs- oder Versandfragen.
Rechnungsname und -adresse	Ausstellung einer ordnungsgemäßen Rechnung, Erstellung, Festlegung, Änderung, Überwachung der Erfüllung des Vertrags, Abrechnung der daraus entstehenden Gebühren und Durchsetzung von Forderungen.	Art. 6 Abs. 1 lit. c) DSGVO Gesetzliche Verpflichtung nach dem ungarischen Rechnungslegungsgesetz 2000 C. Abschnitt 169 § (2)
Liefername und -adresse	Ermöglichung der Hauszustellung.	Art. 6 Abs. 1 lit. b) DSGVO.
Kauf-/Registrierungszeitpunkt	Durchführung einer technischen Operation.	Art. 13/A. § (3) Elker tv.
IP-Adresse zum Zeitpunkt des Kaufs/der Registrierung	Durchführung einer technischen Operation.

2. Betroffene Personen: Alle auf der Webseite des Webshops registrierten/einkaufenden betroffenen Personen. Weder der Benutzername noch die E-Mail-Adresse müssen personenbezogene Daten enthalten.

3. Dauer der Datenverarbeitung, Frist für die Löschung der Daten: Wenn eine der Bedingungen von Art. 17 Abs. 1 DSGVO vorliegt, bis zur Löschung auf Antrag der betroffenen Person. Der Datenverantwortliche informiert die betroffene Person gemäß Art. 19 DSGVO elektronisch über die Löschung aller von der betroffenen Person bereitgestellten personenbezogenen Daten. Wenn der Löschungsantrag der betroffenen Person auch die von ihr angegebene E-Mail-Adresse umfasst, wird der Datenverantwortliche die E-Mail-Adresse nach der Benachrichtigung ebenfalls löschen. Dies gilt nicht für Buchhaltungsbelege, da diese gemäß Art. 169 § (2) des ungarischen Rechnungslegungsgesetzes 2000 C. acht Jahre lang aufbewahrt werden müssen. Vertragsdaten der betroffenen Person können nach Ablauf der zivilrechtlichen Verjährungsfrist auf Antrag der betroffenen Person gelöscht werden.

Buchhaltungsbelege (einschließlich Hauptbuchkonten, analytische oder detaillierte Aufzeichnungen), die die Buchhaltung direkt oder indirekt unterstützen, müssen mindestens acht Jahre lang in lesbarer Form und unter Bezugnahme auf Buchhaltungsaufzeichnungen aufbewahrt werden.

4. Mögliche Datenverantwortliche, die zur Kenntnisnahme der Daten berechtigt sind, Empfänger der personenbezogenen Daten: Die personenbezogenen Daten können vom Datenverantwortlichen und seinen berechtigten Mitarbeitern unter Beachtung der oben genannten Grundsätze verarbeitet werden.

5. Informationen zu den Rechten der betroffenen Personen im Zusammenhang mit der Datenverarbeitung:

• Die betroffene Person kann vom Datenverantwortlichen Zugang zu ihren personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen, und
• die betroffene Person hat das Recht auf Datenübertragbarkeit sowie das Recht, ihre Einwilligung jederzeit zu widerrufen.

6. Zugang zu personenbezogenen Daten, deren Löschung, Berichtigung oder Einschränkung der Verarbeitung sowie Datenübertragbarkeit können betroffene Personen wie folgt beantragen:

• per Post an die Adresse 2600 Vác, Zrinyi u., 41/b,
• per E-Mail an info@spielemarkt.de

7. Rechtsgrundlage der Datenverarbeitung:

1. Art. 6 Abs. 1 lit. b) DSGVO,

2. Art. 13/A. § (3) des ungarischen Gesetzes über elektronische Handelsdienste und bestimmte Aspekte von Diensten der Informationsgesellschaft 2001 CVIII (im Folgenden: Elker tv.):

Der Dienstleister kann personenbezogene Daten verarbeiten, die technisch unbedingt erforderlich sind, um den Dienst zu erbringen. Der Dienstleister hat unter sonst gleichen Bedingungen die Geräte für die Erbringung von Diensten der Informationsgesellschaft so auszuwählen und in jedem Fall so zu betreiben, dass personenbezogene Daten nur verarbeitet werden, wenn dies für die Erbringung des Dienstes und die Erfüllung der in diesem Gesetz festgelegten weiteren Zwecke unbedingt erforderlich ist, jedoch auch in diesem Fall nur in dem Maße und für die Dauer, die erforderlich ist.

3. Ausstellung von Rechnungen gemäß den Buchhaltungsvorschriften Art. 6 Abs. 1 lit. c) DSGVO.

4. Durchsetzung von Forderungen aus Verträgen gemäß Art. 6:22 des ungarischen Bürgerlichen Gesetzbuchs 2013 V. für 5 Jahre.

Art. 6:22 [Verjährung]

(1) Wenn dieses Gesetz nichts anderes bestimmt, verjähren Ansprüche innerhalb von fünf Jahren.

(2) Die Verjährung beginnt, wenn der Anspruch fällig wird.

(3) Vereinbarungen zur Änderung der Verjährungsfrist müssen schriftlich erfolgen.

(4) Vereinbarungen, die die Verjährung ausschließen, sind nichtig.

8. Wir informieren Sie, dass

• die Datenverarbeitung zur Vertragserfüllung und Angebotserstellung erforderlich ist.
• Sie verpflichtet sind, die personenbezogenen Daten anzugeben, damit wir Ihre Bestellung erfüllen können.
• die Nichtbereitstellung der Daten zur Folge hat, dass wir Ihre Bestellung nicht bearbeiten können.

Verwendung von Cookies

1. Die Verwendung von sogenannten „Cookies für passwortgeschützte Sitzungen“, „Cookies für den Warenkorb“, „Sicherheits-Cookies“, „Notwendige Cookies“, „Funktionale Cookies“ und „Cookies zur Verwaltung der Website-Statistik“ erfordert keine vorherige Zustimmung der betroffenen Personen.

2. Art der Datenerhebung, Umfang der verarbeiteten Daten: Einmalige Identifikationsnummer, Daten, Zeitpunkte.

3. Betroffene Personen: Alle betroffenen Personen, die die Webseite besuchen.

4. Zweck der Datenverarbeitung: Identifizierung der Benutzer, Verfolgung der Besucher, Bereitstellung einer benutzerdefinierten Funktionalität.

5. Dauer der Datenverarbeitung, Frist für die Löschung der Daten:

Cookie-Typ	Rechtsgrundlage der Datenverarbeitung	Dauer der Datenverarbeitung
Sitzungscookies oder andere für den Betrieb der Website unbedingt erforderliche Cookies	Bei der Verwendung von Cookies findet keine Datenverarbeitung statt.	Bis zum Ende der jeweiligen Besuchssitzung, d.h. die Cookies verbleiben nur bis zum Schließen des Browsers auf dem Computer.
Statistische, Marketing-Cookies	Art. 6 Abs. 1 lit. a) DSGVO	1 Tag - 2 Jahre, entsprechend der Cookie-Richtlinie oder bis zum Widerruf der Einwilligung der betroffenen Person.

6. Mögliche Datenverantwortliche, die zur Kenntnisnahme der Daten berechtigt sind: Die personenbezogenen Daten können vom Datenverantwortlichen eingesehen werden.

7. Informationen zu den Rechten der betroffenen Personen im Zusammenhang mit der Datenverarbeitung: Die betroffene Person hat die Möglichkeit, Cookies in den Tools/Einstellungen des Browsers in der Regel unter den Datenschutzeinstellungen zu löschen.

8. Die meisten von unseren Nutzern verwendeten Browser ermöglichen es, festzulegen, welche Cookies gespeichert werden sollen und ermöglichen es, (bestimmte) Cookies erneut zu löschen. Wenn Sie das Speichern von Cookies auf bestimmten Websites einschränken oder Cookies von Drittanbietern nicht zulassen, kann dies unter Umständen dazu führen, dass unsere Website nicht mehr vollständig nutzbar ist.

Verwendung von Google Ads Conversion-Tracking

1. Der Datenverantwortliche verwendet das Online-Werbeprogramm „Google Ads“ und im Rahmen dessen das Conversion-Tracking der Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“).
2. Wenn der Nutzer über eine Google-Anzeige auf eine Webseite gelangt, wird ein Cookie zur Conversion-Verfolgung auf seinem Computer gespeichert. Diese Cookies haben eine begrenzte Gültigkeit und enthalten keine personenbezogenen Daten, sodass der Nutzer nicht identifiziert werden kann.
3. Wenn der Nutzer bestimmte Seiten der Website durchsucht und das Cookie noch nicht abgelaufen ist, können Google und der Datenverantwortliche erkennen, dass der Nutzer auf die Anzeige geklickt hat.
4. Jeder Google Ads-Kunde erhält ein anderes Cookie, sodass diese nicht über die Websites der Ads-Kunden nachverfolgt werden können.
5. Die Informationen, die mithilfe des Conversion-Cookies eingeholt werden, dienen dazu, Conversion-Statistiken für Ads-Kunden zu erstellen, die sich für Conversion-Tracking entschieden haben. Die Kunden erfahren die Gesamtzahl der Nutzer, die auf ihre Anzeige geklickt haben und zu einer mit einem Conversion-Tracking-Tag versehenen Seite weitergeleitet wurden. Sie erhalten jedoch keine Informationen, mit denen sich Nutzer persönlich identifizieren lassen.
6. Wenn Sie nicht am Tracking teilnehmen möchten, können Sie dies ablehnen, indem Sie die Installation der Cookies durch eine entsprechende Einstellung in Ihrem Browser verhindern. Sie werden dann nicht in die Conversion-Tracking-Statistiken aufgenommen.
7. Gemäß dem Google Consent Mode v2 verwendet Google auch zwei neue Cookie-Typen: ad_user_data und ad_personalization, die auf der Einwilligung der betroffenen Person basieren und die Nutzung und Weitergabe der Daten regeln. Ad_user_data dient zur Einwilligung der Nutzer zur Nutzung ihrer Daten für Werbezwecke durch Google. Ad_personalization regelt, ob die Daten zur Personalisierung von Werbung verwendet werden dürfen (z.B. für Remarketing). Der Datenverantwortliche stellt sicher, dass über das Cookie-Banner/Panel die entsprechenden Einwilligungen eingeholt bzw. widerrufen werden können. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der auf der Einwilligung vor dem Widerruf basierenden Verarbeitung.
8. Weitere Informationen sowie die Datenschutzerklärung von Google finden Sie unter: https://policies.google.com/privacy

Anwendung von Google Analytics

1. Diese Website verwendet Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sogenannte „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen.
2. Die durch die Cookies erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Durch die Aktivierung der IP-Anonymisierung auf dieser Website wird Ihre IP-Adresse von Google jedoch innerhalb der Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt.
3. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen verwenden, um Ihre Nutzung der Website auszuwerten, um Reports über die Website-Aktivitäten zusammenzustellen und um weitere mit der Website-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Website-Betreiber zu erbringen.
4. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (einschließlich Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=hu

Meta-Pixel

Der Meta-Pixel ist ein Code, mit dem Berichte über Conversions erstellt, Zielgruppen definiert und detaillierte Analysedaten über die Nutzung der Website durch Besucher bereitgestellt werden können. Mit dem Meta-Remarketing-Pixel-Tracking-Code können personalisierte Angebote und Anzeigen für Website-Besucher auf Facebook angezeigt werden. Die Meta-Remarketing-Liste ist nicht zur Identifizierung von Personen geeignet. Weitere Informationen zum Meta-Pixel finden Sie hier: https://www.facebook.com/business/help/651294705016616

Newsletter, Direktmarketing

1. Gemäß dem ungarischen Gesetz 2008 XLVIII. über die grundlegenden Voraussetzungen und Einschränkungen der Wirtschaftswerbung, Art. 6 §, kann der Nutzer im Voraus ausdrücklich zustimmen, dass der Dienstleister ihn mit seinen Werbeangeboten und anderen Sendungen unter den bei der Registrierung angegebenen Kontaktdaten kontaktiert.

2. Darüber hinaus kann der Kunde gemäß den Bestimmungen dieser Datenschutzerklärung zustimmen, dass der Dienstleister seine personenbezogenen Daten zum Versand von Werbeangeboten verarbeitet.

3. Der Dienstleister sendet keine unerwünschten Werbebotschaften und der Nutzer kann sich jederzeit kostenlos und ohne Begründung von den Angeboten abmelden. In diesem Fall löscht der Dienstleister alle personenbezogenen Daten, die für den Versand der Werbebotschaften erforderlich sind, aus seiner Datenbank und wird den Nutzer nicht weiter mit seinen Werbeangeboten kontaktieren. Der Nutzer kann sich über den Link in der Nachricht von den Werbebotschaften abmelden.

4. Art der Datenerhebung, Umfang der verarbeiteten Daten und Zweck der Datenverarbeitung:

Personenbezogene Daten	Zweck der Datenverarbeitung	Rechtsgrundlage
Name, E-Mail-Adresse.	Identifizierung, Ermöglichung der Anmeldung für den Newsletter/Aktionsgutscheine.	Einwilligung der betroffenen Person, Art. 6 Abs. 1 lit. a) DSGVO. Art. 6 § (5) des ungarischen Gesetzes über die grundlegenden Voraussetzungen und Einschränkungen der Wirtschaftswerbung 2008 XLVIII.
Zeitpunkt der Anmeldung	Durchführung einer technischen Operation.
IP-Adresse zum Zeitpunkt der Anmeldung	Durchführung einer technischen Operation.

5. Betroffene Personen: Alle betroffenen Personen, die sich für den Newsletter angemeldet haben.

6. Zweck der Datenverarbeitung: Versand von elektronischen Nachrichten mit Werbeinhalt (E-Mail, SMS, Push-Nachricht) an die betroffene Person, Bereitstellung von Informationen über aktuelle Nachrichten, Produkte, Aktionen, neue Funktionen usw.

7. Dauer der Datenverarbeitung, Frist für die Löschung der Daten: Bis zum Widerruf der Einwilligungserklärung, d.h. bis zur Abmeldung.

8. Mögliche Datenverantwortliche, die zur Kenntnisnahme der Daten berechtigt sind, Empfänger der personenbezogenen Daten: Die personenbezogenen Daten können vom Datenverantwortlichen sowie seinen Vertriebs- und Marketingmitarbeitern unter Beachtung der oben genannten Grundsätze verarbeitet werden.

9. Informationen zu den Rechten der betroffenen Personen im Zusammenhang mit der Datenverarbeitung:

• Die betroffene Person kann vom Datenverantwortlichen Zugang zu ihren personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen, sowie
• gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einlegen und
• hat das Recht auf Datenübertragbarkeit sowie das Recht, ihre Einwilligung jederzeit zu widerrufen.

10. Zugang zu personenbezogenen Daten, deren Löschung, Berichtigung oder Einschränkung der Verarbeitung sowie Datenübertragbarkeit oder Widerspruch können betroffene Personen wie folgt beantragen:

• per Post an die Adresse 2600 Vác, Zrinyi u., 41/b,
• per E-Mail an info@spielemarkt.de
• telefonisch unter der Nummer 06-1-2552822.

11. Die betroffene Person kann sich jederzeit kostenlos vom Newsletter abmelden.

12. Wir informieren Sie, dass

• die Datenverarbeitung auf Ihrer Einwill igung und dem berechtigten Interesse des Dienstleisters beruht.
• Sie verpflichtet sind, die personenbezogenen Daten anzugeben, wenn Sie unseren Newsletter erhalten möchten.
• die Nichtbereitstellung der Daten zur Folge hat, dass wir Ihnen keinen Newsletter senden können.
• Sie können Ihre Einwilligung jederzeit durch Klicken auf den Abmeldelink widerrufen.
• der Widerruf der Einwilligung die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitung nicht berührt.

Beschwerdemanagement

1. Art der Datenerhebung, Umfang der verarbeiteten Daten und Zweck der Datenverarbeitung:

Personenbezogene Daten	Zweck der Datenverarbeitung	Rechtsgrundlage
Vor- und Nachname	Identifizierung, Kontaktaufnahme.	Art. 6 Abs. 1 lit. c) DSGVO. (die relevante gesetzliche Verpflichtung: ungarisches Verbraucherschutzgesetz 1997 CLV. Art. 17/A § (7))
E-Mail-Adresse	Kontaktaufnahme.
Telefonnummer	Kontaktaufnahme.
Rechnungsname und -adresse	Identifizierung, Bearbeitung von Qualitätsreklamationen, Fragen und Problemen im Zusammenhang mit den bestellten Produkten/Dienstleistungen.

2. Betroffene Personen: Alle betroffenen Personen, die auf der Website einkaufen und eine Qualitätsreklamation oder Beschwerde einreichen.

3. Dauer der Datenverarbeitung, Frist für die Löschung der Daten: Das Protokoll über die Reklamation, der schriftliche Bericht und die Kopien der Antwort müssen gemäß dem ungarischen Verbraucherschutzgesetz 1997 CLV. Art. 17/A § (7) für 3 Jahre aufbewahrt werden.

4. Mögliche Datenverantwortliche, die zur Kenntnisnahme der Daten berechtigt sind, Empfänger der personenbezogenen Daten: Die personenbezogenen Daten können vom Datenverantwortlichen und seinen berechtigten Mitarbeitern unter Beachtung der oben genannten Grundsätze verarbeitet werden.

5. Informationen zu den Rechten der betroffenen Personen im Zusammenhang mit der Datenverarbeitung:

• Die betroffene Person kann vom Datenverantwortlichen Zugang zu ihren personenbezogenen Daten, deren Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen, und
• die betroffene Person hat das Recht auf Datenübertragbarkeit sowie das Recht, ihre Einwilligung jederzeit zu widerrufen.

6. Zugang zu personenbezogenen Daten, deren Löschung, Berichtigung oder Einschränkung der Verarbeitung sowie Datenübertragbarkeit können betroffene Personen wie folgt beantragen:

• per Post an die Adresse 2600 Vác, Zrinyi u., 41/b,
• per E-Mail an info@spielemarkt.de
• telefonisch unter der Nummer 06-1-2552822.

7. Wir informieren Sie, dass

• die Bereitstellung personenbezogener Daten auf einer gesetzlichen Verpflichtung beruht.
• die Verarbeitung personenbezogener Daten eine Voraussetzung für den Abschluss des Vertrags ist.
• Sie verpflichtet sind, die personenbezogenen Daten anzugeben, damit wir Ihre Beschwerde bearbeiten können.
• die Nichtbereitstellung der Daten zur Folge hat, dass wir Ihre Beschwerde nicht bearbeiten können.

Empfänger, denen personenbezogene Daten offengelegt werden

„Empfänger“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

1. Auftragsverarbeiter (die im Auftrag des Datenverantwortlichen die Datenverarbeitung durchführen)

Der Datenverantwortliche nutzt Auftragsverarbeiter zur Unterstützung seiner eigenen Datenverarbeitungstätigkeiten sowie zur Erfüllung der Verpflichtungen aus dem Vertrag mit der betroffenen Person oder den gesetzlichen Bestimmungen.

Der Datenverantwortliche legt großen Wert darauf, nur solche Auftragsverarbeiter zu beauftragen, die angemessene Garantien dafür bieten, dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Personen gewährleisten, durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

Der Auftragsverarbeiter und jede andere Person, die unter der Autorität des Datenverantwortlichen oder des Auftragsverarbeiters handelt und Zugang zu personenbezogenen Daten hat, verarbeiten diese Daten nur nach den Anweisungen des Datenverantwortlichen.

Der Datenverantwortliche ist rechtlich verantwortlich für die Tätigkeiten des Auftragsverarbeiters. Der Auftragsverarbeiter haftet nur für Schäden, die durch die Datenverarbeitung verursacht wurden, wenn er gegen die spezifischen Verpflichtungen der DSGVO verstoßen hat oder die rechtmäßigen Anweisungen des Datenverantwortlichen ignoriert oder entgegen diesen gehandelt hat.

Der Auftragsverarbeiter hat keine wesentlichen Entscheidungskompetenzen bezüglich der Datenverarbeitung.

Der Datenverantwortliche kann Hosting-Provider für die Sicherstellung der IT-Infrastruktur, Kurierdienste für die Zustellung der bestellten Waren als Auftragsverarbeiter einsetzen.

2. Einige Auftragsverarbeiter

Auftragsverarbeitertätigkeit	Name, Adresse, Kontakt
Hosting-Services	Der Dienstleister betreibt eigene Server.
Andere Auftragsverarbeiter (z.B. Online-Rechnungsstellung, Webentwicklung, Marketing)	Webentwicklung: Netgo.hu Kft.

 

„Dritter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die nicht die betroffene Person, der Datenverantwortliche, der Auftragsverarbeiter oder die unter der direkten Verantwortung des Datenverantwortlichen oder des Auftragsverarbeiters befugten Personen sind.

3. Datenübermittlung an Dritte

Dritte Datenverantwortliche verarbeiten die von uns übermittelten personenbezogenen Daten in ihrem eigenen Namen und gemäß ihrer eigenen Datenschutzrichtlinie.

Datenverarbeitungstätigkeit	Name, Adresse, Kontakt
Transport	DPD Hungária Futárpostai Csomagküldő Szolgáltató Korlátolt Felelősségű Társaság Sitz: 1158 Budapest, Késmárk u. 14/B. +36 (1) 501-6200 +36 (40) 100-373 dpd@dpd.hu
Online-Zahlung	Barion Payment Zrt. Sitz: H-1117, Budapest, Infopark sétány 1. Genehmigungsnummer: H-EN-I-1064/2013 Institutions-ID: 14859034 Telefon: + 36 1 464 70 99

Soziale Netzwerke

1. Art der Datenerhebung, Umfang der verarbeiteten Daten: Name, unter dem der Nutzer auf Twitter/Pinterest/Youtube/Instagram/TikTok usw. registriert ist, und das öffentliche Profilbild des Nutzers.
2. Betroffene Personen: Alle betroffenen Personen, die auf Twitter/Pinterest/Youtube/Instagram/TikTok usw. registriert sind und die Seite des Dienstleisters „geliked“ haben oder über das soziale Netzwerk mit dem Datenverantwortlichen in Kontakt getreten sind.
3. Zweck der Datenerhebung: Teilen, „Liken“, Folgen und Bewerben von Inhalten der Website, Produkten, Aktionen oder der Website selbst auf den sozialen Netzwerken.
4. Dauer der Datenverarbeitung, Frist für die Löschung der Daten, mögliche Datenverantwortliche, die zur Kenntnisnahme der Daten berechtigt sind, und Informationen zu den Rechten der betroffenen Personen im Zusammenhang mit der Datenverarbeitung: Die betroffene Person kann sich auf dem jeweiligen sozialen Netzwerk über die Quelle der Daten, deren Verarbeitung, Übermittlung und Rechtsgrundlage informieren. Die Datenverarbeitung erfolgt auf den sozialen Netzwerken, daher unterliegt die Dauer, Methode und Löschungs- und Änderungsvorgänge der Daten den jeweiligen Regelungen des sozialen Netzwerks.
5. Rechtsgrundlage der Datenverarbeitung: Die freiwillige Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten auf den sozialen Netzwerken.

Facebook / Meta gemeinsame Datenverarbeitung

Der Datenverantwortliche verfügt über ein Facebook/Meta-Profil für seine Aktivitäten. Die statistische Datenverarbeitung auf der Facebook-Seite erfolgt gemeinsam durch den Datenverantwortlichen und die Facebook Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, D2 Dublin, Irland). Einzelheiten zur gemeinsamen Datenverarbeitung sind im Anhang „Page Insights Controller Addendum“ der Facebook-Seiten-Insights-Funktion zu finden. Der Anhang ist unter folgendem Link verfügbar: https://hu‐hu.facebook.com/legal/terms/page_controller_addendum

Der Datenverantwortliche kommuniziert auf der sozialen Netzwerkseite nur dann privat, wenn Sie uns dort kontaktieren.

1. Kategorien betroffener Personen

• betroffene Personen, die auf der sozialen Netzwerkseite registriert sind und die Seite des Datenverantwortlichen „geliked“ haben,
• betroffene Personen, die den Datenverantwortlichen privat über die soziale Netzwerkseite kontaktieren.

2. Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist das Teilen und Bewerben der Aktivitäten und Dienstleistungen des Datenverantwortlichen auf der Facebook-Seite. Der Datenverantwortliche kann die von Ihnen in privaten Nachrichten angegebenen Daten verwenden, um auf Ihre Nachricht zu antworten. Der Datenverantwortliche sammelt keine Daten über die sozialen Netzwerke und entnimmt keine Daten daraus.

3. Rechtsgrundlage der Datenverarbeitung

Die Datenverarbeitung beruht auf Art. 6 Abs. 1 lit. a) DSGVO, der Rechtsgrundlage ist die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten auf der Facebook-Seite.

4. Umfang der verarbeiteten Daten

• registrierter Name der betroffenen Person,
• öffentliches Profilbild der betroffenen Person
• andere öffentlich zugängliche Daten, die von der betroffenen Person auf der sozialen Netzwerkseite angegeben oder geteilt wurden

5. Quelle der verarbeiteten personenbezogenen Daten: Die Quelle der verarbeiteten Daten ist die betroffene Person.

6. Widerruf der Einwilligung: Sie können Ihre Einwilligung zur Datenverarbeitung jederzeit widerrufen, indem Sie Ihren Beitrag oder Kommentar löschen. Die Datenverarbeitung erfolgt über die sozialen Netzwerke, die von Dritten betrieben werden. Wenn Sie Ihre Einwilligung widerrufen, löscht der Datenverantwortliche die Unterhaltung mit Ihnen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der auf der Einwilligung vor dem Widerruf basierenden Verarbeitung.

Zugang zu personenbezogenen Daten, deren Löschung, Berichtigung oder Einschränkung der Verarbeitung sowie Datenübertragbarkeit können betroffene Personen wie folgt beantragen:

• per Post an die Adresse 2600 Vác, Zrinyi u., 41/b,
• per E-Mail an info@spielemarkt.de
• telefonisch unter der Nummer 06-1-2552822.

7. Dauer der Datenverarbeitung

• bis zum Widerruf der Einwilligung der betroffenen Person,
• wenn es zu einer Nachrichtenübermittlung kommt, dann 2 Jahre.

8. Übermittlung personenbezogener Daten, Empfänger und Kategorien von Empfängern: Siehe Definition des Begriffs „Empfänger“ in Art. 4 Nr. 9 DSGVO. Der Datenverantwortliche gibt die personenbezogenen Daten der betroffenen Person nur in Ausnahmefällen und aufgrund gesetzlicher Verpflichtungen an staatliche Stellen, Behörden – insbesondere Gerichte, Staatsanwaltschaften, Ermittlungsbehörden und Aufsichtsbehörden, die Nationale Datenschutz- und Informationsfreiheitsbehörde – weiter.

9. Mögliche Folgen der Nichtbereitstellung der Daten

Wenn die betroffene Person die Daten nicht bereitstellt, kann sie sich über die Aktivitäten und Dienstleistungen des Datenverantwortlichen nicht über die Facebook-Seite informieren und dem Datenverantwortlichen keine Nachricht über Facebook Messenger senden.

10. Automatisierte Entscheidungsfindung (einschließlich Profiling): Im Rahmen der Datenverarbeitung findet keine automatisierte Entscheidungsfindung oder Profiling statt.

11. Gemeinsame Datenverarbeitungsvereinbarung mit Facebook Ireland Ltd.:

Die Seiten-Insights-Funktion zeigt aggregierte Daten an, die dazu beitragen, zu verstehen, wie die betroffenen Personen die Facebook-Seite nutzen. Facebook Ireland Limited („Facebook Ireland“) und der Datenverantwortliche sind gemeinsame Datenverantwortliche für die Verarbeitung der Insights-Daten. Der Anhang „Page Insights Controller Addendum“ legt die Verantwortung von Facebook und des Datenverantwortlichen für die Verarbeitung der Insights-Daten fest. Facebook Ireland übernimmt die primäre Verantwortung für die Verarbeitung der Insights-Daten gemäß der DSGVO und verpflichtet sich, alle relevanten Verpflichtungen der DSGVO im Zusammenhang mit der Verarbeitung der Insights-Daten einzuhalten. Facebook Ireland stellt den betroffenen Personen außerdem eine Zusammenfassung des Anhangs „Page Insights Controller Addendum“ zur Verfügung. Der Datenverantwortliche stellt sicher, dass er über eine angemessene Rechtsgrundlage für die Verarbeitung der Insights-Daten gemäß der DSGVO verfügt, den Seitenbetreiber identifiziert und alle anderen relevanten rechtlichen Verpflichtungen einhält. Facebook Ireland ist ausschließlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Seiten-Insights-Funktion verantwortlich, mit Ausnahme der Daten, die unter den Anhang „Page Insights Controller Addendum“ fallen. Der Anhang „Page Insights Controller Addendum“ gewährt dem Datenverantwortlichen kein Recht, personenbezogene Daten von Facebook-Nutzern anzufordern, die Facebook Ireland im Zusammenhang mit der Seiten-Insights-Funktion verarbeitet, einschließlich der Insights-Daten. Der Datenverantwortliche kann im Rahmen der Bearbeitung von Datenschutzanfragen nicht im Namen von Facebook Ireland handeln und keine Antworten geben.

Kundenbeziehungen und andere Datenverarbeitungen

1. Wenn der betroffenen Person während der Inanspruchnahme der Dienstleistungen des Datenverantwortlichen Fragen oder Probleme auftreten, kann sie über die auf der Website angegebenen Kontaktmöglichkeiten (Telefon, E-Mail, soziale Netzwerke usw.) Kontakt mit dem Datenverantwortlichen aufnehmen.
2. Der Datenverantwortliche löscht eingehende E-Mails, Nachrichten, Telefonanrufe, Meta-Nachrichten usw., die Daten der interessierten Person wie Name und E-Mail-Adresse sowie andere freiwillig bereitgestellte personenbezogene Daten nach spätestens 2 Jahren ab der Datenübermittlung.
3. Über in dieser Datenschutzerklärung nicht aufgeführte Datenverarbeitungen wird zum Zeitpunkt der Datenerfassung informiert.
4. Bei außergewöhnlichen behördlichen Anfragen oder auf der Grundlage gesetzlicher Ermächtigungen durch andere Behörden ist der Dienstleister verpflichtet, Auskunft zu erteilen, Daten zu übermitteln und Unterlagen bereitzustellen.
5. In diesen Fällen gibt der Dienstleister nur so viele personenbezogene Daten weiter, wie zur Erreichung des Zwecks der Anfrage unbedingt erforderlich sind, unter Berücksichtigung des genauen Zwecks und Umfangs der angeforderten Daten.

Rechte der betroffenen Personen

1. Recht auf Auskunft

Sie haben das Recht, von dem Datenverantwortlichen eine Bestätigung darüber zu erhalten, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden, und, wenn dies der Fall ist, Zugang zu den personenbezogenen Daten und den in der Verordnung aufgeführten Informationen zu erhalten.

2. Recht auf Berichtigung

Sie haben das Recht, von dem Datenverantwortlichen unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

3. Recht auf Löschung

Sie haben das Recht, von dem Datenverantwortlichen zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Datenverantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der in der Verordnung aufgeführten Gründe zutrifft.

4. Recht auf Vergessenwerden

Hat der Datenverantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß der Verordnung zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

5. Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, von dem Datenverantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

• Sie bestreiten die Richtigkeit der personenbezogenen Daten, und zwar für eine Dauer, die es dem Datenverantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
• die Verarbeitung ist unrechtmäßig und Sie lehnen die Löschung der personenbezogenen Daten ab und verlangen stattdessen die Einschränkung der Nutzung der personenbezogenen Daten;
• der Datenverantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
• Sie haben Widerspruch gegen die Verarbeitung eingelegt; solange noch nicht feststeht, ob die berechtigten Gründe des Datenverantwortlichen gegenüber Ihren Gründen überwiegen.

6. Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie einem Datenverantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Datenverantwortlichen ohne Behinderung durch den Datenverantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln (...)

7. Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

8. Widerspruch gegen Direktmarketing

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

9. Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkungen entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Die vorhergehende Regelung gilt nicht, wenn die Entscheidung:

• für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Datenverantwortlichen erforderlich ist,
• aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Datenverantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder
• mit Ihrer ausdrücklichen Einwilligung erfolgt.

Fristen für Maßnahmen

Der Datenverantwortliche informiert Sie unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags über die auf Ihre Anträge hin getroffenen Maßnahmen.

Diese Frist kann um zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anträge erforderlich ist. Der Datenverantwortliche unterrichtet Sie innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung unter Angabe der Gründe für die Verzögerung.

Wenn der Datenverantwortliche auf Ihren Antrag hin keine Maßnahmen ergreift, informiert er Sie unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, über die Gründe hierfür sowie darüber, dass Sie bei einer Aufsichtsbehörde Beschwerde einlegen und einen gerichtlichen Rechtsbehelf einlegen können.

Sicherheit der Verarbeitung

Der Datenverantwortliche und der Auftragsverarbeiter setzen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich unter anderem gegebenenfalls:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
5. Die verarbeiteten Daten sind so zu speichern, dass Unbefugte keinen Zugang zu ihnen haben. Im Falle von Papierdokumenten erfolgt dies durch physische Aufbewahrung und Archivierung; im Falle elektronisch verarbeiteter Daten durch den Einsatz eines zentralen Berechtigungsverwaltungssystems.
6. Die Art und Weise der Speicherung von Daten auf elektronischen Datenträgern ist so zu wählen, dass deren Löschung – unter Berücksichtigung möglicher abweichender Löschfristen – zum Zeitpunkt des Ablaufs der Löschfrist oder aus anderen Gründen möglich ist. Die Löschung muss irreversibel sein.
7. Papierbasierte Datenträger sind mit einem Aktenvernichter oder durch ein externes, auf die Vernichtung von Akten spezialisiertes Unternehmen zu entsorgen. Bei elektronischen Datenträgern ist die physische Vernichtung gemäß den Regeln für die Aussonderung elektronischer Datenträger sicherzustellen, gegebenenfalls unter vorheriger Sicherstellung der sicheren und irreversiblen Löschung der Daten.
8. Der Datenverantwortliche ergreift die folgenden spezifischen Sicherheitsmaßnahmen:

Zur Sicherheit der in Papierform verarbeiteten personenbezogenen Daten ergreift der Dienstleister die folgenden Maßnahmen (physischer Schutz):

1. Die Dokumente sind in einem sicheren, gut verschlossenen und trockenen Raum aufzubewahren.
2. Werden personenbezogene Daten, die in Papierform verarbeitet werden, digitalisiert, so sind die Regeln für die Speicherung digitaler Dokumente anzuwenden
3. Der Mitarbeiter des Dienstleisters, der Daten verarbeitet, darf den Raum, in dem die Verarbeitung stattfindet, nur verlassen, wenn die ihm anvertrauten Datenträger verschlossen sind oder der Raum abgeschlossen ist.
4. Personenbezogene Daten dürfen nur von befugten Personen eingesehen werden, Dritte haben keinen Zugang zu ihnen.
5. Das Gebäude und die Räume des Dienstleisters sind mit Brandschutz- und Sicherheitsvorrichtungen ausgestattet.

 IT-Schutz

1. Die Computer und mobilen Geräte (andere Datenträger), die bei der Verarbeitung verwendet werden, sind Eigentum des Dienstleisters.
2. Das Computersystem des Dienstleisters, das personenbezogene Daten enthält, ist durch Virenschutz geschützt.
3. Zur Sicherheit der digital gespeicherten Daten setzt der Dienstleister Datensicherungen und Archivierungen ein.
4. Nur befugte Personen haben Zugang zu den zentralen Servern.
5. Der Zugang zu den auf den Computern gespeicherten Daten ist nur mit Benutzername und Passwort möglich.

Information der betroffenen Person über die Datenschutzverletzung

Ist die Datenschutzverletzung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden, so unterrichtet der Datenverantwortliche die betroffene Person unverzüglich.

Die Mitteilung an die betroffene Person muss in klarer und einfacher Sprache die Art der Datenschutzverletzung beschreiben und den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, bei der weitere Informationen eingeholt werden können, mitteilen; die wahrscheinlichen Folgen der Datenschutzverletzung beschreiben; die vom Datenverantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung beschreiben, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Eine Mitteilung an die betroffene Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

• der Datenverantwortliche geeignete technische und organisatorische Schutzmaßnahmen getroffen hat und diese Maßnahmen auf die von der Datenschutzverletzung betroffenen personenbezogenen Daten angewendet wurden, insbesondere Maßnahmen – wie die Verschlüsselung –, die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu ihnen berechtigt sind, unverständlich machen;
• der Datenverantwortliche hat nach der Datenschutzverletzung weitere Maßnahmen ergriffen, die gewährleisten, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person aller Wahrscheinlichkeit nach nicht mehr besteht;
• die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde. In solchen Fällen ist die betroffene Person durch eine öffentlich zugängliche Information oder durch eine ähnliche Maßnahme zu informieren, durch die die betroffene Person in vergleichbarer Weise wirksam informiert wird.

Hat der Datenverantwortliche die betroffene Person noch nicht über die Datenschutzverletzung informiert, kann die Aufsichtsbehörde nach Abwägung der Wahrscheinlichkeit eines hohen Risikos anordnen, dass die betroffene Person informiert wird.

Meldung der Datenschutzverletzung an die Behörde

Der Datenverantwortliche meldet eine Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde gemäß Art. 55, es sei denn, die Datenschutzverletzung ist voraussichtlich nicht mit einem Risiko für die Rechte und Freiheiten natürlicher Personen verbunden. Erfolgt die Meldung nicht innerhalb von 72 Stunden, so ist eine Begründung für die Verzögerung beizufügen.

Überprüfung bei obligatorischer Datenverarbeitung

Wenn die Dauer der obligatorischen Datenverarbeitung oder deren regelmäßige Überprüfung nicht durch Gesetz, Verordnung der lokalen Regierung oder verbindlichen Rechtsakt der Europäischen Union festgelegt ist, überprüft der Datenverantwortliche spätestens alle drei Jahre ab Beginn der Datenverarbeitung, ob die Verarbeitung personenbezogener Daten durch ihn oder durch einen von ihm beauftragten oder nach seinen Anweisungen handelnden Auftragsverarbeiter zur Erreichung des Zwecks der Datenverarbeitung erforderlich ist.

Der Datenverantwortliche dokumentiert die Umstände und das Ergebnis dieser Überprüfung, bewahrt diese Dokumentation zehn Jahre lang nach Abschluss der Überprüfung auf und stellt sie der Nationalen Datenschutz- und Informationsfreiheitsbehörde (im Folgenden: Behörde) auf Anfrage zur Verfügung.

Beschwerderecht

Im Falle eines möglichen Verstoßes des Datenverantwortlichen können Sie eine Beschwerde bei der Nationalen Datenschutz- und Informationsfreiheitsbehörde einreichen:

Nationale Datenschutz- und Informationsfreiheitsbehörde
1055 Budapest, Falk Miksa utca 9-11.
Postanschrift: 1363 Budapest, Pf. 9.
Telefon: +36 -1-391-1400
Fax: +36-1-391-1410
E-Mail: ugyfelszolgalat@naih.hu

Schlussbemerkung

Bei der Erstellung dieses Leitfadens haben wir die folgenden Gesetze berücksichtigt:

• Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (GDPR)(27. April 2016) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG;
• Gesetz Nr. CXII von 2011 – über das Recht auf informationelle Selbstbestimmung und Informationsfreiheit (Infotv.);
• Gesetz Nr. CVIII von 2001 – über bestimmte Aspekte der Dienste des elektronischen Geschäftsverkehrs und der informationsgesellschaftlichen Dienste (insbesondere Art. 13/A);
• Gesetz Nr. XLVII von 2008 – über das Verbot unlauterer Geschäftspraktiken gegenüber Verbrauchern;
• Gesetz Nr. XLVIII von 2008 – über die grundlegenden Bedingungen und bestimmten Beschränkungen wirtschaftlicher Werbetätigkeit (insbesondere Art. 6);
• Gesetz Nr. XC von 2005 über die elektronische Informationsfreiheit;
• Gesetz Nr. C von 2003 über elektronische Kommunikation (insbesondere Art. 155);
• Empfehlung Nr. 16/2011 zu den bewährten Verfahren für verhaltensbasierte Online-Werbung gemäß den EASA/IAB-Empfehlungen;
• Empfehlung der Nationalen Datenschutz- und Informationsfreiheitsbehörde zu den Anforderungen des Datenschutzes im Rahmen der Vorabinformation.