Skip To Main Content

1. Übersicht

1.1 ZWECK

Die Richtlinie zur Bearbeitung von Anfragen betroffener Personen („Data Subject Request“, DSR) und zur Verwaltung von Cookies und Einwilligungen von Albaugh (nachfolgend als „das Unternehmen“ bezeichnet) regelt den Eingang, die Bewertung, die Antwort und die Aufzeichnung von DSRs bei Albaugh. DSRs können gemäß einer Reihe von anwendbaren Gesetzen an Albaugh gerichtet werden, und diese Richtlinie dient dazu, den Aufnahmeprozess und das Antwortverfahren für derartige Anfragen in Übereinstimmung mit den anwendbaren Gesetzen zu regeln. Darüber hinaus bietet diese Richtlinie Richtlinien dafür, wann eine Einwilligung eingeholt werden muss, welche Sprache verwendet werden muss und wie die Dokumentation aufrechterhalten werden muss.

1.2 UMFANG

Diese Richtlinie gilt für alle Mitglieder der Belegschaft von Albaugh, einschließlich Vertragsarbeitnehmer und Berater. Albaugh wird von allen Dritten, die von Albaugh verwaltete und im Eigentum von Albaugh stehende Hardware, Software, Netzwerke, Anwendungen, Daten, geistiges Eigentum und alle damit verbundenen Ressourcen nutzen, die Einhaltung geltender rechtlicher Standards verlangen. Diese Richtlinie gilt für Albaugh und seine verbundenen Unternehmen.

2. Definitionen

Anwendbares Recht - Jedes staatliche, bundesstaatliche oder ausländische Gesetz, jede Regelung oder Vorschrift, die auf die Verarbeitung personenbezogener Informationen anwendbar ist.

Verantwortlicher - Die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Informationen bestimmt. Der Verantwortliche kann unter dem anwendbaren Recht als "Unternehmen" bezeichnet werden.

Betroffene Person - Eine identifizierte oder identifizierbare Person, auf die sich personenbezogene Informationen beziehen.

Anfrage betroffener Person ("Data Subject Request", DSR) - Das Mittel, mit dem betroffene Personen die Offenlegung der von der Organisation über sie gehaltenen personenbezogenen Informationen und deren Nutzung oder beabsichtigte Nutzung durch die Organisation beantragen.

Personenbezogene Informationen (PI) - Alle Informationen, die sich auf eine natürliche Person oder eine "betroffene Person" beziehen und die verwendet werden können, um die Person direkt oder indirekt zu identifizieren. Personenbezogene Informationen können in einigen Rechtsprechungen als "personenbezogene Daten" oder "persönlich identifizierbare Informationen" (PII) bezeichnet werden.

Verarbeitung - Jede Operation oder jede Reihe von Operationen, die an den personenbezogenen Informationen durchgeführt werden, unabhängig davon, ob dies automatisch erfolgt, wie Sammlung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Sperrung, Löschung oder Vernichtung.

Auftragsverarbeiter - Eine Stelle, die personenbezogene Informationen im Auftrag des Verantwortlichen verarbeitet. Auftragsverarbeiter können unter dem anwendbaren Recht als "Dienstleister" bezeichnet werden.

3. Anfragen betroffener Personen

3.1 UMFANG DER ANFRAGEN

Je nach anwendbarem Recht des Wohnsitzes der betroffenen Personen (z. B. Kunden, Verbraucher, Mitarbeiter usw.) können betroffene Personen die folgenden Rechte in Bezug auf PI geltend machen:

  • Zugang und Portabilität: Das Recht, Albaugh zu bitten, einen Bericht über die von der Firma gehaltenen PI bereitzustellen. Der Bericht könnte Folgendes enthalten:
  • Die Kategorien von PI, die Albaugh über diesen Verbraucher gesammelt hat;
  • Die Kategorien von Quellen, aus denen das PI gesammelt wird;
  • Den geschäftlichen oder kommerziellen Zweck der Sammlung oder des Verkaufs von PI;
  • Die Kategorien von Dritten, mit denen Albaugh PI teilt;
  • Die spezifischen Stücke von PI, die Albaugh über diesen Verbraucher gesammelt hat.
  • Berichtigung: Das Recht, Albaugh zu bitten, falsche oder unvollständige PI zu berichtigen.
  • Löschung: Das Recht, Albaugh zu bitten, PI zu löschen oder zu entfernen.
  • Beispielsweise können Anfragen abgelehnt werden, wenn die Aufbewahrung von PI unter bestimmten Umständen erforderlich ist, einschließlich, aber nicht beschränkt auf:
  • die Erfüllung einer rechtlichen Verpflichtung;
  • die Feststellung, Ausübung oder Verteidigung rechtlicher Ansprüche; oder
  • die Durchführung einer Aufgabe im öffentlichen Interesse oder bei der Ausübung öffentlicher Gewalt.
  • Einwilligung widerrufen: Das Recht, die Einwilligung in die Verarbeitung von PI durch Albaugh zu widerrufen (siehe Abschnitt "Cookies und Einwilligungsverwaltung" unten).
  • Marketingkommunikation: Das Recht, sich gegen den Erhalt von Marketingkommunikationen von Albaugh zu entscheiden.
  • Widerspruch: Das Recht der betroffenen Personen, sich gegen die Verarbeitung von PI zu wenden, die sie betrifft.
  • Einschränkung der Verarbeitung: Das Recht, die Verarbeitung oder Übertragung von PI durch Albaugh unter bestimmten Umständen einzuschränken oder zu widersprechen.
  • Automatisierte Einzelentscheidungen: Das Recht, keiner Entscheidung aufgrund automatisierter Verarbeitung von PI, einschließlich Profilierung, unterworfen zu sein.
  • Nichtdiskriminierung: Das Recht, keine Diskriminierung zu erfahren, wenn die oben genannten Rechte geltend gemacht werden. Albaugh wird keine rückwirkenden oder diskriminierenden Maßnahmen gegenüber einem Verbraucher ergreifen, der sich entscheidet, eines der oben genannten Rechte auszuüben. Daher kann Albaugh Einzelpersonen seine Dienstleistungen und Produkte nicht verweigern. Das anwendbare Recht könnte jegliche Praktiken verbieten, die in dieser Hinsicht wucherisch, erpresserisch oder ungerecht sind.

    3.2 DSR-Anforderungen

    Unabhängig von der Regelung, unter der eine DSR gestellt wird, existieren gemeinsame Elemente des DSR-Antwortprogramms von Albaugh; sofern gesetzlich vorgeschrieben, werden diese von Albaugh wie folgt durchgeführt:

    Aufnahme

    Der Prozess, durch den DSRs von Einzelpersonen an Albaugh eingereicht werden können, ist in den Datenschutzhinweisen von Albaugh beschrieben und für Einzelpersonen zugänglich.

    Dokumentation und Überwachung eingegangener Anfragen

    Albaugh stellt sicher, dass alle eingegangenen DSRs für interne Zwecke dokumentiert werden, um ihren Eingang anzuerkennen. Albaugh stellt sicher, dass der Status der Bearbeitung (d. h. vom Eingang bis zur Ablehnung oder Erfüllung) für jede Anfrage überwacht wird, um sicherzustellen, dass eine zufriedenstellende Antwort gemäß den gesetzlichen Anforderungen und Fristen erfolgt.

    Schulung und Sensibilisierung

    Albaugh stellt sicher, dass alle Personen, die für die Bearbeitung eingehender DSRs und externer Anfragen (d. h. Anfragen, bei denen die Zusammenarbeit mit Dritten erforderlich ist) verantwortlich sind, über alle einschlägigen gesetzlichen Anforderungen und internen Verfahren von Albaugh informiert sind.

    Zeitrahmen für Antwort und Bestätigung

    Albaugh wird auf Anfragen gemäß den relevanten gesetzlichen Fristen antworten. Dies kann die Bestätigung des Eingangs von Anfragen umfassen, bevor eine Entscheidung über die Annahme oder Ablehnung der Anfrage getroffen wird und bevor die Anfrage erfüllt wird.

    Prüfung der rechtlichen Grundlage

    Im Rahmen des DSR-Antwortprozesses wird Albaugh DSRs auf der Grundlage einer Bewertung der rechtlichen Grundlage der Anfrage gemäß den anwendbaren Gesetzen akzeptieren oder ablehnen. Nach der Ablehnung eines DSR wird Albaugh dem Datenbetreffenden mitteilen, warum keine rechtliche Verpflichtung besteht, die Anfrage zu bearbeiten.

    Identitätsprüfung

    Die Bestimmung der rechtlichen Grundlage der Anfrage und jede anschließende Antwort an den Antragsteller wird, falls gemäß anwendbarem Recht erforderlich, ein Identitätsprüfverfahren vor der Offenlegung von Informationen umfassen.

    Bewertung und Identitätsprüfung bei Drittanfragen

    Wenn eine betroffene Person einen Vertreter zur Einreichung eines DSR verwendet, kann Albaugh verlangen, dass die betroffene Person zusätzliche Schritte zur Einhaltung einhält.

    Ablehnung einer Anfrage

    Albaugh stellt sicher, dass alle Informationen im Zusammenhang mit der Entscheidung zur Ablehnung der Anfrage, die gemäß den anwendbaren Gesetzen bereitzustellen sind, dem anfragenden Unternehmen zur Verfügung gestellt und gemäß den gesetzlichen Anforderungen aufbewahrt werden. Fälle, in denen Albaugh die Anfrage ablehnen kann, umfassen unter anderem die Unfähigkeit, die Identität der betroffenen Person zu validieren, und andere Einschränkungen in Bezug auf die Einhaltung anderer anwendbarer Gesetze (wie EU-Verordnungen oder Mitgliedstaatsgesetze, US-Bundesgesetze usw.).

    Erfüllung von Anfragen

    Albaugh hat Richtlinien und Verfahren, um sicherzustellen, dass der DSR-Prozess erfüllt wird, einschließlich der Anpassung oder Berichtigung von PI in der Organisation. Albaugh stellt außerdem sicher, dass seine Systeme und alle anwendbaren Drittanbieter den DSR-Prozess ordnungsgemäß ausführen und die von Albaugh genehmigten Verpflichtungen erfüllen.

    Antidiskriminierung

    Albaugh diskriminiert unter keinen Umständen Einzelpersonen, die ihre ihnen gemäß anwendbaren Vorschriften zustehenden Rechte ausüben. Diese Antidiskriminierung umfasst unter anderem das Verweigern von Waren oder Dienstleistungen an den Antragsteller; das Erheben unterschiedlicher Preise oder Tarife für Waren oder Dienstleistungen, einschließlich Rabatten oder anderen Vergünstigungen, oder das Verhängen von Strafen; und das Bereitstellen eines unterschiedlichen Niveaus oder einer unterschiedlichen Qualität von Waren oder Dienstleistungen für einzelne Antragsteller sowie die Andeutung, dass Einzelpersonen einen anderen Preis oder Satz für Waren oder Dienstleistungen oder ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen erhalten, wenn sie ihre Rechte ausüben.

    Darüber hinaus werden regionale IT- und Compliance-Beauftragte mit dem IT-Team und dem Compliance-Beauftragten der Gruppe zusammenarbeiten, um spezifische Anforderungen des anwendbaren lokalen Rechts in jeder Region zu erfüllen.

    4. Cookies und Einwilligung

    4.1 REGULATORISCHE ASPEKTE

    Der Begriff "Einwilligung" erscheint in nahezu jeder Datenschutzregelung, die weltweit in Kraft ist. Die meisten Länder, mit Ausnahme der Vereinigten Staaten, verlangen eine "Opt-in"-Einwilligung, die freiwillig von der betroffenen Person gegeben wird, von der Albaugh Informationen erhebt. Anwendbare Gesetze definieren in der Regel "Einwilligung" als "jede freiwillig gegebene, spezifische, informierte und unmissverständliche Angabe des Wunsches der betroffenen Person, durch die er oder sie durch eine Erklärung oder durch eine eindeutige positive Handlung seine oder ihre Zustimmung zur Verarbeitung personenbezogener Daten, die ihn oder sie betreffen, signalisiert". 

    Anwendbare Gesetze legen die rechtlichen Grundlagen fest, die eine Organisation geltend machen kann, wenn sie PI erhebt und verarbeitet; dazu gehört auch die "Einwilligung". Albaugh muss sicherstellen, dass, wenn es "Einwilligung" als rechtliche Grundlage für eine bestimmte Datenverarbeitungstätigkeit geltend macht, die Begründung während des gesamten Prozesses konsistent bleibt und später nicht gegen eine andere rechtliche Grundlage ausgetauscht werden kann (obwohl anfänglich mehrere rechtliche Grundlagen angegeben werden können). 

    Anwendbare Gesetze legen die folgenden Bedingungen bezüglich der "Einwilligung" fest:

    • Freiwillig gegeben:

      • Die Erfüllung einer Bestimmung oder Dienstleistung darf keine Einwilligung erfordern, um PI zu verarbeiten, die nicht erforderlich ist, um diese bestimmte Bestimmung oder Dienstleistung zu erfüllen.

      • Der betroffenen Person muss eine echte oder freie Wahl angeboten werden.

    • Spezifisch: 

      • Wenn die Einwilligung im Rahmen einer schriftlichen Erklärung erfasst wird, die sich auf andere Angelegenheiten bezieht, muss der Abschnitt zur Einwilligung klar von den anderen abgegrenzt sein.

      • Die betroffenen Personen müssen jeder Datenverarbeitungstätigkeit einzeln zustimmen. 

    • Informiert: 

      • Die betroffenen Personen müssen in verständlicher Sprache darüber informiert werden, wer ihre Daten verarbeitet, welche Verarbeitungstätigkeiten stattfinden werden und zu welchem Zweck die Datenverarbeitung erfolgt; dies muss vor der erstmaligen Einholung der Einwilligung ausgedrückt werden.

    • Eindeutig:

      • Die Einwilligung der betroffenen Person zur Verarbeitung ihrer PI muss nachweisbar sein.

      • Schweigen oder Inaktivität wäre nicht akzeptabel, eine betroffene Person muss bewusst durch deutliches Ankreuzen eines Kästchens, Auswahl einer technischen Einstellung oder Abgabe einer klaren Einwilligungserklärung "opt-in" gehen. 

    • Kann widerrufen werden:

      • Der betroffenen Person muss immer das Recht eingeräumt werden, ihre Einwilligung leicht zu widerrufen (d. h. opt-out) jederzeit; dieses Recht muss vor der erstmaligen Einholung der Einwilligung ausgedrückt werden. 

    4.2 "VERKAUF" VON PERSÖNLICHEN INFORMATIONEN

    "Verkauf" bezieht sich auf den Verkauf, die Vermietung, die Freigabe, die Offenlegung, die Verbreitung, die Bereitstellung, die Übertragung oder anderweitige mündliche, schriftliche oder elektronische Kommunikation von PI, die der Verbraucher nicht absichtlich an Dritte weitergeleitet hat. Die Übertragung von PI an Dritte, unabhängig von einer finanziellen Gegenleistung, kann nach anwendbarem Recht als "Verkauf" eingestuft werden. Daher erfordert ein "Verkauf" von persönlichen Informationen eine Einwilligung.

    4.2.1 Regelung "Nicht Verkaufen

    Nach bestimmten anwendbaren Gesetzen besitzen Verbraucher das Recht, Unternehmen mitzuteilen, ihre PI nicht zu "verkaufen". Die spezifischen Anforderungen der Regelung "Nicht Verkaufen" umfassen Folgendes:

    • Alle Websites müssen eine Seite namens "Meine persönlichen Informationen nicht verkaufen" haben, auf der Verbraucher dem "Verkauf" ihrer PI widersprechen können.
    • Der Link zur Seite "Meine persönlichen Informationen nicht verkaufen" muss auf der Homepage der Website vorhanden sein (es ist auch bewährte Praxis, den Link auf allen Webseiten sichtbar zu machen).
    • Verbraucher müssen die Möglichkeit haben, ohne Anmeldung auf der Website abzulehnen.
    • Die Datenschutzrichtlinie der Website muss eine Sprache enthalten, die die Verbraucherrechte beschreibt, und einen Link zur Seite "Meine persönlichen Informationen nicht verkaufen" enthalten.
    • Nachdem ein Verbraucher widersprochen hat, darf ihm 12 Monate lang nicht angeboten werden, seine PI "zu verkaufen".

    Albaugh verkauft keine PI. Wenn eine Albaugh-Website jedoch PI sammelt, um sie an einen Dritten zu verkaufen, muss die Website eine Seite "Meine persönlichen Informationen nicht verkaufen" enthalten.

    4.2.2 Minors and the Sale of Personal Information

    Minderjährige und der Verkauf persönlicher Informationen Albaugh darf die PI von Verbrauchern unter 16 Jahren nicht wissentlich "verkaufen". Verbraucher im Alter von 13 bis 16 Jahren oder Eltern/Erziehungsberechtigte (für Verbraucher unter 13 Jahren) müssen ausdrücklich dem "Verkauf" ihrer (oder ihrer Kinder) PI zustimmen.

    Die Dienste und Produkte von Albaugh sind nicht für Personen unter achtzehn (18) Jahren vorgesehen. Albaugh sammelt und verwendet wissentlich keine PI von Minderjährigen.

    4.3 POLITIKANFORDERUNGEN

    Albaugh ist gemäß anwendbaren Gesetzen verpflichtet, die Einwilligung der betroffenen Personen einzuholen. Wenn Einwilligung erforderlich ist, müssen folgende Punkte beachtet werden:

    • Fähigkeit nachzuweisen, dass die betroffene Person explizit der Verarbeitung ihrer PI zugestimmt hat.
    • Fähigkeit nachzuweisen, dass die betroffene Person der Verarbeitung ihrer PI für einen oder mehrere bestimmte Zwecke zugestimmt hat.
    • Die Einwilligung ist deutlich von anderen Angelegenheiten im Zusammenhang mit der betroffenen Person zu unterscheiden.
    • Die Einwilligung erfolgt in einer verständlichen und leicht zugänglichen Form, unter Verwendung klarer und einfacher Sprache.
    • Die betroffene Person wurde über ihr Recht informiert, die Einwilligung vor deren Erteilung zurückzuziehen.
    • Die Verarbeitung von Daten ist auf den Vertrag beschränkt, der durch die explizite Einwilligung der betroffenen Person gebunden ist.
    • Aufzeichnungen über Einwilligungen werden, soweit zutreffend, gemäß internen Richtlinien zur Datenspeicherung und gesetzlichen Verpflichtungen aufbewahrt.

    Darüber hinaus werden regionale IT und der regionale Compliance-Beauftragte die Einwilligungsverfahren von Albaugh auf weitere anwendbare lokale Gesetze und Vorschriften überprüfen.

    4.4 AUSNAHMEN

    Jede Ausnahme von der Richtlinie muss vom General Counsel genehmigt werden.

    4.5 DURCHSETZUNG DER RICHTLINIE

    Mitarbeiter, die gegen diese Richtlinie verstoßen haben, können disziplinarischen Maßnahmen unterzogen werden, einschließlich einer Kündigung

    5. Dokumentenüberarbeitungsgeschichte und Genehmigung


    Aktion

    Datum

    Name

    Politikentwicklung

    2023/05/02

    General Counsel

    Genehmigung der Richtlinie

    2023/05/02

    General Counsel