Prometric Datenschutzrichtlinie

Letzte Aktualisierung: September 2023

Allgemeine Informationen

Prometric LLC ist eine Gesellschaft mit beschränkter Haftung nach Delaware-Recht, USA, mit dem Hauptsitz in 1501 South Clinton Street, Baltimore, Maryland 21224 USA (im Folgenden „Unternehmen“, „wir“ oder „uns“). Prometric kann je nach Beziehung zur betroffenen Person als Datenverantwortlicher oder als Datenverarbeiter agieren.

Diese Datenschutzrichtlinie („Richtlinie“) wurde erstellt und umgesetzt, um unsere Praktiken in Bezug auf die Erfassung und Verarbeitung von personenbezogenen Daten über Prüfungskandidaten, Kunden, Auftragnehmer und Partner zu beschreiben. Prometric legt besonderen Wert auf den Schutz der Privatsphäre und personenbezogener Daten und verpflichtet sich, diese Richtlinie sowie geltendes Recht einzuhalten.

Insbesondere verpflichtet sich das Unternehmen zur Einhaltung aller Datenschutzgesetze, in denen das Unternehmen tätig ist, einschließlich:

  • Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) („DSGVO“);
  • California Consumer Privacy Act von 2018 („CCPA“), geändert durch das California Privacy Rights Act von 2020 („CPPA“);
  • Das Gesetz zum Schutz personenbezogener Daten der Volksrepublik China („PIPL“);
  • Weitere relevante Datenschutzvorschriften, in denen das Unternehmen tätig ist.

„Geltendes Recht“ bezieht sich auf das relevante Datenschutzrecht des jeweiligen Landes oder auf die geltenden Vorschriften im Zusammenhang mit dem Datenschutz.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

„Verarbeitung“ umfasst jede Operation oder Reihe von Operationen, die an personenbezogenen Daten oder an Mengen personenbezogener Daten durchgeführt werden, unabhängig davon, ob dies automatisiert geschieht, wie etwa Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übertragung, Verbreitung oder sonstige Bereitstellung, Angleichung oder Kombination, Einschränkung, Löschung oder Zerstörung.

1. Welche Arten von personenbezogenen Daten erheben wir?

Prometric erhebt die folgenden personenbezogenen Daten, abhängig von Ihrer Beziehung zum Unternehmen und geltendem Recht:

  • Kontaktdaten einschließlich Name, Adresse, Telefonnummer, länderspezifische Identifikationsnummer, E-Mail-Adresse, Anmelde- und Passwortinformationen
  • Geburtsdatum
  • Geschlecht
  • Details zur Terminplanung des Kandidatentests
  • Details zur Testbewertung, einschließlich Kandidaten-ID-Nummer, abgelegten Prüfungen und deren Zeitpunkt, Punktzahlen zu diesen Prüfungen, wie oft eine Prüfung oder ein bestimmter Abschnitt von Prüfungen abgelegt wurde
  • Sozialversicherungsnummern, wenn dies vom Testanbieter für Kandidaten (USA) erforderlich ist
  • Zahlungs- und Finanzinstitutionsinformationen
  • Wohnsitz und Staatsangehörigkeit
  • Foto
  • Unterschrift
  • Videoaufzeichnungen
  • Audioaufzeichnungen (soweit gesetzlich zulässig und nur in bestimmten Jurisdiktionen)
  • Informationen aus Identifikations-, Verifizierungs- oder Berechtigungsdokumenten
  • Transaktions- und Beziehungsinformationen, einschließlich Elemente, die die Testmuster der Kandidaten, Teststandorte, Testergebnisse und Informationen darüber, wie die Websites und Anwendungen von Prometric genutzt werden, offenbaren.

Darüber hinaus kann Prometric spezielle Kategorien personenbezogener Daten verarbeiten, wie es geltendes Recht erlaubt, die Folgendes umfassen können:

  • Biometrische Daten (Fingerabdruckbilder und -vorlagen, Gesichtsbilder und -vorlagen)
  • Gesundheitsinformationen oder medizinische Daten im Zusammenhang mit den Anfragen von Testkandidaten nach Prüfungsanpassungen
  • Rasse oder Ethnie, wie es geltendes Recht erlaubt

2. Wie erheben wir Ihre personenbezogenen Daten?

In den meisten Fällen erhebt Prometric diese personenbezogenen Daten direkt von der betroffenen Person.

In anderen Fällen können wir jedoch Informationen von Testanbietern oder von Drittanbietern erhalten, um unsere Kunden besser zu verstehen. Wenn ein Kandidat die Website von Prometric besucht, sich registriert oder eine Prüfung ablegt, unsere Anwendungen nutzt oder uns kontaktiert, erheben wir auch Transaktionsinformationen zu Kundendienstzwecken.

Alle personenbezogenen Daten, die von Prometric über unsere mobilen Anwendungen erfasst werden, sind geschützt und werden gemäß den Bedingungen dieser Richtlinie verarbeitet. Wir bieten auch automatische („Push“-)-Benachrichtigungen nur für diejenigen an, die sich dafür entscheiden, solche Benachrichtigungen von uns zu erhalten. Niemand ist verpflichtet, Standortinformationen an Prometric bereitzustellen oder Push-Benachrichtigungen zu aktivieren, um eine unserer mobilfähigen Anwendungen zu nutzen.

Erfassung biometrischer Daten

Das biometrisch aktivierte Check-In-System und die Remote-Proctoring-Plattform von Prometric (bekannt als ProProctor) sind darauf ausgelegt, die Sicherheit und Integrität des Prüfungsprozesses zu verbessern, während die Privatsphäre der Testkandidaten geschützt und die Identität der Testkandidaten bestätigt wird. Diese Technologien werden zu Identitätsverifizierungszwecken verwendet, um Betrug und Falschdarstellung zu erkennen und zu verhindern, die Integrität des Prüfungsprozesses aufrechtzuerhalten und die Sicherheit von Testzentren sowie von remote überwachten Prüfungen zu verbessern.

3. Warum erheben wir Ihre personenbezogenen Daten?

Im Auftrag unserer Testanbieter erhebt Prometric Ihre personenbezogenen Daten zu folgenden Zwecken:

  • Terminplanung von Prüfungen
  • Identitätsprüfung
  • Durchführung von Tests und Zahlungen
  • Verwaltung von Kundenserviceanfragen
  • Erkennung und Verhinderung von Betrug und Falschdarstellung durch unbefugte Kandidaten
  • Durchführung von Datenanalysen zur Aufrechterhaltung der Integrität des Prüfungsprozesses
  • Berichterstattung von Testergebnissen an den Kandidaten und den Testanbieter
  • Durchführung von Marketingaktivitäten, vorbehaltlich des geltenden Rechts

Für Lieferanten und andere Dritte erhebt Prometric Ihre personenbezogenen Daten zu folgenden Zwecken:

  • Lieferantenmanagement und -verwaltung
  • Rechnungsverarbeitung
  • Due-Diligence-Prüfungen über Lieferanten und andere rechtliche Anforderungen

4. Was sind die rechtlichen Grundlagen für die Verarbeitung Ihrer personenbezogenen Daten?

Personenbezogene Daten werden in der Regel gemäß den folgenden rechtlichen Grundlagen erhoben und verarbeitet:

  • Ihre Zustimmung zur Erhebung und Verarbeitung spezieller Kategorien personenbezogener Daten.
  • Ihre Zustimmung, sofern dies gemäß geltendem Recht für grenzüberschreitende Datenübertragungen erforderlich ist.
  • Die Erfüllung eines Vertrags, der die Registrierung und Terminplanung für eine Prüfung, die Durchführung dieser Prüfung, Betrugsprävention und die Verarbeitung der Ergebnisse umfasst.
  • Zu legitimen Geschäftszwecken wie Rechnungsverarbeitung und Finanzkontenmanagement, Backup-Zwecken zur Förderung der Geschäftskontinuität, Testzentrumverwaltung, Geschäftsplanung, Vertragsverwaltung, Verbesserung der Prüfungsdienste, die unseren Kunden bereitgestellt werden, Vorschlag verwandter Dienstleistungen und Produkte für bestehende Testkandidaten, Website-Verwaltung, Erfüllung, Analytik, Sicherheit und Betrugsprävention, Unternehmensführung, Katastrophenwiederherstellungsplanung, Audits und Berichterstattung.
  • Einhaltung von gesetzlichen oder regulatorischen Verpflichtungen.

5. Offenlegung personenbezogener Daten

Personenbezogene Daten können mit anderen Tochtergesellschaften des Unternehmens, Regierungsbehörden oder Dritten aus legitimen geschäftlichen Gründen im Zusammenhang mit den bereitgestellten Dienstleistungen oder wie anderweitig durch geltendes Recht erlaubt oder vorgeschrieben, geteilt werden.

Das Unternehmen kann personenbezogene Daten teilen:

  • Innerhalb unserer Gruppe, wie beispielsweise Tochtergesellschaften
  • Mit unseren Tochtergesellschaften und autorisierten Testzentren
  • Mit Geschäftspartnern wie Testanbietern und Dienstleistern zur Erleichterung von Anfragen und zur Verbesserung unserer Dienstleistungen
  • Mit Regierungsbehörden und öffentlichen Behörden, wenn dies erforderlich oder von der Behörde gefordert ist

Biometrische Daten dürfen nur an Dritte weitergegeben werden:

  • Für eine Untersuchung im Zusammenhang mit mutmaßlichem Fehlverhalten ausschließlich zu Zwecken einer Untersuchung von Betrug, unbefugtem Testen oder anderem Fehlverhalten von Testkandidaten.
  • Im Zusammenhang mit rechtmäßigen Anfragen von Aufsichts-, Rechts- oder Regierungsbehörden mit Zuständigkeit und/oder Befugnis, solche Anfragen zu stellen.

Wir schließen Verträge gemäß geltendem Recht mit unseren Dritten ab, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit dieser Richtlinie und anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen verarbeitet werden.

6. Wie speichern wir Ihre personenbezogenen Daten?

Je nach Art Ihrer Beziehung zu Prometric und gemäß geltendem Recht speichern wir Ihre personenbezogenen Daten in unserer sicheren Oracle-Cloud-Infrastruktur mit Servern in Ashburn, Virginia, Vereinigte Staaten.

Prometric folgt einem umfassenden Programm zur Verwaltung von Aufzeichnungen und einem entsprechenden Aufbewahrungsplan, den wir für die Aufbewahrung, Speicherung und Vernichtung aller im Rahmen unserer Geschäftstätigkeit erstellten Aufzeichnungen, einschließlich solcher, die personenbezogene Daten enthalten, einhalten. Wir setzen auch eine Datenmanagementstrategie um, die Daten basierend auf regionalen Datenservern segregiert.

Vorbehaltlich des geltenden Rechts wird unser Unternehmen Ihre personenbezogenen Daten für die Dauer der Verarbeitung aufbewahren, jedoch für die kürzere Zeitspanne von:

  • fünf (5) Jahren ab dem Datum der letzten Dienstleistung, Prüfung oder Bewertung; oder
  • dem Ablauf des Zwecks, zu dem die personenbezogenen Daten erhoben wurden; oder
  • den Gesetzen der zuständigen Gerichtsbarkeit, in der die personenbezogenen Daten erhoben wurden.

Prometric wird personenbezogene Daten nicht länger aufbewahren, als es für die oben genannten Zwecke notwendig ist. Prometric kann jedoch personenbezogene Daten länger aufbewahren, wenn dies erforderlich ist, um geltendes Recht einzuhalten oder um seine Rechte zu schützen oder auszuüben.

Speicherung biometrischer Daten

Alle in computerbasierten Testzentren gesammelten biometrischen Daten werden sicher übertragen und innerhalb des sicheren Datenzentrums von Prometric in der Europäischen Union sicher gespeichert und gemäß geltendem Recht in der Gerichtsbarkeit, in der sie erhoben wurden, aufbewahrt. Biometrische Daten werden für einen Zeitraum von dreißig (30) Tagen in Microsoft Azure gespeichert und gesichert.

7. Übertragungen personenbezogener Daten

In einigen Fällen kann die Nutzung von Dritten die Übertragung personenbezogener Daten in andere Länder erfordern. Unsere Geschäftsprozesse erfordern häufig die Übertragung personenbezogener Daten zwischen dem Unternehmen und seinen verbundenen Unternehmen auf internationaler Ebene.

Wenn personenbezogene Daten innerhalb der EU/EEA verarbeitet werden und personenbezogene Daten an Dritte oder in ein Land offengelegt werden, das nicht als ausreichend schützend gemäß geltendem Recht angesehen wird, dann wird das Unternehmen sicherstellen:

  • Die Umsetzung von standardmäßigen Vertragsklauseln, die von der EU-Kommission genehmigt werden können;
  • Die Annahme geeigneter organisatorischer, technischer und rechtlicher Sicherheitsvorkehrungen zur Regelung der genannten Übertragung und zur Gewährleistung des erforderlichen und angemessenen Schutzniveaus gemäß geltendem Recht.
  • Wenn erforderlich, wird die Situation der Übertragung und die Gesetzgebung des Drittlandes bewertet, und falls erforderlich, wird eine Risikoabschätzung für die Datenübertragung durchgeführt, um festzustellen, ob zusätzliche Maßnahmen erforderlich sind.

Für personenbezogene Daten, die nicht innerhalb der EU/EEA verarbeitet werden, und im Falle, dass personenbezogene Daten an Dritte außerhalb der Gerichtsbarkeit der betroffenen Person offengelegt werden, wird das Unternehmen sicherstellen, dass notwendige Sicherheitsvorkehrungen getroffen werden, um personenbezogene Daten durch die Implementierung geeigneter rechtlicher Mechanismen zu schützen, einschließlich, falls relevant, standardmäßigen Vertragsklauseln und/oder der Einholung geeigneter Einwilligungen von den betroffenen Personen. Diese Mechanismen können je nach Land und relevantem geltendem Recht variieren.

8. Was sind Ihre Rechte?

Je nach Gerichtsbarkeit und geltendem Recht haben Sie möglicherweise die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

  • Recht auf Zugang
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Widerspruch gegen die Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht zu entscheiden, wie Ihre personenbezogenen Daten posthum verwendet werden

Die Ausübung dieser Rechte unterliegt den Beschränkungen, die durch geltendes Recht und relevante Hinweise von Aufsichtsbehörden vorgesehen sind.

Um Ihre Rechte auszuüben, kann die betroffene Person das Unternehmen kontaktieren, wie im Abschnitt „Wie Sie uns kontaktieren können“ beschrieben. Wir können einen Identitätsnachweis anfordern, um auf die Anfrage zu reagieren. Wenn wir Ihrem Anliegen nicht nachkommen können (Ablehnung oder Einschränkung), werden wir unsere Entscheidung schriftlich begründen.

Kalifornische Datenschutzrechte

Der kalifornische Zivilgesetzbuch Abschnitt 1798 erlaubt kalifornischen Einwohnern, von Unternehmen, mit denen sie eine bestehende Geschäftsbeziehung haben, bestimmte Informationen über die Weitergabe personenbezogener Daten an Dritte zu Marketingzwecken zu verlangen. Prometric gibt keine personenbezogenen Daten kalifornischer Verbraucher ohne deren Zustimmung an Dritte zu Marketingzwecken weiter. Wenn Sie ein Prüfungskandidat sind, wird Prometric Ihre personenbezogenen Daten an Ihren Testanbieter weitergeben, der die Informationen gemäß seinen eigenen Datenschutzrichtlinien nutzen kann.

9. Wie schützen wir Ihre personenbezogenen Daten?

Prometric implementiert eine Vielzahl von Sicherheitsmaßnahmen, wie technische, physische und administrative Sicherheitsvorkehrungen, um alle personenbezogenen Daten vor Sicherheitsvorfällen oder unbefugter Offenlegung und allgemein vor einem Verstoß gegen personenbezogene Daten zu schützen. Diese Sicherheitsmaßnahmen entsprechen den branchenüblichen Standards und umfassen unter anderem Zugangssteuerungen, Passwörter, Verschlüsselung, strenge Zeitlimits für die Löschung, Protokollierungsmechanismen und regelmäßige Sicherheitsbewertungen.

Im Falle eines Verstoßes gegen personenbezogene Daten, der potenziell Ihre personenbezogenen Daten betrifft, folgt Prometric seinem Notfallreaktionsplan und wird umgehend geeignete Maßnahmen ergreifen, um die Risiken für die betroffenen Personen zu mindern. Solche Maßnahmen können die Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen umfassen, während die relevanten Einzelheiten des Vorfalls und der Milderungsmaßnahmen bereitgestellt werden, wie es unter geltendem Recht (d.h. DSGVO oder PIPL) vorgeschrieben sein kann.

Das Informationssicherheitsprogramm von Prometric wird mehrmals jährlich von mehreren Drittorganisationen überprüft, um sicherzustellen, dass es die höchsten verfügbaren Maßstäbe für Sicherheit und Datenschutz erfüllt oder übertrifft. Darüber hinaus sind Mitarbeiter und Auftragnehmer verpflichtet, jede bekannte oder vermutete Missbrauchs-, Verlust- oder unbefugte Zugriffsinstanz umgehend zu melden.

10. Verarbeitung personenbezogener Daten gemäß dem Gesetz zum Schutz personenbezogener Daten der Volksrepublik China („PIPL“)

Dieser Abschnitt gilt, wenn sich personenbezogene Daten innerhalb der Grenzen der Volksrepublik China (VR China) befinden oder wenn personenbezogene Daten von einem unserer in der VR China ansässigen Unternehmen verarbeitet werden.

Gemäß Artikel 13 des PIPL können personenbezogene Daten zu folgenden Zwecken erhoben werden:

  • Basierend auf der Zustimmung des Einzelnen;
  • Zur Erfüllung von Verträgen, für legitime Geschäftsinteressen;
  • Zur Erfüllung gesetzlicher Pflichten und Verantwortung oder gesetzlicher Verpflichtungen;
  • Zur Verarbeitung öffentlich verfügbarer Daten;
  • Zur Erfüllung rechtlicher Anforderungen.

In Übereinstimmung mit den Anforderungen des Artikels 23 des PIPL und den Inhalten, die im Abschnitt 4 erwähnt werden, wird die Übertragung und Weitergabe Ihrer personenbezogenen Daten an Dritte nicht ohne (1) Ihre spezifische Zustimmung, sofern zutreffend, oder (2) zur Erfüllung der gesetzlichen Pflichten gemäß geltendem Recht erfolgen.

Basierend auf den in dieser Richtlinie vorgeschriebenen Zwecken können personenbezogene Daten zur Verarbeitung in ein Land oder eine Region außerhalb Ihres Wohnsitzes übertragen werden. Zu diesem Zeitpunkt wird das Unternehmen die Sicherheit der personenbezogenen Daten gemäß geltendem Recht schützen, einschließlich, aber nicht beschränkt auf die Implementierung von Zugangssteuerungen, Passwörtern, Verschlüsselungsstandards, strengen Zeitlimits für Aufbewahrungsfristen, Protokollierungsmechanismen und regelmäßigen Sicherheitsbewertungen.

Das Unternehmen wird Sie gemäß Artikel 39 des PIPL umfassend über die grenzüberschreitende Datenübertragung informieren, bevor es Ihre personenbezogenen Daten außerhalb der VR China überträgt, und wird Ihre Zustimmung einholen, wobei Sie über Folgendes informiert werden: den Namen des Empfängers im Ausland, die Kontaktdaten, den Zweck der Verarbeitung, die Art der Verarbeitung, die Art der personenbezogenen Daten und daran erinnern, wie Sie Ihre Rechte gemäß dem PIPL ausüben können. Wir werden Ihre ausdrückliche und separate Zustimmung dazu anfordern.

Falls erforderlich, wird das Unternehmen eine Risikoabschätzung für die grenzüberschreitende Datenübertragung gemäß geltendem Recht durchführen, wenn personenbezogene Daten außerhalb der VR China übertragen werden.

Nach PIPL sind sensible personenbezogene Daten solche personenbezogenen Daten, die, wenn sie einmal geleakt oder illegal verwendet werden, leicht Schaden an der Würde natürlicher Personen oder schwerwiegende Schäden an der persönlichen oder Eigentumssicherheit verursachen können, einschließlich Informationen zu biometrischen Merkmalen, religiösen Überzeugungen, besonders ausgewiesenen Status, medizinischer Gesundheit, Finanzkonten, individueller Standortverfolgung usw., sowie personenbezogenen Daten von Minderjährigen unter 14 Jahren.

In Übereinstimmung mit dem PIPL und wie im Abschnitt 2 detailliert dargelegt, unterliegt die Verarbeitung sensibler personenbezogener Daten der separaten Zustimmung des Einzelnen und erfolgt zu einem spezifischen geschäftsbezogenen Zweck.

Prometric wird keine personenbezogenen Daten von Minderjährigen unter 14 Jahren ohne die separate Zustimmung eines Elternteils oder anderen gesetzlichen Vertreters erheben. Wir werden personenbezogene Daten über ein Kind nur in dem gesetzlich zulässigen Umfang verwenden oder offenlegen, gemäß den geltenden Gesetzen und Vorschriften, um die Zustimmung der Eltern einzuholen oder um ein Kind zu schützen.

Im Falle eines Verstoßes gegen personenbezogene Daten haftet Prometric gegenüber der betroffenen Person für zivilrechtliche Ansprüche, wenn sie die Rechte der betroffenen Person an deren personenbezogenen Daten verletzt, unbeschadet der administrativen, strafrechtlichen oder anderen rechtlichen Ansprüche, die der Datenverantwortliche gemäß dem PIPL zu tragen hat.

11. Änderungen der Datenschutzrichtlinie

Das Unternehmen muss möglicherweise seine Richtlinie aktualisieren, um neuen oder anderen Datenschutzpraktiken zu entsprechen. Eine aktualisierte Version dieser Richtlinie wird über einen geeigneten Kanal verfügbar gemacht und gilt für Daten, die nach dem Inkrafttreten erhoben werden.

12. Wie Sie uns kontaktieren können

Für Anfragen, Kommentare oder Bedenken zu dieser Richtlinie oder um die Datenschutzrechte gemäß geltendem Recht in Bezug auf personenbezogene Daten auszuüben, kontaktieren Sie bitte unseren Datenschutzbeauftragten unter folgender Adresse: joseph.srouji@contractor.prometric.com

Sie können auch eine Anfrage zu Ihren personenbezogenen Daten stellen, indem Sie auf den folgenden Link klicken und alle erforderlichen Felder im Formular ausfüllen: Anfragen zu personenbezogenen Daten

Sie können uns auch per Post erreichen unter:

Prometric Privacy Program Manager
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA

Nachdem der interne Beschwerdeprozess von Prometric erschöpft ist, kann ein Prüfungskandidat, der mit der Lösung nicht zufrieden ist, eine Beschwerde beim Better Business Bureau of Greater Maryland („BBB“) einreichen, einem Anbieter alternativer Streitbeilegung mit Sitz in den Vereinigten Staaten.

BBB-Website: http://www.bbb.org/greater-maryland/

BBB-Telefon: 410-347-3990

BBB-Fax: 410-347-3936

Betroffene Personen haben auch das Recht, eine Beschwerde direkt bei der zuständigen Aufsichtsbehörde in ihrer relevanten Gerichtsbarkeit einzureichen oder rechtliche Schritte gemäß geltendem Recht einzuleiten.