Datenschutzrichtlinie

Prometric-Datenschutzrichtlinie

Letzte Aktualisierung: September 2023

allgemeine Informationen

Prometric LLC ist eine Gesellschaft mit beschränkter Haftung in Delaware, USA, mit Hauptgeschäftssitz in 1501 South Clinton Street, Baltimore, Maryland 21224 USA (im Folgenden „Unternehmen“, „uns“ oder „wir“). Prometric kann je nach Beziehung zur betroffenen Person als Datenverantwortlicher oder als Datenverarbeiter fungieren.

Diese Datenschutzrichtlinie („Richtlinie“) wurde in Übereinstimmung mit den hier dargelegten Grundsätzen erstellt und umgesetzt, um unsere Praktiken hinsichtlich der Erhebung und Verarbeitung personenbezogener Daten von Testkandidaten, Kunden, Auftragnehmern und Partnern zu beschreiben. Prometric legt besonderen Wert auf die Wahrung der Privatsphäre und personenbezogener Daten und verpflichtet sich zur Einhaltung dieser Richtlinie und im Einklang mit geltendem Recht.

Das Unternehmen verpflichtet sich insbesondere zur Einhaltung aller Datenschutzgesetze dort, wo das Unternehmen tätig ist, einschließlich:

• Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) („DSGVO“);
• Der California Consumer Privacy Act von 2018 („CCPA“), geändert durch den California Privacy Rights Act von 2020 („CPPA“);
• Das Gesetz zum Schutz personenbezogener Daten der Volksrepublik China („PIPL“);
• Weitere relevante Datenschutzbestimmungen dort, wo das Unternehmen tätig ist.

„Anwendbares Recht“ bezieht sich auf das jeweilige Landesdatenschutzgesetz oder die geltende Datenschutzverordnung.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Zuordnung oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.

1. Welche Arten personenbezogener Daten erfassen wir?

Prometric erfasst je nach Ihrer Beziehung zum Unternehmen und dem anwendbaren Recht die folgenden personenbezogenen Daten:

• Kontaktdaten einschließlich Name, Adresse, Telefonnummer, länderspezifische Identifikationsnummer, E-Mail-Adresse, Anmelde- und Passwortinformationen
• Geburtsdatum
• Geschlecht
• Details zur Prüfungsplanung für Kandidaten
• Details zur Testbewertung, einschließlich der ID-Nummer des Testkandidaten, der abgelegten Prüfungen und deren Zeitpunkt, die mit diesen Prüfungen verbundenen Ergebnisse, wie oft eine Prüfung oder ein bestimmter Prüfungsabschnitt abgelegt wurde
• Sozialversicherungsnummern, sofern vom Testsponsor für Kandidaten verlangt (USA)
• Informationen zu Zahlungen und Finanzinstituten
• Wohnsitz und Staatsangehörigkeitsland
• Foto
• Unterschrift
• Videoaufnahmen
• Audioaufnahmen (soweit gesetzlich zulässig und nur in bestimmten Gerichtsbarkeiten)
• Informationen aus Identifikations-, Verifizierungs- oder Berechtigungsdokumenten
• Transaktions- und Beziehungsinformationen, einschließlich Elementen, die Testmuster, Testorte, Testergebnisse und Informationen darüber, wie Prometric-Websites und -Anwendungen genutzt werden, offenbaren.

Darüber hinaus kann Prometric gemäß geltendem Recht besondere Kategorien personenbezogener Daten verarbeiten, darunter:

• Biometrie (Fingerabdruckbilder und -vorlagen, Gesichtsbilder und -vorlagen)
• Gesundheitsinformationen oder medizinische Daten im Zusammenhang mit Anfragen von Testkandidaten nach Testunterkünften
• Rasse oder ethnische Zugehörigkeit, soweit nach geltendem Recht zulässig

2. Wie erfassen wir Ihre personenbezogenen Daten?

In den meisten Fällen erhebt Prometric solche personenbezogenen Daten direkt von der einzelnen betroffenen Person.

In anderen Fällen erhalten wir jedoch möglicherweise Informationen von Testsponsoren oder von Datenlieferanten Dritter, die uns helfen, unsere Kunden besser zu verstehen. Wenn ein Kandidat die Website von Prometric besucht, sich für eine Prüfung anmeldet oder ablegt, unsere Anwendungen nutzt oder mit uns Kontakt aufnimmt, erfassen wir auch Transaktionsinformationen zu Zwecken des Kundendienstes.

Alle von Prometric über unsere mobilen Anwendungen erfassten personenbezogenen Daten werden gemäß den Bestimmungen dieser Richtlinie geschützt und verarbeitet. Wir bieten auch automatische („Push“) Benachrichtigungen nur für diejenigen an, die sich dafür entscheiden, solche Benachrichtigungen von uns zu erhalten. Für die Nutzung einer unserer mobilen Anwendungen ist keine Einzelperson verpflichtet, Prometric Standortinformationen zur Verfügung zu stellen oder Push-Benachrichtigungen zu aktivieren.

Erfassung biometrischer Daten

Das biometrisch aktivierte Check-in-System und die Remote-Proctoring-Plattform von Prometric (bekannt als ProProctor) sind darauf ausgelegt, die Sicherheit und Integrität des Testprozesses auf eine Weise zu verbessern, die die Privatsphäre der Testkandidaten schützt und gleichzeitig die Identität der Testkandidaten bestätigt. Diese Technologien werden zur Identitätsüberprüfung, zur Erkennung und Verhinderung von Betrug und Falschdarstellungen, zur Aufrechterhaltung der Integrität des Testprozesses und zur Verbesserung der Sicherheit von Testzentren und ferngesteuerten Prüfungen eingesetzt.

3. Warum erfassen wir Ihre personenbezogenen Daten?

Im Auftrag unserer Testsponsoren erhebt Prometric Ihre personenbezogenen Daten zu folgenden Zwecken:

• Planen von Testprüfungen
• Identitätsüberprüfung
• Verwaltung von Tests und Zahlungen
• Verwalten von Kundendienstanfragen
• Erkennung und Verhinderung von Betrug und Falschdarstellungen durch nicht autorisierte Kandidaten
• Durchführung von Datenanalysen zur Aufrechterhaltung der Integrität des Testprozesses
• Meldung der Testergebnisse an Kandidaten und Testsponsor
• Durchführung von Marketingaktivitäten gemäß geltendem Recht

Für Lieferanten und andere Dritte erhebt Prometric Ihre personenbezogenen Daten für die folgenden Zwecke:

• Lieferantenmanagement und -verwaltung
• Rechnungsverarbeitung
• Kennen Sie die Sorgfaltspflicht Ihres Lieferanten und andere gesetzliche Anforderungen

4. Was sind die Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten?

Personenbezogene Daten werden grundsätzlich auf Grundlage der folgenden Rechtsgrundlagen erhoben und verarbeitet:

• Ihre Einwilligung zur Erhebung und Verarbeitung besonderer Kategorien personenbezogener Daten.
• Ihre Einwilligung, sofern dies nach geltendem Recht für grenzüberschreitende Datenübermittlungen erforderlich ist.
• Die Erfüllung eines Vertrags, einschließlich der Registrierung und Terminplanung für einen Test, der Durchführung dieses Tests, der Betrugsprävention und der Verarbeitung der Ergebnisse.
• Für legitime Geschäftszwecke wie Rechnungsverarbeitung und Finanzkontoverwaltung, Backup-Zwecke zur Erleichterung der Geschäftskontinuität, Testcenter-Management, Geschäftsplanung, Vertragsmanagement, Verbesserung der Testdienstleistungen für unsere Kunden, Vorschläge zugehöriger Dienstleistungen und Produkte für bestehende Testkandidaten, Website Verwaltung, Erfüllung, Analyse, Sicherheit und Betrugsprävention, Unternehmensführung, Notfallwiederherstellungsplanung, Prüfung und Berichterstattung
• Einhaltung etwaiger gesetzlicher oder behördlicher Verpflichtungen.

5. Offenlegung personenbezogener Daten

Personenbezogene Daten können aus legitimen geschäftlichen Gründen im Zusammenhang mit den bereitgestellten Dienstleistungen oder soweit dies nach geltendem Recht zulässig oder erforderlich ist, an andere verbundene Unternehmen des Unternehmens, Regierungsbehörden oder Dritte weitergegeben werden.

Das Unternehmen kann personenbezogene Daten weitergeben:

• Innerhalb unserer Gruppe, z. B. Tochtergesellschaften
• Mit unseren Tochtergesellschaften und autorisierten Testzentren
• Mit Geschäftspartnern wie Testsponsoren und Dienstleistern, um Anfragen zu erleichtern und unsere Dienstleistungen zu verbessern
• Mit staatlichen Stellen und Behörden, wenn dies erforderlich oder von der Behörde verlangt wird

Biometrische Daten dürfen nur an Dritte weitergegeben werden:

• Für eine Untersuchung im Zusammenhang mit mutmaßlichem Fehlverhalten, ausschließlich zum Zwecke der Untersuchung von Betrug, unbefugtem Testen oder anderem Fehlverhalten von Testkandidaten.
• Im Zusammenhang mit rechtmäßigen Anfragen von Regulierungs-, Justiz- oder Regierungsbehörden, die für die Stellung solcher Anfragen zuständig und/oder befugt sind.

Wir schließen nach geltendem Recht erforderliche Verträge mit unseren Drittanbietern ab, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit dieser Richtlinie und allen anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen verarbeitet werden.

6. Wie speichern wir Ihre personenbezogenen Daten?

Abhängig von der Art Ihrer Beziehung zu Prometric und gemäß geltendem Recht speichern wir Ihre personenbezogenen Daten in unserer sicheren Oracle-Cloud-Infrastruktur mit Servern in Ashburn, Virginia, USA.

Prometric befolgt ein umfassendes Datenverwaltungsprogramm und einen entsprechenden Aufbewahrungsplan, den es zum Zwecke der Aufbewahrung, Speicherung und Vernichtung aller im Rahmen seiner Geschäftstätigkeit erstellten Aufzeichnungen einhält, einschließlich derjenigen, die personenbezogene Daten enthalten. Wir setzen außerdem eine Datenverwaltungsstrategie ein, die Daten basierend auf regional gelegenen Datenservern trennt.

Vorbehaltlich des anwendbaren Rechts speichert unser Unternehmen Ihre personenbezogenen Daten für die Dauer der Verarbeitung, für den kürzeren Zeitraum:

• fünf (5) Jahre ab dem Datum der letzten Wartung, Prüfung oder Beurteilung; oder
• der Ablauf des Zwecks, für den die personenbezogenen Daten erhoben wurden; oder
• die Gesetze der anwendbaren Gerichtsbarkeit, in der die personenbezogenen Daten erfasst wurden.

Prometric wird personenbezogene Daten nicht länger aufbewahren, als es für die oben genannten Zwecke erforderlich ist. Allerdings kann Prometric personenbezogene Daten länger aufbewahren, wenn dies zur Einhaltung des geltenden Rechts oder zum Schutz oder zur Ausübung seiner Rechte erforderlich ist.

Speicherung biometrischer Daten

Alle in computergestützten Testzentren erfassten biometrischen Daten werden sicher an das sichere Rechenzentrum von Prometric in der Europäischen Union übertragen und dort sicher gespeichert und gemäß den geltenden Gesetzen des Gerichtsstands, in dem sie erfasst wurden, aufbewahrt. Biometrische Daten werden in Microsoft Azure für einen Zeitraum von dreißig (30) Tagen gespeichert und gesichert.

7. Übermittlung personenbezogener Daten

In einigen Fällen kann die Nutzung Dritter die Übermittlung personenbezogener Daten in andere Länder beinhalten. Unsere Geschäftsprozesse erfordern häufig die Übermittlung personenbezogener Daten zwischen dem Unternehmen und seinen verbundenen Unternehmen auf internationaler Ebene.

Wenn personenbezogene Daten innerhalb der EU/des EWR verarbeitet werden und personenbezogene Daten an Dritte oder in einem Land weitergegeben werden, das nach geltendem Recht nicht über ein ausreichendes Schutzniveau verfügt, stellt das Unternehmen Folgendes sicher:

• Die Umsetzung von Standardvertragsklauseln, die ggf. von der EU-Kommission genehmigt werden;
• Die Einführung geeigneter organisatorischer, technischer und rechtlicher Schutzmaßnahmen, um die genannte Übertragung zu regeln und das erforderliche und angemessene Schutzniveau nach geltendem Recht zu gewährleisten.
• Bei Bedarf werden die Umstände der Übermittlung und die Gesetzgebung des Drittlandes bewertet und bei Bedarf eine Folgenabschätzung für die Datenübertragung durchgeführt, um festzustellen, ob zusätzliche Maßnahmen erforderlich sind.

Für personenbezogene Daten, die nicht innerhalb der EU/des EWR verarbeitet werden, und für den Fall, dass personenbezogene Daten an Dritte weitergegeben werden, die sich außerhalb der Gerichtsbarkeit der betroffenen Person befinden, stellt das Unternehmen sicher, dass die erforderlichen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten getroffen werden, indem es geeignete rechtliche Mechanismen implementiert, einschließlich: ggf. Standardvertragsklauseln und/oder Einholung entsprechender Einwilligungen der betroffenen Personen. Diese Mechanismen können je nach Land und anwendbarem Recht unterschiedlich sein.

8. Welche Rechte haben Sie?

Abhängig von der Gerichtsbarkeit und dem anwendbaren Recht haben Sie möglicherweise die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

• Recht auf Zugang
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Widerspruch gegen die Verarbeitung
• Recht auf Datenübertragbarkeit

• Recht zu entscheiden, wie Ihre personenbezogenen Daten posthum verwendet werden

Die Ausübung dieser Rechte unterliegt den Beschränkungen, die im anwendbaren Recht und den entsprechenden Richtlinien der Aufsichtsbehörden vorgesehen sind.

Um Ihre Rechte auszuüben, kann sich die betroffene Person wie im Abschnitt „So erreichen Sie uns“ beschrieben an das Unternehmen wenden. Wir können einen Identitätsnachweis verlangen, um auf die Anfrage antworten zu können. Wenn wir Ihrer Anfrage nicht nachkommen können (Ablehnung oder Einschränkung), werden wir unsere Entscheidung schriftlich begründen.

Datenschutzrechte in Kalifornien

Gemäß Abschnitt 1798 des kalifornischen Zivilgesetzbuchs können Einwohner Kaliforniens Unternehmen, mit denen sie eine bestehende Geschäftsbeziehung haben, auffordern, bestimmte Informationen über die Weitergabe personenbezogener Daten durch die Unternehmen an Dritte für Direktmarketingzwecke bereitzustellen. Prometric gibt ohne Zustimmung keine personenbezogenen Daten kalifornischer Verbraucher zu Marketingzwecken an Dritte weiter. Wenn Sie ein Testkandidat sind, stellt Prometric Ihre personenbezogenen Daten Ihrem Testsponsor zur Verfügung, der die Informationen gemäß seinen eigenen Datenschutzrichtlinien verwenden kann.

9. Wie schützen wir Ihre personenbezogenen Daten?

Prometric implementiert eine Vielzahl von Sicherheitsmaßnahmen, wie z. B. technische, physische und administrative Schutzmaßnahmen, um alle personenbezogenen Daten vor Sicherheitsvorfällen oder unbefugter Offenlegung und ganz allgemein vor einer Verletzung des Schutzes personenbezogener Daten zu schützen. Diese Sicherheitsmaßnahmen gelten in der Branche als angemessene Sicherheitsstandards und umfassen unter anderem Zugangskontrollen, Passwörter, Verschlüsselung, strenge Löschfristen, Protokollierungsmechanismen und regelmäßige Sicherheitsbewertungen.

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die möglicherweise Auswirkungen auf Ihre personenbezogenen Daten hat, befolgt Prometric seinen Vorfallreaktionsplan und ergreift umgehend geeignete Maßnahmen, um die Risiken für die betroffenen Personen zu mindern. Zu diesen Maßnahmen kann die Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen betroffenen Personen unter Angabe der relevanten Einzelheiten des Vorfalls und der Abhilfemaßnahmen gehören, die nach geltendem Recht (z. B. DSGVO oder PIPL) vorgeschrieben sind.

Das Informationssicherheitsprogramm von Prometric wird mehrmals jährlich von mehreren Drittorganisationen überprüft, um sicherzustellen, dass es die höchsten verfügbaren Maßstäbe für Sicherheit, Datenschutz und Datenschutz erfüllt oder übertrifft. Darüber hinaus sind Mitarbeiter und Auftragnehmer verpflichtet, bekannte oder vermutete Fälle von Missbrauch, Verlust oder unbefugtem Zugriff unverzüglich zu melden.

10. Verarbeitung personenbezogener Daten gemäß dem Gesetz zum Schutz personenbezogener Daten („PIPL“) der Volksrepublik China

Dieser Abschnitt gilt, wenn sich personenbezogene Daten innerhalb der Grenzen der Volksrepublik China (VRC) befinden oder wenn personenbezogene Daten von einem unserer Unternehmen mit Sitz in der VRC verarbeitet werden.

Gemäß Artikel 13 des PIPL können personenbezogene Daten für folgende Zwecke erhoben werden:

• Basierend auf der Einwilligung einer Person;
• Zur Erfüllung von Verträgen, aus berechtigten Geschäftsinteressen;
• Zur Erfüllung gesetzlicher Pflichten und Verantwortlichkeiten oder gesetzlicher Verpflichtungen;
• Um öffentlich zugängliche Daten zu verarbeiten;
• Zur Erfüllung gesetzlicher Anforderungen.

Gemäß den in Artikel 23 des PIPL festgelegten Anforderungen und den in Abschnitt 4 genannten Inhalten erfolgt die Übermittlung und Weitergabe Ihrer personenbezogenen Daten an Dritte nicht ohne (1) Ihre ausdrückliche Einwilligung, sofern zutreffend, oder (2) deren Erfüllung die gesetzlichen Pflichten nach geltendem Recht.

Basierend auf den in dieser Richtlinie vorgeschriebenen Zwecken können personenbezogene Daten zur Verarbeitung in ein Land oder eine Region außerhalb Ihres Wohnsitzes übertragen werden. Zu diesem Zeitpunkt wird das Unternehmen die Sicherheit der personenbezogenen Daten gemäß geltendem Recht schützen, einschließlich, aber nicht beschränkt auf die Implementierung von Zugriffskontrollen, Passwörtern, Verschlüsselungsstandards, strengen Fristen für Aufbewahrungsfristen, Protokollierungsmechanismen und regelmäßigen Sicherheitsbewertungen.

Das Unternehmen wird Sie vor der Übermittlung Ihrer personenbezogenen Daten außerhalb der VR China umfassend über die grenzüberschreitende Datenübermittlung gemäß Artikel 39 des PIPL informieren und Ihre Zustimmung einholen, indem es Sie über Folgendes informiert: den Namen des ausgehenden Empfängers, den Kontakt Informationen, den Zweck der Verarbeitung, die Art der Verarbeitung, die Art der personenbezogenen Daten und erinnern Sie an die Methoden und Verfahren, mit denen Sie Ihre Rechte gemäß der PIPL ausüben können. Hierzu werden wir Sie um Ihre ausdrückliche und gesonderte Einwilligung bitten.

Sofern erforderlich, führt das Unternehmen eine Risikobewertung für die grenzüberschreitende Datenübertragung gemäß geltendem Recht durch, wenn personenbezogene Daten außerhalb der Volksrepublik China übertragen werden.

Unter PIPL werden sensible personenbezogene Daten als personenbezogene Daten definiert, die, sobald sie durchsickern oder illegal verwendet werden, leicht die Würde natürlicher Personen schädigen oder die persönliche oder Eigentumssicherheit erheblich schädigen können, einschließlich Informationen zu biometrischen Merkmalen, religiösen Überzeugungen und einem besonders gekennzeichneten Status , medizinische Gesundheit, Finanzkonten, individuelle Standortverfolgung usw. sowie die personenbezogenen Daten von Minderjährigen unter 14 Jahren.

Im Einklang mit der PIPL und wie in Abschnitt 2 beschrieben unterliegt die Verarbeitung sensibler personenbezogener Daten der gesonderten Einwilligung des Einzelnen und erfolgt für einen bestimmten geschäftsbezogenen Zweck.

Prometric erfasst keine personenbezogenen Daten von Minderjährigen unter 14 Jahren ohne die gesonderte Zustimmung der Eltern oder eines anderen Erziehungsberechtigten. Wir werden personenbezogene Daten über ein Kind nur im gesetzlich zulässigen Umfang gemäß den geltenden Gesetzen und Vorschriften verwenden oder offenlegen, um die Zustimmung der Eltern einzuholen oder ein Kind zu schützen.

Im Falle einer Verletzung des Schutzes personenbezogener Daten übernimmt Prometric die zivilrechtliche Haftung gegenüber der betroffenen Person, wenn dadurch die Rechte an den personenbezogenen Daten der betroffenen Person verletzt werden, unbeschadet der verwaltungsrechtlichen, strafrechtlichen oder sonstigen rechtlichen Haftung, die der Datenverantwortliche gemäß übernimmt die PIPL.

11. Änderungen der Datenschutzrichtlinie

Das Unternehmen muss möglicherweise seine Richtlinien aktualisieren, um neue oder andere Datenschutzpraktiken einzuhalten. Eine aktualisierte Version dieser Richtlinie wird über einen geeigneten Kanal zur Verfügung gestellt und gilt für Daten, die nach dem Datum ihres Inkrafttretens erfasst werden.

12. Wie Sie uns erreichen

Bei Fragen, Kommentaren oder Bedenken zu dieser Richtlinie oder zur Ausübung der nach geltendem Recht zulässigen Datenschutzrechte in Bezug auf personenbezogene Daten wenden Sie sich bitte an unseren Datenschutzbeauftragten unter der folgenden Adresse: joseph.srouji@contractor.prometric.com

Sie können auch eine Anfrage zu Ihren personenbezogenen Daten stellen, indem Sie auf den folgenden Link klicken und alle erforderlichen Felder im Formular ausfüllen: Anfragen zu personenbezogenen Daten

Sie erreichen uns auch per Post unter:

Prometric-Datenschutzprogramm-Manager
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA

Wenn ein Prüfungskandidat nach Ausschöpfung des internen Beschwerdeverfahrens von Prometric mit der Lösung nicht zufrieden ist, kann er oder sie eine Beschwerde beim Better Business Bureau of Greater Maryland („BBB“) einreichen, einem Anbieter alternativer Streitbeilegung mit Sitz in den Vereinigten Staaten.

BBB-Website: http://www.bbb.org/greater-maryland/

BBB-Telefon: 410-347-3990

BBB-Fax: 410-347-3936

Betroffene Personen haben außerdem das Recht, eine Beschwerde direkt bei der zuständigen Aufsichtsbehörde in ihrem jeweiligen Zuständigkeitsbereich einzureichen oder rechtliche Schritte gemäß geltendem Recht einzuleiten.