Datenschutzerklärung

1. Zweck der Richtlinie

Zweck der Datenschutzrichtlinie ist die Einführung und konsequente Anwendung von Maßnahmen, die eine präzise und sichere Verarbeitung personenbezogener Daten der Mitarbeitenden (im Folgenden: Betroffene) gewährleisten und dabei die geltenden europäischen und nationalen Datenschutzvorschriften einhalten, sowie auf Ebene des Hotel BasiliQ (im Folgenden: Unternehmen) ein einheitliches Vorgehen sicherstellen.

Die Datenschutzrichtlinie bietet den Betroffenen zugleich eine prägnante, transparente und leicht zugängliche Information über den Zugriff auf ihre personenbezogenen Daten, die vom Unternehmen verarbeitet werden, und enthält sowie informiert über die vom Unternehmen geltend gemachten Regelungen zur Wahrung der Rechte der Betroffenen.

2. Anwendungsbereich der Richtlinie

Persönlicher Anwendungsbereich

Diese Richtlinie gilt für das Unternehmen und für natürliche Personen, auf die sich die Datenverarbeitung erstreckt. Die in dieser Richtlinie festgelegte Datenverarbeitung richtet sich auf die personenbezogenen Daten natürlicher Personen. Der Anwendungsbereich der Richtlinie erstreckt sich nicht auf die Verarbeitung personenbezogener Daten, die sich auf juristische Personen bezieht, insbesondere auf Unternehmen, die als juristische Person gegründet wurden, einschließlich des Namens und der Rechtsform der juristischen Person sowie der Angaben zur Erreichbarkeit der juristischen Person. Juristische Personen sind Vereine, Gesellschaften, Genossenschaften, Vereinigungen und Stiftungen.

Zeitlicher Anwendungsbereich

Der zeitliche Geltungsbereich dieser Richtlinie erstreckt sich ab dem Datum ihrer Festlegung bis auf Weiteres oder bis zum Tag des Widerrufs der Richtlinie.

3. Grundsätze der Datenverarbeitung

Vor Beginn der Verarbeitung personenbezogener Daten ist stets sorgfältig zu prüfen, ob diese tatsächlich erforderlich ist. Die Verarbeitung personenbezogener Daten darf nur begonnen werden, wenn zweifelsfrei begründet werden kann, dass der Zweck der Datenverarbeitung nicht auf andere Weise erreicht werden kann.

Das Unternehmen ist verpflichtet, die personenbezogenen Daten der Betroffenen rechtmäßig, fair und transparent zu verarbeiten. Niemand darf Nachteile erfahren, weil er beim Unternehmen oder bei einer in dieser Richtlinie genannten Behörde ein Verfahren, Rechtsmittel oder eine Meldung eingeleitet hat oder weil er im Falle einer auf Einwilligung basierenden Datenverarbeitung die Einwilligung verweigert oder widerrufen hat.

Die Erhebung personenbezogener Daten der Betroffenen darf nur zu festgelegten, eindeutigen und rechtmäßigen Zwecken erfolgen. Das Unternehmen ist verpflichtet, bereits im Vorfeld jede Datenverarbeitung zu vermeiden bzw. nachträglich zu beenden, die mit dem Zweck der betreffenden personenbezogenen Daten nicht vereinbar ist. Das Unternehmen darf personenbezogene Daten nur im erforderlichen Umfang verarbeiten und ist verpflichtet, alle personenbezogenen Daten zu löschen, deren Verarbeitungszweck entfallen ist oder deren Rechtsgrundlage nicht nachweisbar ist.

Das Unternehmen ist verpflichtet, Kontrollmechanismen einzuführen, die gewährleisten, dass bereits im Vorfeld sowie im Nachhinein überprüft werden kann, dass

1. die personenbezogenen Daten bereits bei der Datenerhebung und während der gesamten Dauer der Verarbeitung den Zwecken der Datenverarbeitung entsprechen, sowie
2. der Umfang der Datenverarbeitung sowohl in Bezug auf den Datenumfang als auch auf die Dauer der Verarbeitung auf das Notwendige beschränkt ist.

Die vom Unternehmen verarbeiteten personenbezogenen Daten müssen genau und aktuell sein. Das Unternehmen ist verpflichtet, alle zumutbaren Maßnahmen zu ergreifen, um sicherzustellen, dass

1. personenbezogene Daten, die für die Zwecke der Datenverarbeitung überflüssig geworden sind, unverzüglich gelöscht werden,
2. unrichtige personenbezogene Daten korrigiert oder gelöscht werden.

Die Speicherung personenbezogener Daten hat in einer Form zu erfolgen, die die Identifizierung der Betroffenen nur für die Dauer ermöglicht, die zur Erreichung der Zwecke der Datenverarbeitung erforderlich ist.

Die Verarbeitung personenbezogener Daten hat so zu erfolgen, dass durch geeignete technische oder organisatorische Maßnahmen die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich aller Maßnahmen, die den Schutz personenbezogener Daten vor unbefugter oder rechtswidriger Verarbeitung, zufälligem Verlust, Zerstörung oder Beschädigung sicherstellen.

4. Rechtmäßigkeit der Datenverarbeitung

Die korrekte Bestimmung der Grundlage der Datenverarbeitung und die Erfüllung der weiteren Voraussetzungen der gewählten Rechtsgrundlage sind Voraussetzung für eine rechtmäßige Datenverarbeitung. Der Grundsatz der Rechtmäßigkeit setzt also eng gefasst das Vorhandensein einer geeigneten Rechtsgrundlage für die Datenverarbeitung voraus, weiter gefasst bedeutet er, dass die Verarbeitung personenbezogener Daten nur in Übereinstimmung mit den für die jeweilige Rechtsgrundlage geltenden gesetzlichen Vorschriften erfolgen darf.

Das Unternehmen kann im Hinblick auf seine Tätigkeit unter den nachfolgenden Hauptrechtsgrundlagen die Verarbeitung personenbezogener Daten der Betroffenen gemäß Art und Umfang der Datenverarbeitung auswählen. Die in Unterpunkt 1 genannten Hauptrechtsgrundlagen gelten für alle personenbezogenen Daten, mit Ausnahme besonderer Kategorien personenbezogener Daten, während Unterpunkt 2 spezielle Regelungen zu den Rechtsgrundlagen für besondere Kategorien personenbezogener Daten enthält.

4.1 Personenbezogene Daten, ausgenommen besondere Daten

Das Unternehmen kann personenbezogene Daten der Betroffenen – ausgenommen besondere Daten – insbesondere auf Grundlage der folgenden Rechtsgrundlagen verarbeiten:

Einwilligung: Das Unternehmen kann – sofern die Freiwilligkeit der Einwilligung nachweisbar ist – die Einwilligung zur Verarbeitung personenbezogener Daten einholen. Sofern das Unternehmen personenbezogene Daten von Kindern unter 16 Jahren im Zusammenhang mit informationsgesellschaftlichen Diensten verarbeitet, die direkt an Kinder unter 16 Jahren angeboten werden, ist die Datenverarbeitung grundsätzlich nur dann und in dem Umfang rechtmäßig, wenn die Einwilligung durch die Person mit elterlicher Aufsicht über das Kind erteilt oder genehmigt wurde. Der Betroffene erteilt die Einwilligung freiwillig und ist berechtigt, diese jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der zuvor erfolgten Datenverarbeitung.

1. Vertragsvorbereitung oder -erfüllung: Diese Rechtsgrundlage kann angewendet werden, wenn die Verarbeitung personenbezogener Daten erforderlich ist, um einen Vertrag (z. B. zur Erbringung einer Dienstleistung, Arbeitsvertrag, Studienvertrag) zu erfüllen, bei dem der Betroffene eine Vertragspartei ist, oder wenn die Verarbeitung personenbezogener Daten erforderlich ist, um auf Anfrage des Betroffenen vor Vertragsabschluss Schritte einzuleiten.

2. Erfüllung einer rechtlichen Verpflichtung: Verarbeitung personenbezogener Daten, die aufgrund des Unions- oder nationalen Rechts erforderlich ist.

3. Berechtigtes Interesse: Hierunter fallen Datenverarbeitungen, die erforderlich sind, um die berechtigten Interessen des Unternehmens oder eines Dritten durchzusetzen. Das berechtigte Interesse des Unternehmens oder Dritten wird in der jeweiligen Datenschutzerklärung für den entsprechenden Verarbeitungszweck angegeben.

4. [Weitere, für den jeweiligen Verarbeitungszweck spezifische Rechtsgrundlagen können sein: lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person, Verarbeitung im öffentlichen Interesse oder im Rahmen der Ausübung öffentlicher Gewalt durch das Unternehmen.]

Soweit das Unternehmen Daten vom Betroffenen erhebt und der Betroffene die Daten auf Grundlage der oben genannten Rechtsgrundlagen nicht bereitstellt, kann dies zur Folge haben, dass die Vorbereitung oder Erfüllung eines Vertrags verweigert oder unmöglich wird (z. B. das Zustandekommen eines Arbeitsverhältnisses scheitert). Wenn der Betroffene nur einen Teil der erforderlichen Daten nicht bereitstellt, ist auf Grundlage der nicht vollständig bereitgestellten Daten zu prüfen, ob die Unterlassung der Datenbereitstellung die Durchführung oder Aufrechterhaltung des Vertrags unmöglich macht. Im Falle einer vertraglich begründeten Datenverarbeitung kann das Unternehmen die Folgen der Unmöglichkeit nur dann anwenden, wenn es nachweist, dass ohne die bereitgestellten Daten der Vertrag mit dem Betroffenen nicht erfüllt werden kann.

4.2 Besondere Kategorien personenbezogener Daten

Aufgrund der grundlegenden Rechte und Freiheiten natürlicher Personen stellen besondere Kategorien personenbezogener Daten von Natur aus sensible Daten mit erhöhtem Risiko dar, die besonderen Schutz erfordern. Das Unternehmen kann besondere Daten der Betroffenen – insbesondere Gesundheitsdaten – insbesondere zu folgenden Zwecken bzw. auf Grundlage der folgenden Rechtsgrundlagen verarbeiten:

1. Art. 9 Abs. 2 lit. a DSGVO: Der Betroffene kann – sofern die Freiwilligkeit der Einwilligung nachweisbar ist – der Verarbeitung seiner personenbezogenen Daten zustimmen. Der Betroffene erteilt die Einwilligung freiwillig und ist berechtigt, diese jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der zuvor erfolgten Verarbeitung.

2. Art. 9 Abs. 2 lit. b DSGVO: Das Unternehmen kann Daten verarbeiten, wenn dies aufgrund von EU- oder nationalem Recht oder einer Ermächtigung aus einem Tarifvertrag nach nationalem Recht erforderlich ist, um seinen Verpflichtungen nach arbeits-, sozialversicherungs- und sozialschutzrechtlichen Vorschriften nachzukommen und konkrete Rechte geltend zu machen.

3. Art. 9 Abs. 2 lit. f DSGVO: Diese Rechtsgrundlage ist anwendbar, wenn die Verarbeitung besonderer Daten erforderlich ist, um Rechtsansprüche geltend zu machen, durchzusetzen oder zu verteidigen.

5. Informationspflichten und Maßnahmen des Unternehmens

Das Unternehmen ist verpflichtet, den Betroffenen in prägnanter, transparenter und leicht zugänglicher Form, klar und verständlich bestimmte Informationen zur Verfügung zu stellen und über die ihm zustehenden Rechte zu informieren. Außerdem kann das Unternehmen auf Antrag des Betroffenen unter Einhaltung bestimmter Verfahrensregeln Maßnahmen ergreifen.

5.1 Datenschutzhinweise

Abhängig davon, ob das Unternehmen personenbezogene Daten vom Betroffenen erhebt oder nicht, ist es verpflichtet, dem Betroffenen bestimmte Informationen über die Datenverarbeitung bereitzustellen. Die gemeinsamen und spezifischen Regelungen zu den Datenschutzhinweisen sind in den nachfolgenden Unterkapiteln zusammengefasst.

5.1.1 Gemeinsame Regeln

Aufgrund der Informationspflichten muss das Unternehmen den Betroffenen über Folgendes informieren:

1. Identität und Kontaktdaten des Unternehmens und ggf. seines Vertreters,

2. Zweck der beabsichtigten Verarbeitung personenbezogener Daten sowie die Rechtsgrundlage der Datenverarbeitung,

3. bei Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO: berechtigtes Interesse des Unternehmens oder eines Dritten,

4. gegebenenfalls die Empfänger der personenbezogenen Daten bzw. die Kategorien von Empfängern, falls vorhanden,

5. gegebenenfalls die Tatsache, dass das Unternehmen personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermitteln möchte, sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission oder im Falle einer Übermittlung gemäß Art. 46, 47 oder Art. 49 Abs. 1 Satz 2 DSGVO die Angabe geeigneter Garantien und Hinweise zur Beschaffung einer Kopie oder deren Verfügbarkeit,
6. Speicherdauer der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer,
7. das Recht des Betroffenen, vom Verantwortlichen Zugriff auf seine personenbezogenen Daten zu verlangen, diese berichtigen oder löschen zu lassen oder deren Verarbeitung einzuschränken und der Verarbeitung solcher Daten zu widersprechen, sowie das Recht auf Datenübertragbarkeit,
8. bei auf Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO basierender Verarbeitung: das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung berührt wird,
9. das Recht, Beschwerde bei der Aufsichtsbehörde einzureichen,
10. die Tatsache einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO sowie verständliche Informationen über die dabei verwendete Logik und die Bedeutung sowie die voraussichtlichen Folgen für den Betroffenen.

5.1.2 Bereitzustellende Informationen, wenn die Daten vom Betroffenen erhoben werden

Wenn das Unternehmen personenbezogene Daten vom Betroffenen erhebt, ist es zusätzlich verpflichtet, den Betroffenen darüber zu informieren, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist oder Voraussetzung für den Abschluss eines Vertrags darstellt, ob der Betroffene verpflichtet ist, die Daten bereitzustellen, und welche möglichen Konsequenzen eine Unterlassung der Datenbereitstellung haben kann.

Die Informationen sind zum Zeitpunkt der Erhebung der personenbezogenen Daten bereitzustellen. Liegen dem Betroffenen die Informationen bereits vor, ist eine erneute Mitteilung nicht erforderlich.

5.1.3 Bereitzustellende Informationen, wenn die Daten nicht vom Betroffenen erhoben werden

Wenn das Unternehmen personenbezogene Daten nicht vom Betroffenen erhebt, muss es zusätzlich den Betroffenen über die Kategorien personenbezogener Daten, die Datenquelle und gegebenenfalls darüber informieren, ob die Daten aus öffentlich zugänglichen Quellen stammen.

Das Unternehmen muss die Informationen zu folgenden Zeitpunkten bereitstellen:

1. unter Berücksichtigung der konkreten Umstände der Datenverarbeitung innerhalb einer angemessenen Frist ab Erhebung, spätestens jedoch innerhalb eines Monats,
2. wenn die personenbezogenen Daten zur Kontaktaufnahme mit dem Betroffenen verwendet werden, spätestens bei der ersten Kontaktaufnahme oder
3. wenn die Daten voraussichtlich an andere Empfänger weitergegeben werden, spätestens bei der ersten Weitergabe.

Die Bereitstellung ist nicht erforderlich, wenn:

1. der Betroffene die Informationen bereits besitzt,
2. die Bereitstellung unmöglich oder unverhältnismäßig aufwendig wäre, insbesondere im Hinblick auf Archivierung im öffentlichen Interesse, wissenschaftliche oder historische Forschung oder statistische Zwecke unter Berücksichtigung der Bedingungen und Garantien in Art. 89 Abs. 1 DSGVO, oder wenn die Verpflichtung nach Art. 14 Abs. 1 voraussichtlich unmöglich wäre oder die Ziele der Datenverarbeitung ernsthaft gefährden würde; in diesen Fällen muss der Verantwortliche geeignete Maßnahmen ergreifen – einschließlich der öffentlichen Zugänglichmachung der Informationen – zum Schutz der Rechte, Freiheiten und berechtigten Interessen der Betroffenen,
3. die Datenbeschaffung oder -übermittlung ausdrücklich durch EU- oder nationales Recht vorgeschrieben ist, das geeignete Maßnahmen zum Schutz der berechtigten Interessen des Betroffenen vorsieht, oder
4. die personenbezogenen Daten aufgrund einer beruflichen Verschwiegenheitspflicht gemäß EU- oder nationalem Recht, einschließlich gesetzlicher Geheimhaltungspflichten, vertraulich bleiben müssen.

5.2 Kreis der Personen mit Datenzugriff

Personenbezogene Daten dürfen vom Unternehmen nur von Mitarbeitenden oder von Personen/Organisationen, die auf Grundlage von Auftragsverarbeitungsverträgen tätig sind, eingesehen werden, soweit dies für den jeweiligen Verarbeitungszweck und in dem vom Unternehmen festgelegten Umfang erforderlich ist.

5.3 Rechte der Betroffenen

Der Betroffene kann vom Unternehmen Zugriff auf seine personenbezogenen Daten, Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen und der Verarbeitung seiner personenbezogenen Daten widersprechen. Darüber hinaus stehen dem Betroffenen Recht auf Datenübertragbarkeit, Recht auf Rechtsbehelf sowie das Recht auf Entscheidungen im Einzelfall durch automatisierte Verfahren einschließlich Profiling zu.

Über bestimmte Rechte der Betroffenen ist das Unternehmen im Rahmen der unter Punkt 5.1 genannten Datenschutzhinweise zu informieren.

5.4 Verfahrensregeln

Das Unternehmen ist bei der Erfüllung der oben genannten Informationspflichten und der Umsetzung von Maßnahmen gemäß den dort festgelegten Regelungen zu handeln. Über diese speziellen Regelungen hinaus erfolgt das Vorgehen des Unternehmens unter Einhaltung der nachfolgenden Bestimmungen.

6. Einschränkungen

EU- oder nationales Recht kann durch gesetzgeberische Maßnahmen den Geltungsbereich der in den Artikeln 12–22 und 34 sowie den Rechten und Pflichten gemäß Artikel 5 festgelegten Rechte und Pflichten einschränken, sofern die Einschränkung:

1. den wesentlichen Inhalt der Grundrechte und Freiheiten wahrt, und
2. zur Wahrung eines angemessenen und verhältnismäßigen Schutzes in einer demokratischen Gesellschaft erforderlich ist, insbesondere für:

1. nationale Sicherheit;

2. Verteidigung;

3. öffentliche Sicherheit;

4. Verhütung, Untersuchung, Aufdeckung von Straftaten oder Strafverfolgung, einschließlich Schutz vor Gefahren für die öffentliche Sicherheit und deren Prävention;

5. sonstige wesentliche allgemeine öffentliche Interessen der Union oder eines Mitgliedstaats, insbesondere wirtschaftliche oder finanzielle Interessen einschließlich Währungspolitik, Haushalt, Steuern, öffentliche Gesundheit und soziale Sicherheit;

6. Unabhängigkeit der Justiz und Schutz gerichtlicher Verfahren;

7. Verhinderung, Untersuchung und Aufklärung von Berufsverstößen in reglementierten Berufen sowie Durchführung entsprechender Verfahren;

8. Kontrolle, Untersuchung oder Regulierung im Zusammenhang mit hoheitlichen Aufgaben in den Fällen a)–e);
9. Schutz des Betroffenen oder der Rechte und Freiheiten anderer;

10. Durchsetzung zivilrechtlicher Ansprüche.

Die gesetzgeberischen Maßnahmen enthalten im Einzelnen insbesondere Vorschriften zu:

1. Zwecken oder Kategorien der Datenverarbeitung,
2. Kategorien personenbezogener Daten,
3. Geltungsbereich der eingeführten Einschränkungen,
4. Garantien zur Verhinderung von Missbrauch, unbefugtem Zugriff oder Übermittlung,
5. Bestimmung des Verantwortlichen oder Kategorien von Verantwortlichen,
6. Speicherdauer und anzuwendende Garantien unter Berücksichtigung der Art, Dauer und Zwecke der Verarbeitung,
7. Risiken für die Rechte und Freiheiten der Betroffenen,
8. und das Recht der Betroffenen, über die Einschränkung informiert zu werden, außer wenn dies den Zweck der Einschränkung beeinträchtigen würde.

7. Datenübermittlung

Das Unternehmen kann personenbezogene Daten der Betroffenen zu bestimmten Zwecken – insbesondere zur Erfüllung eines Vertrags mit Dritten oder zur Erfüllung gesetzlicher Verpflichtungen bzw. arbeitgeberlicher Pflichten aus dem Arbeitsverhältnis – übermitteln.

Bei der Datenübermittlung – mit Ausnahme der auf Gesetz beruhenden Übermittlung – übermittelt das Unternehmen personenbezogene Daten der Betroffenen nur an Empfänger, die ihren Sitz innerhalb der Europäischen Union haben oder geeignete Garantien bieten, dass die von ihnen vorgenommene Datenverarbeitung den Anforderungen der DSGVO entspricht.

Wenn das Unternehmen personenbezogene Daten in ein Drittland außerhalb der Europäischen Union oder an eine internationale Organisation übermittelt (oder einem dort ansässigen Verantwortlichen bzw. einer internationalen Organisation zugänglich macht), ist das Unternehmen verpflichtet, sicherzustellen, dass der Empfänger im Drittland oder die internationale Organisation den gleichen Schutz der personenbezogenen Daten der Betroffenen gewährleistet, wie ihn das Unternehmen gemäß Kapitel V der DSGVO bietet.

Eine Übermittlung in ein Drittland oder an eine internationale Organisation, die nach Kapitel V der DSGVO kein angemessenes Schutzniveau gewährleisten kann (z. B. bestimmte Länder in Asien oder Afrika), ist nur ohne ausdrückliche Einwilligung des Betroffenen zulässig, wenn die Übermittlung den Vorgaben von Art. 49 DSGVO entspricht. Andernfalls ist die ausdrückliche Einwilligung des Betroffenen erforderlich.

8. Datenschutzvorfall

Im Falle eines Datenschutzvorfalls hat das Unternehmen die folgenden Regeln einzuhalten und entsprechend zu handeln.

8.1 Meldung an die Aufsichtsbehörde

Das Unternehmen meldet einen Datenschutzvorfall unverzüglich nach Bekanntwerden der Aufsichtsbehörde, spätestens innerhalb von 72 Stunden, soweit dies möglich ist, und mindestens mit folgendem Inhalt:

1. Beschreibung der Art des Datenschutzvorfalls, einschließlich der Kategorien und ungefähren Anzahl der betroffenen Personen sowie der Kategorien und ungefähren Anzahl der betroffenen Daten,
2. Name und Kontaktdaten einer weiteren Ansprechperson für zusätzliche Informationen,
3. wahrscheinliche Folgen des Datenschutzvorfalls,
4. vom Verantwortlichen getroffene oder geplante Maßnahmen zur Behebung des Datenschutzvorfalls, einschließlich möglicher Maßnahmen zur Minderung nachteiliger Folgen.

Sofern es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, können diese ohne unangemessene Verzögerung nachgereicht werden. Erfolgt die Meldung nicht innerhalb von 72 Stunden, sind die Gründe für die Verzögerung beizufügen.

Eine Meldung ist nicht erforderlich, wenn der Datenschutzvorfall voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Wahrscheinlichkeit und Schwere des Risikos sind anhand der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung objektiv zu bewerten. Ein Risiko kann z. B. bestehen, wenn Betroffene aufgrund des Vorfalls diskriminiert werden, Identitätsdiebstahl erleiden, finanziellen Verlust erleiden, in ihrem Ruf geschädigt werden oder sonstige erhebliche wirtschaftliche oder soziale Nachteile erfahren.

8.2 Information der Betroffenen

Wenn ein Betroffener, insbesondere Mitarbeitende des Unternehmens, von einem Datenschutzvorfall Kenntnis erhält, ist er verpflichtet, unverzüglich den Unternehmensvertreter zu informieren.

Immer wenn ein Datenschutzvorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten eines oder mehrerer Betroffener darstellt und das Unternehmen davon Kenntnis erlangt, ist es verpflichtet, die betroffenen Personen unverzüglich zu informieren. Die Information muss klar und verständlich folgende Punkte enthalten:

1. Art des Datenschutzvorfalls,
2. Name und Kontaktdaten einer weiteren Ansprechperson für zusätzliche Informationen,
3. wahrscheinliche Folgen des Datenschutzvorfalls,
4. vom Unternehmen getroffene oder geplante Maßnahmen zur Behebung des Vorfalls, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Folgen.

Eine Information der Betroffenen ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

1. Das Unternehmen hat angemessene technische und organisatorische Schutzmaßnahmen getroffen, die auf die betroffenen Daten angewendet wurden, insbesondere Maßnahmen wie Verschlüsselung, die Daten für unbefugte Personen unlesbar machen,
2. Nach dem Datenschutzvorfall wurden weitere Maßnahmen getroffen, die sicherstellen, dass das zuvor bestehende hohe Risiko für die Rechte und Freiheiten der Betroffenen wahrscheinlich nicht mehr besteht,
3. Die Information würde unverhältnismäßigen Aufwand erfordern. In diesem Fall sind die Betroffenen öffentlich über übliche Informationskanäle oder durch ähnliche Maßnahmen zu informieren, die eine gleichwertige effektive Information der Betroffenen gewährleisten.

Hat das Unternehmen die Betroffenen noch nicht über den Datenschutzvorfall informiert, kann die Aufsichtsbehörde nach Prüfung, ob ein hohes Risiko wahrscheinlich besteht, die Information der Betroffenen anordnen oder feststellen, dass eine der oben genannten Bedingungen erfüllt ist und somit eine Information nicht erforderlich ist.

9. Verzeichnisse der Verarbeitungstätigkeiten

9.1 Verzeichnis der Verarbeitungstätigkeiten

Das Unternehmen und dessen Vertreter sind verpflichtet, über die von ihnen verantworteten Verarbeitungstätigkeiten ein schriftliches Verzeichnis, einschließlich elektronischer Dokumente, zu führen, gemäß Art. 30 DSGVO. Dieses Verzeichnis enthält folgende Angaben:

1. Name und Kontaktdaten des Unternehmens,
2. Zwecke der Verarbeitung,
3. Beschreibung der Kategorien der betroffenen Personen sowie der Kategorien personenbezogener Daten,
4. Kategorien von Empfängern, an die personenbezogene Daten übermittelt werden oder übermittelt werden sollen, einschließlich Empfängern in Drittländern oder internationalen Organisationen,
5. gegebenenfalls Informationen über die Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Identifizierung des Drittlands oder der internationalen Organisation und bei Übermittlungen gemäß Art. 49 Abs. 1 Satz 2 DSGVO die Beschreibung geeigneter Garantien,
6. soweit möglich, vorgesehene Fristen für die Löschung der unterschiedlichen Datenkategorien,
7. soweit möglich, allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

Das Unternehmen und dessen Vertreter haben das Verzeichnis auf Anfrage der Aufsichtsbehörde zugänglich zu machen.

9.2 Verzeichnis von Datenschutzvorfällen

Das Unternehmen führt ein Verzeichnis der Datenschutzvorfälle mit folgenden Informationen:

1. die mit dem Vorfall verbundenen Tatsachen,
2. deren Auswirkungen,
3. die zur Behebung des Vorfalls getroffenen Maßnahmen.

Die Aufsichtsbehörde kann dieses Verzeichnis einsehen und prüfen, ob die Bestimmungen des Art. 33 DSGVO eingehalten werden.

10. Datenschutz-Folgenabschätzung

Für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, ist vom Unternehmen eine Datenschutz-Folgenabschätzung durchzuführen. Die Folgenabschätzung enthält mindestens folgende Angaben:

1. systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich des ggf. vom Verantwortlichen geltend gemachten berechtigten Interesses,
2. Prüfung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf die Zwecke der Verarbeitung,
3. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen,
4. Darstellung der Maßnahmen zur Risikobehandlung, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen, die den Schutz personenbezogener Daten gewährleisten und die Rechte und berechtigten Interessen der Betroffenen und anderer Personen berücksichtigen.

11. Regeln zur Auftragsdatenverarbeitung

11.1 Allgemeine Regeln zur Auftragsdatenverarbeitung

Das Unternehmen zieht im Rahmen der Verarbeitung personenbezogener Daten externe Auftragsverarbeiter für folgende Aufgaben hinzu:

1. Betrieb und Wartung der Website,
2. Erfüllung steuerlicher und buchhalterischer Pflichten,
3. Erbringung bestellter Dienstleistungen.

Die Rechte und Pflichten des Auftragsverarbeiters hinsichtlich der Verarbeitung personenbezogener Daten werden durch Gesetz sowie die spezifischen Regelungen für die Datenverarbeitung durch den Verantwortlichen bestimmt.

Das Unternehmen erklärt, dass der Auftragsverarbeiter nicht befugt ist, eigenständige Entscheidungen über die Datenverarbeitung zu treffen. Der Auftragsverarbeiter verarbeitet die ihm bekannt gewordenen personenbezogenen Daten ausschließlich gemäß den Weisungen des Verantwortlichen, darf keine Daten zu eigenen Zwecken verarbeiten und ist verpflichtet, die Daten gemäß den Vorgaben des Verantwortlichen zu speichern und aufzubewahren.

Die Verantwortung für die Rechtmäßigkeit der Weisungen an den Auftragsverarbeiter liegt beim Unternehmen.

Das Unternehmen hat die Betroffenen über die Identität des Auftragsverarbeiters und den Ort der Datenverarbeitung zu informieren.

Der Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne ausdrückliche Zustimmung des Unternehmens einsetzen.

Die Vereinbarung über die Auftragsdatenverarbeitung muss schriftlich erfolgen. Es darf kein Auftragsverarbeiter beauftragt werden, der ein eigenes geschäftliches Interesse an den zu verarbeitenden personenbezogenen Daten hat.

11.2 Vom Unternehmen ausgeführte Auftragsverarbeitung

Das Unternehmen verpflichtet sich bzw. gewährleistet geeignete Garantien dafür, dass die von ihm als Auftragsverarbeiter durchgeführten Verarbeitungstätigkeiten den in der Verordnung festgelegten Anforderungen entsprechen und dass angemessene technische und organisatorische Maßnahmen zur Wahrung der Rechte der Betroffenen umgesetzt werden.

Als Auftragsverarbeiter informiert das Unternehmen den Verantwortlichen unverzüglich, wenn es der Ansicht ist, dass eine Weisung des Verantwortlichen gegen die Verordnung oder nationale bzw. EU-Datenschutzvorschriften verstößt.

Das Unternehmen verarbeitet die Daten ausschließlich gemäß den Weisungen des Verantwortlichen und unter Einhaltung der Datenschutzbestimmungen und -grundsätze. Es ist verpflichtet, die vertraglichen Pflichten des Verantwortlichen zu beachten.

Das Unternehmen darf die vom Verantwortlichen übermittelten Daten nicht ändern, löschen, kopieren, mit anderen Datenbanken verknüpfen oder für eigene Zwecke nutzen, außer soweit dies für die Auftragsverarbeitung erforderlich ist und ausdrücklich vom Verantwortlichen angewiesen wurde.

Das Unternehmen ist nicht befugt, den Verantwortlichen zu vertreten oder rechtsverbindliche Erklärungen in dessen Namen abzugeben, es sei denn, dies wird durch eine schriftliche Vereinbarung ausdrücklich gestattet.

Das Unternehmen erkennt an, dass der Verantwortliche allein berechtigt ist, den Zweck und die Art der Verarbeitung der bereitgestellten Daten festzulegen.

Als Auftragsverarbeiter ist das Unternehmen verpflichtet, die Sicherheit der Daten zu gewährleisten und alle technischen und organisatorischen Maßnahmen zu ergreifen, um unbefugten Zugriff, unrechtmäßige Veränderung, Übermittlung, Veröffentlichung, Löschung oder Vernichtung der Daten zu verhindern. Es muss zudem Maßnahmen zum Schutz vor versehentlicher Zerstörung, Beschädigung oder Unzugänglichkeit aufgrund technischer Änderungen treffen.

Das Unternehmen verpflichtet sich, die Datensicherheitsbestimmungen dieses Regelwerks bei der Auftragsverarbeitung vollständig einzuhalten.

Der Zugriff auf die Daten wird nur denjenigen Mitarbeitenden gestattet, die ihn zur Durchführung ihrer Verarbeitungstätigkeit benötigen. Diese werden über die Sicherheits- und Geheimhaltungspflichten informiert.

Das Unternehmen verpflichtet sich, mit dem Verantwortlichen zusammenzuarbeiten, um die Einhaltung der gesetzlichen Pflichten zu gewährleisten. Dies umfasst insbesondere die Bearbeitung von Betroffenenanfragen innerhalb der gesetzlichen Fristen.

Das Unternehmen verpflichtet sich, die Daten gemäß den Weisungen des Verantwortlichen zu ändern, zu ergänzen, zu korrigieren, zu sperren oder zu löschen.

Das Unternehmen informiert den Verantwortlichen unverzüglich über alle Vorfälle oder Risiken, die die Datensicherheit betreffen, ergreift die notwendigen Maßnahmen und arbeitet umfassend mit dem Verantwortlichen zusammen.

Es gewährleistet uneingeschränkt, dass der Verantwortliche und dessen Beauftragte bei Prüfungen der Systeme, Verzeichnisse, Daten, Informationen und Verfahren des Unternehmens vollständigen Zugriff erhalten und die Datenverarbeitungsprozesse einsehen können.

12. Geltungsbereich und Überprüfungszyklus

Diese Datenschutzrichtlinie tritt am 1. Dezember 2025 in Kraft und gilt bis auf Widerruf. Mit Inkrafttreten verlieren alle vorherigen internen Richtlinien oder Anweisungen, die die Verarbeitung personenbezogener Daten durch das Unternehmen regeln, ihre Gültigkeit.

Die Datenschutzrichtlinie wird mindestens einmal jährlich überprüft. Bei Bedarf passt das Unternehmen die Richtlinie an gesetzliche Änderungen oder interne organisatorische Änderungen an, stellt die Inkraftsetzung und Bekanntmachung der geänderten Richtlinie sicher und gewährleistet, dass alle betroffenen Personen über die Änderungen informiert werden.

Jeder Vertreter, Organ und Beauftragte des Unternehmens ist verpflichtet, die Bestimmungen der Datenschutzrichtlinie zu kennen und einzuhalten. Ihre Aufgaben sind unter vollständiger Beachtung der Richtlinie auszuführen.

Bei Änderungen der Rechtslage oder sonstiger Änderungen dieser Richtlinie ist der Informationspflichtige verpflichtet, die Änderungen umzusetzen und den Betroffenen die Textänderungen mitzuteilen.

Unternehmensname: Hotel Innovation Ltd.

Adresse: 10–12 Sas Street, 1051 Budapest, Ungarn

Steuernummer: 32385894-2-42

Handelsregisternummer: 01-09-421360

Budapest, 21. Oktober 2025