DATENSCHUTZERKLÄRUNG VON AOC

AOC möchte Ihre Daten optimal schützen. In dieser Datenschutzerklärung können Sie nachlesen, welche personenbezogenen Daten AOC von Ihnen erfasst und wie diese verarbeitet werden. Diese Datenschutzerklärung gilt für personenbezogene Daten, die verarbeitet werden, wenn Sie die AOC-Website besuchen. AOC verwendet die personenbezogenen Daten, die Sie mit uns teilen, um unsere Produkte und Dienstleistungen und Ihre Erfahrung weiter zu verbessern. Diese Datenschutzerklärung soll Ihnen einen klaren Überblick darüber verschaffen, wie AOC die von Ihnen zur Verfügung gestellten personenbezogenen Daten nutzt, welche Rechte und Möglichkeiten zur Verwaltung Ihrer personenbezogenen Daten Sie haben und wie AOC Ihre Daten schützt. Außerdem wird angegeben, welche personenbezogenen Daten AOC von Ihnen sammelt, wenn Sie AOCs Websites oder Online-Shops besuchen oder AOCs (mobile) Apps und Softwareprodukte speichern oder nutzen. Zudem erfahren Sie, wie AOC Ihre personenbezogenen Daten nutzt und mit welchen Dritten diese Daten geteilt werden. In dieser Datenschutzerklärung können Sie auch herausfinden, für welche Zwecke Ihre personenbezogenen Daten von AOC oder den mit AOC verbundenen Unternehmen verwendet werden können.

Änderungen

AOC behält sich das Recht vor, Änderungen der Datenschutzerklärung vorzunehmen, zum Beispiel aufgrund von Gesetzesänderungen. Die neueste Version finden Sie immer auf dieser Seite.

Kontaktinformationen

AOC ist Teil der TPV Technology Group und hat seinen Sitz unter der Adresse: Prins Bernhardplein 200 8, 1097 JB in Amsterdam, Niederlande. Die E-Mail-Adresse für allgemeine Angelegenheiten lautet: info@tpv-tech.com. Für alle Korrespondenz in Bezug auf Datenschutzfragen wenden Sie sich bitte an den Datenschutzbeauftragten von AOC, mit dem Sie wie folgt Kontakt aufnehmen können: per Mail unter privacy@tpv-tech.com oder telefonisch unter +31 020 504 6931.

Diese Datenschutzerklärung wurde am 25. Mai 2018 aktualisiert.

AOC als Datenverantwortlicher

In Bezug auf diese Website agiert AOC als Datenverantwortlicher und bestimmt somit den Zweck und die Mittel für die Verarbeitung personenbezogener Daten, und es gelten die Bestimmungen dieser Datenschutzerklärung. Wenn im Folgenden auf AOC Bezug genommen wird, sind damit auch die Tochtergesellschaften gemeint. Diese Tochtergesellschaften von AOC sind in verschiedenen Ländern der Europäischen Union ansässig und sie sind für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich, wenn Sie die Dienste dieser Firmen in diesen Ländern in Anspruch nehmen.

Einführung und Umfang dieser Datenschutzerklärung

AOC verwendet die personenbezogenen Daten, die Sie mit uns teilen, um seine Produkte und Dienstleistungen zu verbessern und Ihnen

eine optimale Erfahrung bieten zu können. Mit dieser Datenschutzerklärung gibt Ihnen AOC Einblick in die Verwendung und den Schutz Ihrer personenbezogenen Daten und bietet Ihnen die Möglichkeit, Ihre personenbezogenen Daten selbst zu verwalten. Sie erfahren, welche personenbezogenen Daten über Sie erhoben werden, wenn Sie unsere Websites besuchen oder unsere Dienste und Produkte, Apps und Anwendungen nutzen und mit welchen Dritten AOC Ihre personenbezogenen Daten teilt. AOC nutzt Ihre personenbezogenen Daten für die nachfolgend beschriebenen Zwecke.

Über Sie gesammelte personenbezogene Daten

Der Begriff „personenbezogene Daten“, wie er in dieser Datenschutzerklärung verwendet wird, umfasst alle Informationen über eine identifizierte oder identifizierbare natürliche Person, insbesondere mittels eines Identifikators wie eines Namens, einer Identifikationsnummer, Standortdaten, eines Online-Identifikators oder eines oder mehrerer Elemente, die für die physische, physiologische, genetische, psychologische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person charakteristisch sind. AOC sammelt verschiedene Arten von personenbezogenen Daten, einschließlich der folgenden (falls zutreffend):

Automatisch gesammelte Informationen

AOC sammelt personenbezogene Daten auch durch die Nutzung seiner Websites und Apps, zum Beispiel:

 Websites: Daten über Ihren Besuch und Ihr Surfverhalten. Wenn Sie eine der AOC-Websites besuchen, werden Daten von Ihrem Browser an AOCs Server gesendet. Dadurch sammelt AOC personenbezogene Daten wie:

o Ihre IP-Adresse;

o Datum, Uhrzeit und Dauer des Besuchs;

o die Referral-URL (die Site, von der ein Besucher kam);

o die Seiten, die auf unserer Website besucht wurden;

o und Informationen über das Gerät und den Browser (z. B. Browsertyp und -version, Betriebssystem usw.)

o Cookies und ähnliche Techniken: AOC und seine Partner wenden Techniken an, um während Ihres Besuchs und der Nutzung ihrer Websites Daten zu sammeln und zu speichern, zum Beispiel indem Sie einen oder mehrere Cookies oder ähnliche Techniken an Ihr Gerät senden. Auf der Cookie-Seite von AOC finden Sie weitere Informationen zur Verwendung von Cookies und anderen ähnlichen Techniken sowie zu deren Deaktivierung.

o Standortdaten: Wenn Sie einen Dienst auf einem Mobilgerät verwenden, auf dem die Angabe Ihres Standorts aktiviert ist, erhalten Sie von uns vorab die Anfrage zu der Erlaubnis, dass wir Ihre aktuellen Standortdaten erfassen und verarbeiten dürfen, zum Beispiel mit Hilfe von GPS-Signalen, die von einem Mobilgerät gesendet werden. Sie können das Senden Ihres Standorts normalerweise über die Einstellungen Ihres Geräts deaktivieren. Wir informieren Sie immer, wenn wir Standortdaten verwenden.

Informationsquellen

Bei den meisten personenbezogenen Daten, die AOC über Sie sammelt, handelt es sich um Informationen, die Sie freiwillig zur Verfügung gestellt haben, zum Beispiel über unsere Websites, Dienstleistungen oder Produkte usw. Andere Quellen, über die wir Ihre personenbezogenen Daten erhalten, sind:

• andere Teile von AOC; und

• Dritte (wie Kreditratingagenturen, Strafverfolgungsbehörden und Data Smoker usw.), die auch öffentlich zugängliche Quelldaten bereitstellen können.

AOC stellt Ihnen eine Kopie der in diesem Zusammenhang verarbeiteten personenbezogenen Daten zur Verfügung.

Verwendung Ihrer personenbezogenen Daten

Die personenbezogenen Daten, die AOC sammelt, zum Beispiel wenn Sie sich für die Website registrieren, werden zur Identifizierung und Authentifizierung verwendet. AOC erstellt für Sie ein Profil mit den Informationen, die Sie für die Bereitstellung von Produkten oder Dienstleistungen benötigen. Diese können auch mit personenbezogenen Daten kombiniert werden, die von anderen internen und externen Quellen stammen. Diese personenbezogenen Daten können für folgende Zwecke verwendet werden:

1. Verbesserung von Produkten und Dienstleistungen: Ihre personenbezogenen Daten werden verarbeitet, um ein Profil von Ihnen zu erstellen, damit wir verstehen, wie Sie unsere Produkte und Dienstleistungen nutzen, so dass AOC bessere und relevantere Produkte und Dienstleistungen entwickeln und die Website(s) verbessern kann. Die Verarbeitung auf diese Weise ist notwendig, um das berechtigte Interesse von AOC zu erfüllen, Ihnen und anderen Kunden bessere Produkte und Dienstleistungen anbieten zu können.

2. Bereitstellung des Kundendienstes: Bei einem Kontakt mit dem Kundendienst werden personenbezogene Daten verarbeitet, zum Beispiel Ihre Bestelldaten und Ihr Kontaktverlauf, damit wir Ihre Anfrage bearbeiten und die Dienstleistung erbringen können. Eine Rechtmäßigkeit für eine solche Verarbeitung liegt vor, wenn ein Vertrag mit einer Firma von AOC erfüllt werden muss oder wenn wir einer gesetzlichen Verpflichtung nachkommen müssen. Wenn keine Notwendigkeit aus einem dieser Gründe besteht, wird die Verarbeitung aufgrund eines berechtigten Interesses von AOC als notwendig erachtet, um sicherzustellen, dass die bestmögliche Dienstleistung erbracht wird.

3. Marketing: Wenn Sie sich für Newsletter registrieren, die Website nutzen, Online-Produkte oder Dienstleistungen kaufen oder Feedback dazu geben, wird ein Profil von Ihnen erstellt. Diese Art von Verarbeitung ist im berechtigten Interesse von AOC notwendig, um korrekte Dateien über Sie zu erstellen. Ihr Profil wird in Übereinstimmung mit Ihren Präferenzen erstellt, um Ihnen eine gute persönliche Erfahrung zu bieten und um Ihnen personalisierte Werbebotschaften, Newsletter und Umfragen senden zu können. Diese Art der Verwendung Ihrer personenbezogenen Daten für diese Zwecke wird im Folgenden beschrieben.

o Retargeting: AOCs Websites und Apps können Retargeting-Techniken nutzen, um Besuchern, die bereits an den Produkten und/oder Dienstleistungen interessiert waren, Werbung auf Partner-Websites zu zeigen. Wenn Retargeting erfolgt, geschieht dies auf der Grundlage Ihrer ausdrücklichen Zustimmung.

o Werbung: Wir arbeiten mit externen Partnern wie SSPs und DSPs zusammen, die Tracking-Techniken verwenden, um Werbung im Auftrag von AOC im Internet zu platzieren. Diese Partner sammeln personenbezogene Informationen über Ihre Besuche auf Websites oder Apps von AOC und über Ihre Interaktionen, beispielsweise in Bezug auf Werbeanzeigen. Die Partner werden diese Daten nur insoweit erfassen, wie Sie die Erlaubnis zur Platzierung von Cookies zu Marketingzwecken erteilt haben. Beachten Sie dazu auch die Cookie-Richtlinie.

4. Datenqualität, Profiling: Wenn Ihre personenbezogenen Daten aus verschiedenen Quellen stammen, werden diese Daten in bestimmten Fällen zusammengeführt, um Ihr Verständnis Ihrer Produkte und Dienstleistungen zu verbessern (beispielsweise können Daten, die Sie direkt zur Verfügung gestellt haben, mit Daten kombiniert werden,

die automatisch gesammelt werden, wie Metadaten, IP-Adressen, Daten von Surfvorgängen, Informationen, die rechtmäßig von Dritten erhalten werden, und dergleichen). Dies kann genutzt werden, um Ihnen personalisierte Werbebotschaften zu senden oder effektivere Marketingkampagnen zu erstellen. Die Verarbeitung auf diese Weise ist für das berechtigte Interesse von AOC notwendig, um sicherzustellen, dass Sie die am besten geeigneten Angebote von AOCs Produkten erhalten und dass Ihre Erfahrung persönlicher wird. Sie können die Verknüpfung von personenbezogenen Daten mit Informationen von anderen Quellen deaktivieren, indem Sie sich an AOC wenden.

5. Analysen: Ihre personenbezogenen Daten werden für Analysen und Untersuchungen verwendet. Die Verarbeitung auf diese Weise ist für das berechtigte Interesse von AOC erforderlich, um Kunden besser zu verstehen und sicherzustellen, dass die Dienstleistungen den Bedürfnissen von AOCs Kunden entsprechen. Dies betrifft Analysen, in denen

Daten (wie personenbezogene Daten und/oder sensible Daten, die durch die Verwendung einer AOC-App oder eines Browserverlaufs erhalten werden) kombiniert und gespeichert werden, um:

a) mehr über Kunden und deren Vorlieben zu erfahren;

b) Muster und Trends zu identifizieren;

c) Daten, Inhalte und Angebote liefern zu können, die auf die Kundenbedürfnisse zugeschnitten sind;

d) für allgemeine Forschungszwecke und statistische Zwecke genutzt zu werden;

e) neue Produkte und Dienstleistungen zu entwickeln;

f) die Leistung von Produkten und Dienstleistungen zu überwachen und/oder die Nutzung der verwendeten Technologie zu verbessern;

g) personalisierte Marketing-Mitteilungen zu verschicken;

h) Ihnen Online-Werbung zu zeigen

6. Analyse durch AOC selbst: Durch Anonymisierung Ihrer personenbezogenen Daten und Verschmelzung mit anderen personenbezogenen Daten von Kunden, Analyse von Verkäufen, Lieferketten und Finanzen gewinnen wir Erkenntnisse darüber, welche Leistung AOC erbringt und wo Verbesserungen vorgenommen werden können. Diese Art von Verarbeitung personenbezogener Daten ist im berechtigten Interesse von AOC notwendig, um zu messen, welche Leistung AOC erbringt, und um zu ermitteln, wie die Leistung verbessert werden kann.

AOC wird Sie um Erlaubnis bitten, wenn Ihre personenbezogenen Daten für andere als die in dieser Datenschutzerklärung angegebenen Zwecke verwendet werden sollen. AOC wird Ihre personenbezogenen Daten erst für andere

Zwecke nutzen, wenn eine solche Genehmigung erteilt wurde.

Bereitstellung von personenbezogenen Daten?

AOC behandelt Ihre personenbezogenen Daten sorgfältig und vertraulich und teilt sie nicht mit anderen als den unten aufgeführten Personen.

Für Geschäftsbereiche von AOC

Jeder Geschäftsbereich von AOC, mit dem Sie in Kontakt stehen, kann einen begrenzten Teil der von Ihnen bei der Registrierung bereitgestellten personenbezogenen Daten (Name, E-Mail-Adresse, Passwort und Geburtsdatum) für Registrierungs- und Authentifizierungszwecke mit anderen Unternehmenskomponenten von AOC teilen. Diese Art von Verarbeitung ist im berechtigten Interesse von AOC notwendig, um einen Vertrag mit Ihnen zu erfüllen. Jeder Geschäftsbereich kann Informationen aus Ihrem Profil mit anderen Einheiten von AOC oder TPV teilen, wenn

beide Einheiten für Ihre personenbezogenen Daten verantwortlich sind oder wenn die anderen Einheiten als unsere Verarbeiter fungieren. Daher hat jeder Teil der AOC-Gruppe Zugang zu allen Daten, für die er verantwortlich ist, so dass er die Gesetze einhalten kann. Jeder Teil der AOC-Gruppe kann Ihre personenbezogenen Daten sowie anonymisierte und zusammengestellte Daten mit anderen Geschäftsbereichen von AOC teilen (wie der Muttergesellschaft

der Gruppe und/oder gegebenenfalls anderen Teilen von AOC), um Trendanalysen durchzuführen, sofern dies in ihrem berechtigtem Interesse liegt, um ihre Leistung zu analysieren.

Für Dienstleister

Personenbezogene Daten, die Sie bereitstellen, wenn Sie sich bei AOC registrieren (Name, E-Mail-Adresse,

Passwort und Geburtsdatum), darf AOC nur mit Anbietern von Cloud-Diensten teilen, damit Sie sich schnell und überall einloggen können. Ihre personenbezogenen Daten werden gegebenenfalls auch an Dritte weitergegeben, die Ihre personenbezogenen Daten im Auftrag von AOC ausschließlich für die genannten Zwecke und aus den oben genannten Gründen verarbeiten. Dies können Dritte in den Bereichen Hosting, Transport, Zahlungs- und Betrugsmanagement, Kreditratingagenturen und Analyseplattformen sein. Es wurden

mit diesen Dritten strikte Vereinbarungen über die Verarbeitung Ihrer personenbezogenen Daten getroffen, einschließlich der ausschließlichen Verwendung Ihrer personenbezogenen Daten gemäß den Anweisungen von AOC und dem Gesetz.

Für Justiz- oder Aufsichtsbehörden

AOC gibt personenbezogene Daten heraus, wenn dies gesetzlich vorgeschrieben ist oder wenn dies aus folgenden Gründen nötig ist: Umsetzung einer gerichtlichen Entscheidung, zum Schutz Ihrer Interessen, für Untersuchungen durch Strafverfolgungsbehörden oder Aufsichtsbehörden, zum Schutz und

zur Verteidigung von Eigentum und der gesetzlichen Rechte von AOC und der persönlichen Sicherheit der Nutzer von

AOCs Diensten.

Aufbewahrungsfristen

AOC speichert Ihre personenbezogenen Daten 39 Monate nach Ihrem letzten Kontakt mit uns, zum Beispiel dem Datum der Löschung Ihres Kontos, Ihres letzten Einkaufs, der letzten Verwendung einer unserer Apps oder einer anderen Art von Interaktion oder Kontakt, sofern keine längere oder kürzere Lagerzeit gesetzlich vorgeschrieben ist oder dies im Zusammenhang mit Rechtsverfahren erforderlich oder anderweitig für einen bestimmten Zweck gemäß den geltenden Rechtsvorschriften nötig ist.

Im Folgenden finden Sie Beispiele, wie lange AOC Ihre personenbezogenen Daten in Bezug auf einen bestimmten

Zweck speichert:

• Personenbezogene Daten, die bei einem Kauf erhalten werden, werden gemäß den Steuergesetzen aufbewahrt (z.B. 7 Jahre in den Niederlanden);

• Wenn Sie die Löschung Ihrer personenbezogenen Daten beantragen, wird AOC versuchen, Ihre personenbezogenen Daten innerhalb von maximal einem Monat nach dem Anfragedatum zu löschen;

• Personenbezogene Daten zu Angebotsaktionen werden nicht länger als einen Monat nach Ende des Angebots gespeichert.

Datenverarbeitung außerhalb der EU und des EWR

Sofern nicht anders angegeben, werden Ihre personenbezogenen Daten innerhalb der Europäischen

Union gespeichert und verarbeitet. Gelegentlich können Ihre personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums („EWR“) in einem Land verarbeitet werden, das nicht das gleiche Schutzniveau nach europäischem Recht bietet wie das Land, in dem Sie Ihre Produkte und/oder Dienstleistungen normalerweise nutzen. Dies kann beispielsweise der Fall sein, wenn sich ein Datenverarbeiter außerhalb des EWR befindet oder wenn Sub-Datenverarbeiter von außerhalb des EWR verwendet werden, zum Beispiel Anbieter von Cloud-Lösungen. AOC wird in solchen Fällen die notwendigen Schritte unternehmen, um sicherzustellen, dass Ihre personenbezogenen Daten angemessen geschützt sind, zum Beispiel durch die Durchführung von Sicherheitsbewertungen und den Abschluss von Verträgen mit den Empfängern, um sicherzustellen, dass sie dieselben oder vergleichbare technische und organisatorische Maßnahmen ergreifen wie AOC, damit Ihre Daten ausreichend geschützt werden.

Daten von Kindern

AOC verarbeitet als Datenverantwortlicher keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn dies unbeabsichtigt geschieht, werden Schritte unternommen, um diese Daten so schnell wie möglich zu entfernen, es sei denn, das Gesetz schreibt vor, diese Daten aufzubewahren. Wenn bekannt ist, dass ein Kind älter als 16 Jahre ist, aber gemäß dem Gesetz als minderjährig gilt, wird die Erlaubnis des Elternteils/Erziehungsberechtigten angefordert, bevor die personenbezogenen Daten dieses Kindes verwendet werden.

Ihre Rechte

AOC erfüllt die Verpflichtungen der Datenschutz-Grundverordnung vollständig, wobei der Grundsatz der Transparenz oberste Priorität hat. Zu diesem Zweck hat AOC Mittel implementiert, um sicherzustellen, dass Sie alle Rechte im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten ausüben können.

Recht auf Überprüfung, Berichtigung, Entfernung

Wenn Sie Produkte oder Dienstleistungen nutzen oder ein Konto angelegt haben, können Sie Ihre personenbezogenen Daten über diese Websites einsehen, sofern die Funktionalität vorhanden ist. Wenn Ihre personenbezogenen Daten auf der entsprechenden Website nicht verfügbar sind, können Sie kostenlos einen Antrag stellen, um Zugang zu diesen Informationen zu erhalten.

Nach Eingang Ihrer Anfrage und Angaben zur Überprüfung Ihrer Identität erhalten Sie eine Kopie

der von Ihnen gespeicherten personenbezogenen Daten, der Herkunft der Daten, der Zwecke, für die diese personenbezogenen Daten verwendet werden, der Empfänger und der zugrunde liegenden Gesetze. Sie können auch angeben, dass an personenbezogenen Daten bestimmte Änderungen implementiert werden müssen, wenn Sie sie als falsch oder irrelevant qualifizieren. Sie können Ihre personenbezogenen Daten auch sperren, entfernen oder komplett löschen lassen (Recht auf Vergessenwerden). Sie können sich auch schriftlich an uns wenden, um einer bestimmten Verwendung Ihrer personenbezogenen Daten zu widersprechen, deren Nutzung einzuschränken oder zu verlangen, dass Ihre personenbezogenen Daten in einem nutzbaren elektronischen Format zur Verfügung gestellt werden oder

an einen Dritten übertragen werden (Recht auf Datenübertragbarkeit). Alle diese Anträge werden von AOC im Rahmen der gesetzlichen Verpflichtungen erfüllt.

Änderungen an dieser Richtlinie

AOC wird diese Datenschutzerklärung regelmäßig aktualisieren, um sie einfach auffindbar, fehlerfrei und auf dem neuesten Stand zu halten und sicherzustellen, dass ausreichende Informationen über Ihre Rechte verfügbar sind und dass die Art und Weise der Verarbeitung durch AOC dem Gesetz entspricht und weiterhin entsprechen wird. Wenn größere Änderungen an dieser Datenschutzerklärung vorgenommen werden, werden Sie über die Websites informiert, auf denen eine aktualisierte Version der Datenschutzerklärung veröffentlicht wird. AOC möchte mit Ihnen auf eine gute Art kooperieren und bei Beschwerden oder Fragen zum Datenschutz immer eine passende Lösung finden. Wenn Sie der Meinung sind, dass wir Ihnen bei Ihrer Beschwerde oder Frage nicht helfen konnten, haben Sie das Recht, über die Website Ihrer Aufsichtsbehörde eine Beschwerde einzureichen.

TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN Einführung

AOC ist laut Art. 28 DSGVO verpflichtet, die Umsetzung ausreichender technischer und organisatorischer Sicherheitsmaßnahmen zu gewährleisten. AOC muss sicherstellen, dass angemessene technische und organisatorische Sicherheitsmaßnahmen getroffen werden, um Ihre personenbezogenen Daten vor unbefugter oder rechtswidriger Verarbeitung und unbeabsichtigtem Verlust, Zerstörung oder Beschädigung zu schützen.

I. Beschreibung der Maßnahmen, die sicherstellen, dass nur befugtes Personal Zugang zu den

zu verarbeitenden personenbezogenen Daten erhält

AOC nutzt eine Autorisierungsrichtlinie, um festzulegen, wer auf welche Daten zugreifen darf. Auf Basis dieses Systems haben Mitarbeiter keinen Zugriff auf mehr Daten, als es für ihre Arbeit unbedingt erforderlich ist.

II. Beschreibung der Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, versehentlichem Verlust oder Veränderung, unbefugter oder unrechtmäßiger Speicherung, Verarbeitung, Zugriff oder Offenlegung

Organisation von Informationssicherheit und Kommunikationsprozessen

 AOC hat einen Plan zur Informationspolitik erstellt, in dem ein Informationssicherheitskoordinator benannt wurde, der Risiken in Bezug auf die Verarbeitung personenbezogener Daten identifiziert, das Sicherheitsbewusstsein fördert, Einrichtungen prüft und Maßnahmen ergreift, um die Einhaltung der Informationssicherheitspolitik sicherzustellen.

 Vorfälle im Bereich Informationssicherheit werden dokumentiert und zur Optimierung der Informationssicherheitspolitik verwendet.

 AOC hat einen Prozess für die Kommunikation über Vorfälle im Bereich Informationssicherheit eingerichtet

(Verfahren bei Datenschutzverstößen).

Mitarbeiter

• Mit Mitarbeitern werden Vertraulichkeitserklärungen vereinbart und Vereinbarungen zur Informationssicherheit getroffen.

 AOC fördert Schulungen zu mehr Bewusstsein in Bezug auf Informationssicherheit.

 Mitarbeiter haben aufgrund eines Autorisierungssystems keinen Zugriff auf mehr Daten, als für ihre Arbeit unbedingt erforderlich sind.

Physische Sicherheit und Kontinuität von Ressourcen

 Personenbezogene Daten werden nur in einer geschlossenen, physisch sicheren Umgebung mit Schutz vor externen Bedrohungen verarbeitet.

 Personenbezogene Daten werden nur auf Geräten verarbeitet, bei denen Maßnahmen ergriffen wurden, um das Gerät physisch zu sichern und die Kontinuität des Dienstes sicherzustellen.

 Um die Kontinuität des Dienstes zu gewährleisten, werden regelmäßig Sicherungen erstellt. Diese Sicherungen werden vertraulich behandelt und in einer geschlossenen Umgebung gespeichert.

 Die Orte, an denen Daten verarbeitet werden, werden durch Schlösser, Alarmsysteme und Videoüberwachung gesichert und regelmäßig auf Sicherheitsrisiken getestet, gewartet und bewertet. AOC verfügt über Pläne zur Fortsetzung des Geschäftsbetriebs mit Notfallstandorten.

Sicherheit und Pflege von Netzwerken, Servern und Anwendungen

• Die Netzwerkumgebung, in der Daten verarbeitet werden, wird streng geschützt. Die Datenverkehrsströme werden getrennt gehalten und es werden Maßnahmen gegen Missbrauch und Angriffe umgesetzt.

• Die Umgebung, in der personenbezogene Daten verarbeitet werden, wird überwacht.

• Die digitalen Dienste und Produkte, in denen personenbezogene Daten verarbeitet werden, werden auf der Grundlage von Systemplanung, Sicherheitskontrolle und Akzeptanz erstellt. Änderungen an Anwendungen werden auf Schwachstellen getestet, bevor sie in Produktion gehen.

• Auf Systemen werden im Rahmen der Patch-Verwaltung regelmäßig die neuesten (Sicherheits-) Patches installiert.

• Die in Anwendungen verarbeiteten Daten werden nach Risiken klassifiziert.

• Es werden regelmäßig Penetrationstests und Schwachstellenbewertungen durchgeführt.

• Informationen, die nicht mehr verwendet werden, werden entfernt.

• Aus Passwörter wurden kryptografische Maßnahmen angewendet, um diese Daten sicher zu speichern.

• Für Anmeldeprozesse werden verschlüsselte Verbindungen verwendet. Der Austausch personenbezogener Daten an Dritte erfolgt in verschlüsselter Form.

III. Beschreibung der Maßnahmen zur Identifizierung von Schwachstellen in Bezug auf die Verarbeitung von

personenbezogenen Daten in den Systemen

Die Systeme von AOC werden regelmäßig auf Sicherheit überprüft. Außerdem bietet die Sicherheitspolitik von AOC

interne Prozesse zur Identifizierung von Schwachstellen an.

Berichterstattung

Der Verarbeiter aktualisiert diese Informationen ständig und informiert die Benutzer über die AOC-Website über Änderungen der Maßnahmen zum Schutz personenbezogener Daten vor Missbrauch. Sollten Sie Sicherheitsrisiken feststellen, wenden Sie sich bitte an den Helpdesk von AOC.

Informationen über Datenschutzverstöße und/oder Sicherheitsvorfälle

So werden die Systeme auf Datenschutzverstöße überwacht und diese identifiziert:

AOC überwacht seine Dienste rund um die Uhr und hat Maßnahmen ergriffen, um einen unbefugten oder rechtswidrigen Zugriff auf Daten zu verhindern und zu identifizieren. Signale, die einen Datenschutzverstoß anzeigen, werden vom Sicherheitsbeauftragten des AOC bewertet, der analysiert, ob es sich um einen Datenschutzverstoß handeln kann, welcher Art er gegebenenfalls ist und ob es sich um einen Datenschutzverstoß handelt, der seiner Rolle als Verarbeiter oder seiner Rolle als Datenverantwortlicher unterliegt.

So werden Informationen kommuniziert:

Liegt ein Datenschutzverstoß in Bezug auf personenbezogene Daten vor, die AOC als Verarbeiter verarbeitet, wird der Datenverantwortliche von oder im Auftrag von AOC grundsätzlich innerhalb von 24 Stunden nach Entdeckung eines Datenschutzverstoßes per E-Mail informiert. Je nach Situation können Informationen auch von unserer Website und offiziellen Social-Media-Kanälen und/oder offiziellen Distributoren und/oder Handelsagenten mitgeteilt werden.

Wenn ein Datenschutzverstoß in Bezug auf personenbezogene Daten auftritt, die AOC als Datenverantwortlicher verarbeitet, wird innerhalb von 72 Stunden nach Entdeckung eines Datenlecks die niederländische Datenschutzbehörde informiert, und im Falle nachteiliger Folgen für betroffene Personen werden diese ebenfalls informiert, und zwar in der Art und Weise, die das Gesetz vorsieht, damit sie geeignete Maßnahmen ergreifen können.

Für Folgeaktionen oder Fragen können Sie sich telefonisch oder per E-Mail an unseren Helpdesk wenden; die Kontaktdaten finden sie in der Datenschutzerklärung.

AOC teilt die folgenden Informationen mit, wenn ein Datenschutzverstoß erfolgt:

• Die Merkmale des Vorfalls, zum Beispiel Datum und Zeitpunkt der Feststellung, Zusammenfassung des Vorfalls, Merkmale und Natur des Vorfalls (welcher Bereich der Sicherheit ist betroffen, wie ist der Vorfall aufgetreten, bezieht er sich auf das Lesen, Kopieren, Ändern, Löschen/Zerstören und/oder Stehlen von personenbezogenen Daten);

• Die Ursache des Sicherheitsvorfalls;

• Die getroffenen Maßnahmen, um mögliche/weitere Schäden zu verhindern;

• Ermittlung der Beteiligten, die von dem Vorfall betroffen sein könnten, und des Ausmaßes, in dem sie betroffen sein könnten;

• Die Größe von Interessengruppen;

• Die Art der personenbezogenen Daten, die von dem Vorfall betroffen sind (vor allem besondere Daten oder sensible Daten, einschließlich Zugangs- oder Identifizierungsdaten oder Finanzdaten);

In bestimmten Situationen kann AOC eine (Erst-) Benachrichtigung über einen Datenschutzverstoß an die niederländische

Datenschutzbehörde vornehmen.