Prometric Globale Datenschutzrichtlinie

Letzte Aktualisierung: September 2025

Einleitung

Prometric LLC, einschließlich Paragon und seinen anderen globalen Tochtergesellschaften und verbundenen Unternehmen (nachfolgend gemeinsam als „Unternehmen“, „uns“, „unser“ oder „wir“ bezeichnet), kann als Datenverantwortlicher oder als Datenverarbeiter agieren, abhängig von seiner Beziehung zu Ihnen, der betroffenen Person. 

Diese Datenschutzrichtlinie (nachfolgend „Richtlinie“) beschreibt unsere Erfassung und Verarbeitung von personenbezogenen Daten über Prüfungskandidaten, Kunden, Auftragnehmer und Partner (nachfolgend „Betroffene“, „Sie“ oder „Ihr“).  

Das Unternehmen bemüht sich, alle Datenschutzgesetze und -vorschriften einzuhalten, wo das Unternehmen tätig ist, einschließlich, aber nicht beschränkt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) („DSGVO“); das California Consumer Privacy Act von 2018 („CCPA“), geändert durch das California Privacy Rights Act von 2020 („CPPA“); das Gesetz über den Schutz personenbezogener Daten der Volksrepublik China („PIPL“); das Gesetz über den Schutz der Privatsphäre von Kindern im Internet („COPPA“); das Gesetz über die Privatsphäre von Bildungsrechten der Familie („FERPA“); und andere relevante Datenschutzgesetze und -vorschriften weltweit. 

Im Rahmen seiner Zertifizierung hält sich das Unternehmen an den EU-US-Datenschutzrahmen (EU-U.S. DPF), die UK-Erweiterung des EU-U.S. DPF und den Schweizer-US-Datenschutzrahmen (Swiss-U.S. DPF) und die Rechte der betroffenen Personen aus der EU, dem Vereinigten Königreich und der Schweiz. Insofern unterliegt das Unternehmen den Ermittlungs- und Durchsetzungsbefugnissen der US Federal Trade Commission (FTC).

Sofern nicht anders angegeben, gelten die folgenden Definitionen für diese Richtlinie:

„Anwendbares Recht“ bezeichnet das relevante Datenschutzgesetz oder die geltende Vorschrift des jeweiligen Landes, Staates oder Gebiets. 

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

„Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisiert erfolgt, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung.

„Aufsichtsbehörde“ oder „Aufsichtsbehörden“ bezeichnet eine unabhängige öffentliche Behörde, die von einem Regierungsorgan eingerichtet wurde und für die Überwachung und/oder Durchsetzung der Anwendung von Datenschutzgesetzen und -vorschriften in einer bestimmten Gerichtsbarkeit verantwortlich ist.

1. Welche Arten von personenbezogenen Daten erheben wir? 

Das Unternehmen kann die folgenden personenbezogenen Daten erheben, abhängig von Ihrer Beziehung zum Unternehmen, der Art der Prüfung, den erbrachten Dienstleistungen und den Anforderungen des anwendbaren Rechts: 

• Kontaktdaten, einschließlich Name, Adresse, Telefonnummern, länderspezifische Identifikationsnummer, E-Mail-Adresse, Anmelde- und Passwortinformationen
• Geburtsdatum
• Geburtsland
• Geschlecht
• Schuleintrittsdatum (USA)
• Primärsprache
• Haussprache
• Eltern-/Erziehungsberechtigteninformationen
• Kandidatenprüfungs- und Klassenplanungsdetails
• Prüfungsbewertungsdetails, einschließlich ID-Nummer des Prüfungskandidaten, durchgeführte Prüfungen und wann, Ergebnisse in Bezug auf diese Prüfungen, Ergebnisse, wie oft eine Prüfung oder ein bestimmter Abschnitt von Prüfungen abgelegt wurde
• Verhaltensvorfälle
• Interventionen
• Teilnahme
• Bewertungsergebnisse
• Sozialversicherungsnummern, sofern vom Prüfungssponsor für Kandidaten (USA) erforderlich
• Zahlungs- und Finanzinformationsdaten
• Wohnort und Staatsangehörigkeit
• Foto
• Unterschrift
• Videoaufnahmen
• Audioaufnahmen (soweit gesetzlich zulässig und nur in bestimmten Gerichtsbarkeiten)
• Informationen aus Identitäts-, Verifizierungs- oder Berechtigungsdokumenten
• Transaktions- und Beziehungsinformationen, einschließlich Elemente, die die Prüfungsverhalten der Kandidaten, Prüfungsorte, Testergebnisse und Informationen darüber, wie unsere Websites und Anwendungen genutzt werden, offenbaren.

Darüber hinaus kann das Unternehmen besondere Kategorien personenbezogener Daten verarbeiten, wie sie das anwendbare Recht zulässt, die Folgendes umfassen können:

• Biometrie (Fingerabdruck- und Gesichtsbilder)
• Gesundheitsinformationen oder medizinische Daten im Zusammenhang mit den Anfragen von Prüfungskandidaten nach Prüfungsanpassungen
• Rasse oder Ethnie, wie es das anwendbare Recht zulässt

Das Unternehmen wird besondere Kategorien personenbezogener Daten nicht für andere Zwecke verwenden als für den Zweck, für den sie ursprünglich erfasst oder später vom Betroffenen genehmigt wurden, es sei denn, wir haben Ihre ausdrückliche Zustimmung erhalten (Opt-in).

Einige unserer Prüfungen können erfordern, dass der Prüfungsstandortadministrator Kopien Ihrer Ausweisdokumente scannt, Ihre Unterschrift aufzeichnet und Ihr Bild zu Identifikationszwecken aufnimmt, das direkt in der Datenbank des Unternehmens gespeichert wird. 

2. Personenbezogene Daten von Minderjährigen

Das Unternehmen erhebt wissentlich keine personenbezogenen Daten von oder über Minderjährige ohne die Zustimmung der Eltern oder des gesetzlichen Vertreters des Minderjährigen. Das Unternehmen erwartet, dass die Eltern oder der gesetzliche Vertreter des Minderjährigen die Offenlegung personenbezogener Daten ihrer Kinder an das Unternehmen und seine Vertreter überwachen und beaufsichtigen.

Soweit erforderlich unterstützen wir Schulen dabei, ihren Verpflichtungen gemäß FERPA nachzukommen. Das Unternehmen bietet eine eingeschränkte Funktionalität und Benutzererfahrung für Minderjährige an. Nichts in dieser Richtlinie soll die Rechte von Schülern (oder ihrer Eltern oder gesetzlichen Vertreter) in Bezug auf ihre Bildungsunterlagen einschränken. Das Unternehmen verpflichtet sich ausdrücklich, keine personenbezogenen Daten aus Bildungsunterlagen in Verletzung von FERPA offenzulegen, solche Informationen nicht für Verkaufs-, Marketing-, Werbe- oder andere verbotene Zwecke zu verwenden und personenbezogene Daten zu schützen.

Das Unternehmen erhält von Bildungseinrichtungen die minimale Menge an Informationen, die erforderlich ist, um Schülerkonten zu erstellen, was normalerweise eine E-Mail, ein Passwort, Vor- und Nachname sowie einen einzigartigen Klassenraumcode umfasst, der vom Lehrer des Schülers bereitgestellt wird. Über diese Informationen hinaus können Schüler je nach den ihnen zugewiesenen Aktivitäten Antworten einreichen, die vertraulich zwischen Lehrer und Schüler bleiben und nur für die Zwecke der Schule/des Lehrers verwendet werden. Neben den vom Schüler eingegebenen Informationen sammeln wir automatisch Informationen zur Nutzung unseres Dienstes.

Das Unternehmen sammelt keine personenbezogenen Daten über Minderjährige oder Familien zur Verbreitung, zum Teilen oder zum Verkauf, außer wie in dieser Richtlinie beschrieben. Das Profil eines Schülers ist nicht öffentlich zugänglich oder für andere Schüler sichtbar. Lehrer können ihre Klassen, einschließlich Noten oder Ergebnisse, mit anderen Lehrern teilen, mit denen sie innerhalb ihrer Schule unterrichten, um die Zusammenarbeit zu erleichtern.

Elternrechte

Das Unternehmen gibt Eltern und gesetzlichen Vertretern von Minderjährigen, die bei uns registrierte Konten haben, die Möglichkeit, ihre gesetzlichen Rechte gemäß COPPA auszuüben.

Jeder Elternteil, der Kopien der personenbezogenen Daten seiner Kinder, die wir möglicherweise gespeichert haben, haben möchte, kann sich an das Schulpersonal seiner Kinder wenden. Zu jeder Zeit kann die Schule auch die Erlaubnis verweigern, dass wir weitere personenbezogene Daten von ihren Schülern erheben, und kann verlangen, dass wir die personenbezogenen Daten, die wir von ihnen erhoben haben, löschen. 

3. Wie sammeln wir Ihre personenbezogenen Daten? 

In den meisten Fällen sammelt das Unternehmen solche personenbezogenen Daten direkt von der betroffenen Person. 

In anderen Fällen können wir jedoch Informationen von Grund- oder Sekundarschulen, Testanbietern oder von Drittanbietern von Daten erhalten. Wenn eine betroffene Person die Website des Unternehmens besucht, sich registriert oder eine Prüfung ablegt, unsere Anwendungen nutzt oder uns kontaktiert, sammeln wir auch Transaktionsinformationen zu Kundenservicezwecken. 

Alle personenbezogenen Daten, die wir über unsere mobilen Anwendungen sammeln, sind gemäß den Bedingungen dieser Richtlinie geschützt und werden verarbeitet. Wir bieten auch automatische ("Push")-Benachrichtigungen nur für diejenigen an, die sich entschieden haben, solche Benachrichtigungen von uns zu erhalten. Niemand ist verpflichtet, uns Standortinformationen bereitzustellen oder Push-Benachrichtigungen zu aktivieren, um eine unserer mobilfähigen Anwendungen zu nutzen.

Bei der Nutzung unserer Website und je nachdem, wie Sie Ihre Cookie-Einstellungen konfigurieren, können wir automatisch bestimmte Informationen über Ihre Nutzung der Website sammeln, wie z.B. die Daten und Zeiten, zu denen Sie auf die Website zugreifen, die Browser, Betriebssysteme und Geräte, die Sie zum Zugriff auf die Website verwenden, die von Ihnen aufgerufenen Webseiten sowie die verweisenden und ausgehenden Webseiten. Das Unternehmen kann diese Informationen für verschiedene Zwecke verwenden, einschließlich zur Verwaltung und Verbesserung der Websites des Unternehmens sowie zur Verbesserung unserer Produkte und Dienstleistungen. 

Soweit durch geltendes Recht zulässig, können wir auch Informationen verwenden, um Ihren allgemeinen Standort zu identifizieren, um Ihnen Dienstleistungen oder relevante Marketing- und kontextbezogene Werbung bereitzustellen. Das Unternehmen sammelt auch Internet Protocol (IP)-Adressen und eindeutige Gerätekennungen, um wiederkehrende Besucher unserer Website zu erkennen und die Nutzung unseres Dienstes durch Sie zu erleichtern.

Bestimmte Nutzer der Website des Unternehmens entscheiden sich dafür, mit uns auf eine Weise zu interagieren, die es dem Unternehmen erfordert, personenbezogene Daten zu sammeln, damit wir Ihnen die gewünschten Dienstleistungen bereitstellen können. Die Menge und Art der Informationen, die wir sammeln, hängt von der Art dieser Interaktion ab. 

Es ist wichtig zu beachten, dass die Website des Unternehmens Links zu anderen Websites oder Online-Diensten enthalten kann. Wenn Sie diese Links verwenden, kontaktieren Sie eine andere Website oder einen anderen Dienst. Das Unternehmen hat keine Verantwortung oder Haftung für oder Kontrolle über diese anderen Websites oder Dienste oder deren Sammlung, Verwendung, Offenlegung, Aufbewahrung und Löschung Ihrer personenbezogenen Informationen. Bitte beachten Sie die Datenschutzrichtlinien und Nutzungsbedingungen, die für diese anderen Websites oder Online-Dienste gelten.

Erhebung biometrischer Daten 

Das biometrisch aktivierte Check-In-System und die Fernüberwachungsplattform des Unternehmens (bekannt als ProProctor) sind darauf ausgelegt, die Sicherheit und Integrität des Prüfungsprozesses zu verbessern, indem die Privatsphäre der Prüflinge geschützt und gleichzeitig deren Identität bestätigt wird. Diese Technologien umfassen die Verwendung von Fingerabdruck- und Gesichtserkennung und werden zur Identitätsüberprüfung, zur Erkennung und Verhinderung von Betrug und Falschangaben, zur Aufrechterhaltung der Integrität des Prüfungsprozesses sowie zur Verbesserung der Sicherheit von Prüfungszentren und fernüberwachten Prüfungen eingesetzt.

4. Warum sammeln wir Ihre personenbezogenen Daten?

Im Auftrag unserer Testanbieter sammelt das Unternehmen Ihre personenbezogenen Daten zu folgenden Zwecken: 

• Planung von Prüfungen
• Verifizierung der Identität
• Verwaltung von Konten und Durchführung von Tests und Zahlungen
• Bearbeitung von Kundenservice-Anfragen
• Erkennung und Verhinderung von Betrug und Falschangaben durch unautorisierte Kandidaten
• Durchführung von Datenanalysen zur Aufrechterhaltung der Integrität des Prüfungsprozesses
• Berichterstattung von Testergebnissen an Kandidaten und Testanbieter
• Durchführung von Marketingaktivitäten (z.B. Ankündigungen, neue Tests, neue Prüfungszentren, Aktionen, bevorstehende Veranstaltungen, neue Produkte, besondere Merkmale und Eröffnungen von Geschäften), vorbehaltlich des geltenden Rechts
• Schutz und Durchsetzung der rechtlichen Rechte, Interessen und Rechtsmittel des Unternehmens sowie zum Schutz des Geschäfts, der Betriebe oder der Kunden des Unternehmens oder anderer Personen, einschließlich zur Durchsetzung der Nutzungsbedingungen, der Bedingungen für Dienstleistungen und anderer Vereinbarungen, die den Zugang zu oder die Nutzung der Produkte und Dienstleistungen des Unternehmens regeln
• Analyse des Besucherverhaltens mithilfe von Webanalytik-Tools (z.B. Google Analytics 4)
• Bewertung und Verbesserung der Leistung von digitalen Werbekampagnen über Plattformen hinweg
• Schulung und Test unserer KI-gestützten Technologie, vorbehaltlich des geltenden Rechts.

Für Anbieter und andere Dritte sammeln wir Ihre personenbezogenen Daten zu folgenden Zwecken:

• Anbieterverwaltung und -administration
• Rechnungsbearbeitung
• Due Diligence zur Kenntnis der Anbieter und andere rechtliche Anforderungen

Wir geben personenbezogene Daten nur an die Mitarbeiter, Auftragnehmer und Subunternehmer des Unternehmens weiter, die: (i) auf diese Informationen zugreifen müssen, um sie in unserem Auftrag zu verarbeiten oder um Dienstleistungen bereitzustellen, die auf der Website des Unternehmens und über unsere mobilen Anwendungen verfügbar sind; und (ii) sich verpflichten, diese Informationen nicht an Dritte weiterzugeben. Das Unternehmen vermietet, verkauft oder tauscht keine personenbezogenen Daten mit Dritten.

Wenn personenbezogene Daten, die von dieser Richtlinie abgedeckt sind, für einen neuen Zweck verwendet werden sollen, der wesentlich von dem abweicht, für den die personenbezogenen Daten ursprünglich gesammelt oder später autorisiert wurden, oder an einen Dritten auf eine Weise offengelegt werden sollen, die in dieser Richtlinie nicht angegeben ist, bieten wir Ihnen die Möglichkeit, zu wählen, ob Ihre personenbezogenen Daten so verwendet oder offengelegt werden sollen. Anfragen zur Ablehnung solcher Verwendungen oder Offenlegungen von personenbezogenen Daten sollten an das Unternehmen gesendet werden, wie im Abschnitt "Wie Sie uns kontaktieren können" unten angegeben.

5. Was sind die rechtlichen Grundlagen für die Verarbeitung Ihrer personenbezogenen Daten? 

Personenbezogene Daten werden generell auf der Grundlage der folgenden rechtlichen Grundlagen gesammelt und verarbeitet:

• Die Erfüllung eines Vertrags, der die Registrierung und Planung eines Tests, die Durchführung dieses Tests, die Betrugsprävention und die Verarbeitung der Testergebnisse umfasst.
• Ihre Einwilligung zur Erhebung und Verarbeitung besonderer Kategorien personenbezogener Daten.
• Ihre Einwilligung, falls durch das geltende Recht für grenzüberschreitende Datenübertragungen erforderlich.
• Für legitime Geschäftsziele wie Rechnungsbearbeitung und Verwaltung finanzieller Konten, Backup-Zwecke zur Sicherstellung der Geschäftskontinuität, Verwaltung von Prüfungszentren, Geschäftsplanung, Vertragsmanagement, Verbesserung der Prüfungsleistungen, die unseren Kunden angeboten werden, Vorschläge zu verwandten Dienstleistungen und Produkten für bestehende Prüfungskandidaten, Website-Verwaltung, Erfüllung, Analytik, Sicherheit und Betrugsprävention, Unternehmensführung, Katastrophenwiederherstellungsplanung, Audits und Berichterstattung sowie Schulung und Verbesserung unserer KI-Technologie, wie durch geltendes Recht erlaubt.
• Einhaltung aller rechtlichen oder regulatorischen Verpflichtungen.

6. Offenlegung personenbezogener Daten 

Dritte, die möglicherweise Ihre personenbezogenen Daten verarbeiten, sind andere Tochtergesellschaften des Unternehmens, autorisierte Prüfungszentren, Testanbieter und unsere Dienstleister, die als Auftragsverarbeiter für das Unternehmen agieren und die folgenden Dienstleistungen bereitstellen: Datenhosting, Prüfungsverwaltungsdienste, Anwendungen für die Produktivität im Geschäft, Kundenservice-Support und Software für das Kundenbeziehungsmanagement. 

Regierungsbehörden können auf personenbezogene Daten im Rahmen rechtmäßiger Anfragen zugreifen, einschließlich zur Erfüllung von Anforderungen an die nationale Sicherheit oder Strafverfolgung.

Soweit durch geltendes Recht zulässig, nutzt das Unternehmen Analytik- und Werbeplattformen für Websites, um das Nutzerverhalten auf unserer Website zu verstehen und relevante Werbung zu liefern. Diese Plattformen können Cookies, Pixel oder ähnliche Technologien verwenden, um Daten über Ihre Interaktionen mit unseren Websites zu sammeln. Diese Informationen werden verwendet, um uns zu helfen, die Effektivität unserer Kampagnen zu messen, Werbeinhalte zu personalisieren und das Gesamterlebnis der Nutzer zu verbessern. Der Umfang der Nutzung solcher Tools hängt davon ab, wie Sie entscheiden, die Cookie-Einstellungen in Ihrem Browser zu konfigurieren, und Sie können jederzeit der personalisierten Werbung widersprechen, indem Sie Ihre Cookie-Präferenzen verwalten.

Biometrische Daten dürfen nur an einen Dritten offengelegt werden: 

• Für eine Untersuchung im Zusammenhang mit angeblichem Fehlverhalten ausschließlich zum Zweck einer Untersuchung von Betrug, unzulässigen Tests oder anderem Fehlverhalten von Testkandidaten.
• In Bezug auf rechtmäßige Anfragen von Regulierungs-, Rechts- oder Regierungsbehörden mit Zuständigkeit und/oder Befugnis, solche Anfragen zu stellen.

Wir schließen Verträge mit unseren Dienstleistern von Drittanbietern ab, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit dieser Richtlinie und allen anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen verarbeitet werden, wie es das anwendbare Recht verlangt.

Wenn Sie eine betroffene Person aus der EU, dem Vereinigten Königreich oder der Schweiz sind, bei der wir Ihre personenbezogenen Daten an Drittanbieter von Dienstleistungen gemäß oben angegebenen Informationen übermitteln, die Dienstleistungen für uns oder in unserem Namen erbringen, ist das Unternehmen für die Verarbeitung dieser Daten durch sie verantwortlich und bleibt haftbar, wenn sie Ihre personenbezogenen Daten in einer Weise verarbeiten, die nicht mit den unten genannten DPF-Prinzipien übereinstimmt, es sei denn, wir beweisen, dass wir nicht für das Ereignis verantwortlich sind, das den Schaden verursacht hat.

7. Wie lange speichern wir Ihre personenbezogenen Daten?

Das Unternehmen hat ein umfassendes Programm zur Dokumentenverwaltung und einen entsprechenden Aufbewahrungsplan angenommen, an den es sich für die Aufbewahrung, Lagerung und Vernichtung aller im Rahmen seiner Geschäftstätigkeit erstellten Aufzeichnungen, einschließlich derjenigen, die personenbezogene Daten enthalten, hält. Wir setzen auch eine Datenmanagementstrategie ein, die Daten basierend auf regionalen Datenservern trennt.

Vorbehaltlich der spezifischen vertraglichen Anforderungen des Kunden und des anwendbaren Rechts wird unser Unternehmen Ihre personenbezogenen Daten für die Dauer der Verarbeitung aufbewahren, für den kürzeren Zeitraum von:

• fünf (5) Jahren ab dem Datum der letzten Dienstleistung, Prüfung oder Bewertung; oder
• dem Ablauf des Zwecks, zu dem die personenbezogenen Daten erhoben wurden; oder
• den Gesetzen der zuständigen Gerichtsbarkeit, in der die personenbezogenen Daten erhoben wurden.

Das Unternehmen wird personenbezogene Daten nicht länger aufbewahren, als für die oben genannten Zwecke erforderlich. Wir können jedoch personenbezogene Daten länger aufbewahren, wenn dies zur Erfüllung spezifischer vertraglicher Anforderungen des Kunden und des anwendbaren Rechts erforderlich ist oder wenn es notwendig ist, um unsere Rechte zu schützen oder auszuüben.

Im Falle von Testergebnissen im Zusammenhang mit Immigration, Flüchtlingen und Staatsbürgerschaft Kanada bewahren wir Ihre personenbezogenen Daten für den Mindestaufbewahrungszeitraum (derzeit zehn (10) Jahre) auf, wie von Immigration, Flüchtlingen und Staatsbürgerschaft Kanada gefordert. Im Falle von Testergebnissen im Zusammenhang mit australischen Visa bewahren wir Ihre personenbezogenen Daten für den Mindestaufbewahrungszeitraum (derzeit sieben (7) Jahre) auf, wie von der Commonwealth-Regierung Australiens gefordert.

Speicherung biometrischer Daten

Alle biometrischen Daten, die in computerbasierten Testzentren gesammelt werden, werden sicher übertragen und sicher in dem sicheren Datenzentrum des Unternehmens in der Europäischen Union gespeichert und gemäß dem anwendbaren Recht in der Gerichtsbarkeit, in der sie gesammelt wurden, aufbewahrt. Biometrische Daten werden für einen Zeitraum von dreißig (30) Tagen in Microsoft Azure gespeichert und gesichert.

8. Grenzüberschreitende Übertragungen personenbezogener Daten

Unsere Geschäftsprozesse erfordern oft die Übertragung personenbezogener Daten zwischen dem Unternehmen und seinen verbundenen Unternehmen international. Je nach Art Ihrer Beziehung zum Unternehmen und gemäß dem anwendbaren Recht werden Ihre personenbezogenen Daten auf sicheren Servern in den Vereinigten Staaten gespeichert. Je nach Art Ihrer Prüfung und Ihrem Teststandort können das Unternehmen und seine Dienstleister personenbezogene Daten an Einrichtungen in anderen Ländern als den USA verarbeiten, zu denen Kanada, Mexiko, Indien und andere Länder in der Europäischen Union oder Asien gehören können.

Wenn personenbezogene Daten an Dritte oder an ein Land offengelegt werden, das nicht als ein Land mit einem ausreichenden Schutzniveau gemäß dem anwendbaren Recht angesehen wird, wird das Unternehmen Folgendes sicherstellen:

• Die Implementierung von Standardvertragsklauseln, die von der zuständigen Aufsichtsbehörde genehmigt wurden;
• Die Annahme geeigneter organisatorischer, technischer und rechtlicher Schutzmaßnahmen zur Regelung der grenzüberschreitenden Datenübertragung und zur Gewährleistung des notwendigen und angemessenen Schutzniveaus gemäß dem anwendbaren Recht.
• Falls erforderlich, die Umstände der Übertragung und die Gesetzgebung des Drittlandes zu bewerten und, falls erforderlich, eine Datenschutz-Folgenabschätzung durchzuführen, um zu bestimmen, ob zusätzliche Maßnahmen erforderlich sind.

In Bezug auf grenzüberschreitende Datenübertragungen in die Vereinigten Staaten erfüllt das Unternehmen die EU-US DPF, die UK-Erweiterung zur EU-US DPF und die Schweiz-US DPF, wie vom US-Handelsministerium festgelegt.

Das Unternehmen hat dem US-Handelsministerium bescheinigt, dass es die Prinzipien des EU-US-Datenrahmenwerks (EU-US DPF Prinzipien) in Bezug auf die Verarbeitung personenbezogener Daten, die aus der EU und dem Vereinigten Königreich im Vertrauen auf das EU-US DPF und die UK-Erweiterung zur EU-US DPF empfangen wurden, einhält. Das Unternehmen hat dem US-Handelsministerium bescheinigt, dass es die Prinzipien des Schweiz-US-Datenrahmenwerks (Schweiz-US DPF Prinzipien) in Bezug auf die Verarbeitung personenbezogener Daten, die aus der Schweiz im Vertrauen auf das Schweiz-US DPF empfangen wurden, einhält.

Wenn es einen Konflikt zwischen den Bedingungen dieser Datenschutzerklärung und den Prinzipien des EU-US DPF und/oder den Prinzipien des Schweiz-US DPF gibt, haben die Prinzipien Vorrang. Um mehr über das Datenschutzrahmenprogramm (DPF) zu erfahren und unsere Zertifizierung einzusehen, besuchen Sie bitte https://www.dataprivacyframework.gov/.

9. Was sind Ihre Rechte?

Abhängig von Ihrem Standort und dem anwendbaren Recht haben Sie möglicherweise die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

• Recht auf Zugang
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Widerspruch gegen die Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht zu entscheiden, wie Ihre personenbezogenen Daten posthum verwendet werden

Die Ausübung solcher Rechte unterliegt den Einschränkungen, die durch das anwendbare Recht und die entsprechenden Leitlinien der Aufsichtsbehörden vorgesehen sind.

Um Ihre Rechte auszuüben, kann die betroffene Person das Unternehmen wie im Abschnitt „Wie Sie uns kontaktieren können“ beschrieben kontaktieren. Bitte beachten Sie, dass das Löschen von Aufzeichnungen dazu führen kann, dass wir das betreffende Konto kündigen müssen. Bevor wir Ihre Anfrage abschließen können, kann das Unternehmen zusätzliche Fragen stellen oder andere Schritte unternehmen, um die Identität des Anfragenden zu überprüfen. Wenn wir Ihrer Anfrage nicht nachkommen können (Ablehnung oder Einschränkung), werden wir unsere Entscheidung schriftlich begründen.

Im Einklang mit dem EU-U.S. DPF, der UK-Erweiterung zum EU-U.S. DPF und dem Schweizer-U.S. DPF verpflichtet sich das Unternehmen, Beschwerden im Zusammenhang mit den DPF-Prinzipien über unsere Erhebung und Verwendung Ihrer personenbezogenen Daten zu lösen.

Betroffene Personen aus der EU, dem Vereinigten Königreich und der Schweiz mit Anfragen oder Beschwerden bezüglich unserer Verarbeitung personenbezogener Daten, die im Vertrauen auf das EU-U.S. DPF, die UK-Erweiterung zum EU-U.S. DPF und das Schweizer-U.S. DPF erhalten wurden, sollten zunächst das Unternehmen wie im Abschnitt „Wie Sie uns kontaktieren können und Beschwerdebearbeitung“ beschrieben kontaktieren.

California Privacy Rights

Der California Civil Code Section 1798 erlaubt es kalifornischen Bewohnern, Unternehmen, mit denen sie eine etablierte Geschäftsbeziehung haben, um bestimmte Informationen über die Weitergabe personenbezogener Daten an Dritte zu Marketingzwecken zu bitten. Das Unternehmen gibt keine personenbezogenen Daten von kalifornischen Verbrauchern ohne deren Zustimmung zu Marketingzwecken an Dritte weiter. Wenn Sie ein Testkandidat sind, werden wir Ihre personenbezogenen Daten an Ihren Test-Sponsor weitergeben, der die Informationen gemäß seinen eigenen Datenschutzrichtlinien verwenden kann.

10. Wie schützen wir Ihre personenbezogenen Daten?

Das Unternehmen implementiert eine Vielzahl von Sicherheitsmaßnahmen, wie technische, physische und administrative Schutzmaßnahmen, um alle personenbezogenen Daten vor Sicherheitsvorfällen oder unbefugter Offenlegung und allgemeiner vor einem Datenvorfall zu schützen. Diese Sicherheitsmaßnahmen gelten als angemessene Sicherheitsstandards in der Branche und umfassen unter anderem Zugangskontrollen, Passwörter, Verschlüsselung, strenge Fristen für die Löschung, Protokollierungsmechanismen und regelmäßige Sicherheitsbewertungen.

Im Falle eines Datenvorfalls, der potenziell Ihre personenbezogenen Daten betrifft, folgt das Unternehmen seinem Incident Response Plan und wird umgehend geeignete Maßnahmen ergreifen, um die Risiken für die betroffenen Personen zu mindern. Solche Maßnahmen können die Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen umfassen, während die relevanten Einzelheiten des Vorfalls und der Milderungsmaßnahmen bereitgestellt werden, wie es nach geltendem Recht verlangt werden kann.

Das Informationssicherheitsprogramm des Unternehmens wird mehrmals jährlich von mehreren Drittorganisationen überprüft, um sicherzustellen, dass es die höchsten Standards für Sicherheit sowie Datenschutz und -schutz erfüllt oder übertrifft. Darüber hinaus sind Mitarbeiter und Auftragnehmer verpflichtet, bekannte oder vermutete Fälle von Missbrauch, Verlust oder unbefugtem Zugriff umgehend zu melden.

11. Verarbeitung personenbezogener Daten gemäß dem Gesetz über den Schutz personenbezogener Daten der Volksrepublik China („PIPL“)

Dieser Abschnitt gilt, wenn personenbezogene Daten innerhalb der Grenzen der Volksrepublik China (VR China) liegen oder wenn personenbezogene Daten von einer unserer Tochtergesellschaften in der VR China verarbeitet werden.

Gemäß Artikel 13 der PIPL dürfen personenbezogene Daten zu folgenden Zwecken erhoben werden:

• Basierend auf der Zustimmung des Einzelnen;
• Zur Erfüllung von Verträgen, für legitime Geschäftsinteressen;
• Zur Erfüllung gesetzlicher Pflichten und Verantwortlichkeiten oder gesetzlicher Verpflichtungen;
• Zur Verarbeitung öffentlich verfügbarer Daten;
• Zur Erfüllung rechtlicher Anforderungen.

In Übereinstimmung mit den Anforderungen gemäß Artikel 23 der PIPL und den im Abschnitt 4 genannten Inhalten wird die Übertragung und Weitergabe Ihrer personenbezogenen Daten an Dritte nicht ohne (1) Ihre spezifische Zustimmung, sofern anwendbar, oder (2) zur Erfüllung gesetzlicher Pflichten gemäß geltendem Recht erfolgen.

Basierend auf den in dieser Richtlinie festgelegten Zwecken können personenbezogene Daten zur Verarbeitung in ein Land oder eine Region außerhalb Ihres Wohnsitzes übertragen werden. Zu diesem Zeitpunkt wird das Unternehmen die Sicherheit der personenbezogenen Daten gemäß geltendem Recht schützen, einschließlich, aber nicht beschränkt auf, Implementierung von Zugangskontrollen, Passwörtern, Verschlüsselungsstandards, strengen Fristen für die Aufbewahrungsfristen, Protokollierungsmechanismen und regelmäßigen Sicherheitsbewertungen.

Das Unternehmen wird Sie gemäß Artikel 39 der PIPL vollständig über die grenzüberschreitende Datenübertragung informieren, bevor Ihre personenbezogenen Daten außerhalb der VR China übertragen werden, und Ihre Zustimmung einholen, indem es Ihnen Folgendes mitteilt: den Namen des Empfängers, die Kontaktdaten, den Zweck der Verarbeitung, die Methode der Verarbeitung, die Art der personenbezogenen Daten und Sie an die Methoden und Verfahren erinnern, mit denen Sie Ihre Rechte gemäß der PIPL ausüben können. Wir werden um Ihre ausdrückliche und separate Zustimmung bitten, um dies zu tun.

Sofern erforderlich, wird das Unternehmen eine Risikoanalyse zur grenzüberschreitenden Datenübertragung gemäß geltendem Recht durchführen, wenn personenbezogene Daten außerhalb der VR China übertragen werden.

Nach der PIPL wird sensible personenbezogene Daten als personenbezogene Daten definiert, die, wenn sie geleakt oder illegal verwendet werden, leicht erheblichen Schaden an der Würde natürlicher Personen oder an der persönlichen oder Sachsicherheit verursachen können, einschließlich Informationen über biometrische Merkmale, religiöse Überzeugungen, besonders geschützte Status, medizinische Gesundheit, Finanzkonten, individuelle Standortverfolgung usw., sowie die personenbezogenen Daten von Minderjährigen unter 14 Jahren.

In Übereinstimmung mit der PIPL und wie im Abschnitt 1 und 3 dieser Richtlinie detailliert beschrieben, unterliegt die Verarbeitung sensibler personenbezogener Daten der gesonderten Zustimmung des Einzelnen und erfolgt zu einem spezifischen geschäftsbezogenen Zweck.

Das Unternehmen wird keine personenbezogenen Daten von Minderjährigen unter 14 Jahren ohne die gesonderte Zustimmung des Elternteils oder eines anderen Vormunds erheben. Wir werden personenbezogene Daten über ein Kind nur in dem Umfang verwenden oder offenlegen, der gesetzlich zulässig ist, gemäß geltenden Gesetzen und Vorschriften, um die Zustimmung der Eltern einzuholen oder um ein Kind zu schützen.

Im Falle eines Datenvorfalls trägt das Unternehmen zivilrechtliche Verantwortung gegenüber der betroffenen Person, wenn es die Rechte der betroffenen Person hinsichtlich ihrer personenbezogenen Daten verletzt, unbeschadet der administrativen, strafrechtlichen oder anderen rechtlichen Verantwortlichkeiten, die der Datenverantwortliche gemäß der PIPL zu übernehmen hat.

12. Änderungen der Datenschutzrichtlinie

Das Unternehmen kann diese Richtlinie aktualisieren, um den neuen oder unterschiedlichen Datenschutzpraktiken und Änderungen des geltenden Rechts zu entsprechen. Eine aktualisierte Version dieser Richtlinie wird über einen geeigneten Kanal zur Verfügung gestellt und gilt für Daten, die nach ihrem Inkrafttreten gesammelt werden.

13. Wie Sie uns kontaktieren können und Beschwerdebearbeitung

Für Anfragen, Kommentare oder Bedenken bezüglich dieser Richtlinie oder um die durch das anwendbare Recht erlaubten Datenschutzrechte auszuüben, senden Sie bitte eine Anfrage über unser spezielles Portal unter Anfragen zu personenbezogenen Daten.

Darüber hinaus können Sie unseren Datenschutzbeauftragten unter folgender Adresse kontaktieren: privacy@prometric.com

Sie können uns auch per Post erreichen unter: 

Prometric Privacy Program Manager
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA

In Übereinstimmung mit dem EU-US-Datenschutzschild, der UK-Erweiterung des EU-US-Datenschutzschilds und dem Schweizer-US-Datenschutzschild verpflichtet sich das Unternehmen, mit den Empfehlungen des von den EU-Aufsichtsbehörden, dem UK Information Commissioner’s Office (ICO) und dem Schweizer Bundesbeauftragten für Datenschutz und Informationsfreiheit (FDPIC) eingesetzten Gremiums in Bezug auf ungelöste Beschwerden über unsere Verarbeitung von personenbezogenen Daten, die im Vertrauen auf das EU-US-Datenschutzschild, die UK-Erweiterung des EU-US-Datenschutzschilds und den Schweizer-US-Datenschutzschild erhalten wurden, zusammenzuarbeiten und diese zu befolgen.

Wenn Ihre DPF-Beschwerde nicht über die oben genannten Kanäle gelöst werden kann, können Sie unter bestimmten Bedingungen die verbindliche Schlichtung für einige verbleibende Ansprüche, die nicht durch andere Rechtsbehelfe gelöst wurden, in Anspruch nehmen. 

Sie haben auch das Recht, eine Beschwerde direkt bei der zuständigen Aufsichtsbehörde in Ihrer relevanten Gerichtsbarkeit einzureichen.