Prometric Globale Datenschutzrichtlinie

Sprachhinweis:
Diese Richtlinie wird aus Gründen der Bequemlichkeit in mehreren Sprachen zur Verfügung gestellt. Im Falle von Unstimmigkeiten oder Konflikten zwischen den übersetzten Versionen und der englischen Version gilt die englische Version als die offizielle und maßgebliche Richtlinie.

Letzte Aktualisierung: Juni 2026

Einführung

Prometric LLC, einschließlich Paragon und seinen anderen globalen Tochtergesellschaften und verbundenen Unternehmen (im Folgenden gemeinsam als „Unternehmen“, „uns“, „unser“ oder „wir“ bezeichnet) kann je nach seiner Beziehung zu Ihnen, der betroffenen Person, als Datenverantwortlicher oder Datenverarbeiter fungieren.   

Diese Datenschutzrichtlinie (im Folgenden „Richtlinie“) beschreibt unsere Erhebung und Verarbeitung von personenbezogenen Daten über Prüfungskandidaten, Kunden, Auftragnehmer und Partner (im Folgenden „betroffene Personen“, „Sie“ oder „Ihr“).  

Das Unternehmen bemüht sich, alle Datenschutzgesetze und -vorschriften, in denen das Unternehmen tätig ist, einzuhalten, einschließlich, aber nicht beschränkt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Verkehr solcher Daten und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) („DSGVO“); das California Consumer Privacy Act von 2018 („CCPA“), geändert durch das California Privacy Rights Act von 2020 („CPPA“); das Gesetz zum Schutz personenbezogener Informationen der Volksrepublik China („PIPL“); das Gesetz zum Schutz der Privatsphäre von Kindern im Internet („COPPA“); das Gesetz über die Privatsphäre von Bildungsrechten („FERPA“); und andere relevante Datenschutzgesetze und -vorschriften weltweit. 

Im Rahmen seiner Zertifizierung befolgt das Unternehmen das EU-US-Datenschutzrahmenwerk (EU-US DPF), die UK-Erweiterung des EU-US DPF und das Schweizer-US-Datenschutzrahmenwerk (Swiss-US DPF) und die Rechte von betroffenen Personen aus der EU, dem Vereinigten Königreich und der Schweiz.  Das Unternehmen unterliegt somit den Ermittlungs- und Durchsetzungsbefugnissen der US Federal Trade Commission (FTC).

Sofern nicht anders angegeben, gelten die folgenden Definitionen für diese Richtlinie:

  • „Anwendbares Recht“ bezieht sich auf das relevante Datenschutzgesetz oder die geltende Verordnung des Landes, Staates oder Gebiets in Bezug auf den Datenschutz. 
  • „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen.
  • „Verarbeitung“ bezeichnet jede Operation oder jeden Satz von Operationen, die an personenbezogenen Daten oder an Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Abstimmung oder Kombination, Einschränkung, Löschung oder Zerstörung.
  • „Aufsichtsbehörde“ oder „Aufsichtsbehörden“ bezeichnet eine Datenschutzbehörde oder Behörden, als unabhängige öffentliche Behörde oder Behörden, die von einem Regierungsorgan eingerichtet wurden und verantwortlich sind für die Überwachung und/oder Durchsetzung der Anwendung von Datenschutzgesetzen und -vorschriften in einer bestimmten Rechtsordnung.
     

1. Welche Arten von personenbezogenen Daten erheben wir?

Das Unternehmen kann je nach Ihrer Beziehung zum Unternehmen, Art der Prüfung, angebotenen Dienstleistungen und gemäß anwendbarem Recht die folgenden personenbezogenen Daten erheben: 

  • Kontaktdaten einschließlich Name, Adresse, Telefonnummern, länderspezifische Identifikationsnummer, E-Mail-Adresse, Anmelde- und Passwortinformationen
  • Geburtsdatum
  • Geburtsland
  • Geschlecht
  • Schulanfangsdatum (USA)
  • Primärsprache
  • Heimsprache
  • Eltern-/Erziehungsberechtigteninformationen
  • Details zur Test- und Klassenplanung für Kandidaten
  • Details zur Testbewertung, einschließlich der ID-Nummer des Prüfungskandidaten, der abgelegten Prüfungen und deren Zeitpunkt, Ergebnisse in Bezug auf diese Prüfungen, wie oft eine Prüfung oder ein bestimmter Abschnitt von Prüfungen abgelegt wurde
  • Verhaltensvorfälle
  • Interventionen
  • Teilnahme
  • Bewertungsergebnisse
  • Sozialversicherungsnummern, wenn dies vom Prüfungsanbieter für Kandidaten (USA) erforderlich ist
  • Zahlungs- und Finanzinstitutionsinformationen
  • Wohnsitz und Staatsangehörigkeit
  • Foto
  • Unterschrift
  • Videoaufzeichnungen
  • Audioaufzeichnungen (sofern nach anwendbarem Recht zulässig und nur in bestimmten Rechtsordnungen)
  • Informationen aus Identifikations-, Verifizierungs- oder Berechtigungsdokumenten
  • Transaktions- und Beziehungsinformationen einschließlich Elemente, die die Testmuster, Teststandorte, Testergebnisse der Kandidaten und Informationen darüber, wie unsere Websites und Anwendungen genutzt werden, offenbaren 
  • Gutschein-/Couponinformationen 

Darüber hinaus kann das Unternehmen gemäß anwendbarem Recht besondere Kategorien personenbezogener Daten verarbeiten, die Folgendes umfassen können: 

  • Biometrische Daten (Fingerabdruck und Gesichtsabbildungen)
  • Gesundheitsinformationen oder medizinische Daten im Zusammenhang mit den Anfragen von Prüfungskandidaten nach Testanpassungen
  • Rasse oder ethnische Zugehörigkeit, sofern nach anwendbarem Recht zulässig 

Das Unternehmen wird besondere Kategorien personenbezogener Daten nicht für einen anderen Zweck verwenden als den, für den sie ursprünglich erhoben oder anschließend von der betroffenen Person genehmigt wurden, es sei denn, wir haben Ihre ausdrückliche und eindeutige Zustimmung (Opt-in) erhalten.

Einige unserer Prüfungen erfordern möglicherweise, dass der Prüfungsstandortadministrator Kopien Ihrer Ausweise scannt, Ihre Unterschrift aufzeichnet und Ihr Bild zu Identifikationszwecken aufnimmt, die direkt in der Datenbank des Unternehmens gespeichert werden. 

Personenbezogene Daten von Minderjährigen

Das Unternehmen erhebt nicht wissentlich personenbezogene Daten von oder in Bezug auf Minderjährige ohne die Zustimmung der Eltern oder des gesetzlichen Vertreters des Minderjährigen. Das Unternehmen erwartet von den Eltern oder dem gesetzlichen Vertreter des Minderjährigen, dass sie die Offenlegung personenbezogener Daten durch ihre Kinder an das Unternehmen und dessen Vertreter überwachen und kontrollieren.

Sofern erforderlich, unterstützen wir Schulen dabei, ihren Verpflichtungen gemäß FERPA nachzukommen. Das Unternehmen bietet eine eingeschränkte Funktionalität und Website-Erfahrung für Schüler, einschließlich Minderjährigen. Nichts in dieser Richtlinie soll die Rechte von Schülern (oder deren Eltern oder gesetzlichen Vertretern) in Bezug auf ihre Bildungsunterlagen einschränken. Das Unternehmen erklärt sich ausdrücklich damit einverstanden, keine personenbezogenen Daten aus Bildungsunterlagen in Verletzung von FERPA offenzulegen und solche Informationen nicht für Verkaufs-, Marketing-, Werbe- oder andere verbotene Zwecke zu verwenden.

Das Unternehmen erhält von Bildungseinrichtungen die minimale Menge an Informationen, die erforderlich ist, um Schülerkonten zu erstellen, die normalerweise eine E-Mail, ein Passwort, Vor- und Nachnamen und einen eindeutigen Klassen-Code, der vom Lehrer des Schülers bereitgestellt wird, umfassen. Über diese Informationen hinaus können Schüler je nach den ihnen zugewiesenen Aktivitäten Antworten einreichen, die zwischen Lehrer und Schüler vertraulich bleiben und nur für die Zwecke der Schule/des Lehrers verwendet werden. Neben den vom Schüler eingegebenen Informationen erfassen wir automatisch Informationen zur Nutzung unseres Dienstes.

Das Unternehmen sammelt keine personenbezogenen Daten über Schüler, einschließlich Minderjährigen, oder deren Familien für Verteilung, Teilen oder Verkauf, es sei denn, dies ist in dieser Richtlinie beschrieben. Kein Schülerprofil ist der Öffentlichkeit oder anderen Schülern zugänglich oder sichtbar. Lehrer können ihre Klassen, einschließlich Noten oder Ergebnisse, mit anderen Lehrern teilen, mit denen sie an ihrer Schule zusammenarbeiten, um die Zusammenarbeit zu fördern.

Rechte der Eltern

Das Unternehmen ermächtigt die Eltern und gesetzlichen Vertreter von Minderjährigen, die bei uns registrierte Konten haben, ihre gesetzlichen Rechte gemäß COPPA auszuüben.

Jeder Elternteil, der Kopien der personenbezogenen Daten seiner Kinder, die wir möglicherweise gespeichert haben, anfordern möchte, kann sich an das Personal der Schule seiner Kinder wenden. Zu jedem Zeitpunkt kann die Schule auch die Erlaubnis verweigern, dass wir weitere personenbezogene Daten von ihren Schülern sammeln, und kann verlangen, dass wir die personenbezogenen Daten, die wir von ihnen gesammelt haben, löschen. 

2. Wie erheben wir Ihre personenbezogenen Daten? 

Sofern nicht anders angegeben, erhebt das Unternehmen personenbezogene Daten direkt von der betroffenen Person.  Für Prüfungskandidaten kann dies unter Verwendung von Prometric-Geräten oder persönlichen Geräten eines Prüfungskandidaten (z. B. persönlicher Desktop, Laptop oder Mobiltelefon als zweite Kamera) erfolgen.  In anderen Fällen können wir Informationen von Grund- oder weiterführenden Schulen, Prüfungsanbietern oder von Drittanbietern von Daten erhalten. Wenn eine betroffene Person die Website des Unternehmens besucht, sich registriert oder eine Prüfung ablegt, unsere Anwendungen verwendet oder uns kontaktiert, erfassen wir auch Transaktionsinformationen zu Kundenservicezwecken. 

Alle von uns über unsere mobilen Anwendungen gesammelten personenbezogenen Daten sind gemäß den Bestimmungen dieser Richtlinie geschützt und verarbeitet. Wir bieten auch automatische ("Push")-Benachrichtigungen nur an diejenigen an, die sich entscheiden, solche Benachrichtigungen von uns zu erhalten. Keine Person ist verpflichtet, uns Standortinformationen zur Verfügung zu stellen oder Push-Benachrichtigungen zu aktivieren, um eine unserer mobilen Anwendungen zu verwenden.

Verwendung von Cookies

Beim Besuch unserer Website und abhängig davon, wie Sie Ihre Cookie-Einstellungen konfigurieren und diesen zustimmen, können wir bestimmte Informationen über Ihre Nutzung der Website sammeln, wie z.B. die Daten und Uhrzeiten, zu denen Sie auf die Website zugreifen, die Browser, Betriebssysteme und Geräte, die Sie verwenden, um auf die Website zuzugreifen, die Webseiten, auf die Sie zugreifen, sowie die verweisenden und ausgehenden Webseiten. Das Unternehmen kann diese Informationen für verschiedene Zwecke verwenden, einschließlich der Verwaltung und Verbesserung der Websites des Unternehmens sowie zur Verbesserung unserer Produkte und Dienstleistungen.

Wo es das geltende Recht erlaubt und vorbehaltlich Ihrer Zustimmung können wir auch Informationen verwenden, um Ihren allgemeinen Standort zu identifizieren, um Ihnen Dienstleistungen oder relevante Marketing- und kontextbezogene Werbung bereitzustellen. Das Unternehmen erfasst auch Internetprotokoll (IP)-Adressen und eindeutige Geräteidentifikatoren, um wiederkehrende Besucher auf unserer Website zu erkennen und die Nutzung unseres Dienstes durch Sie zu erleichtern.

Bestimmte Nutzer der Unternehmenswebsite wählen es, mit uns auf Arten zu interagieren, die es dem Unternehmen erfordern, personenbezogene Daten zu sammeln, damit wir Ihnen die angeforderten Dienstleistungen bereitstellen können. Die Menge und Art der Informationen, die wir sammeln, hängt von der Art dieser Interaktion ab.

Es ist wichtig zu beachten, dass die Unternehmenswebsite Links zu anderen Websites oder Onlinediensten enthalten kann. Wenn Sie diese Links verwenden, kontaktieren Sie eine andere Website oder Dienstleistung. Das Unternehmen übernimmt keine Verantwortung oder Haftung für diese anderen Websites oder Dienste oder deren Erfassung, Verwendung, Offenlegung, Aufbewahrung und Löschung Ihrer persönlichen Informationen. Bitte beziehen Sie sich auf die Datenschutzerklärungen und Nutzungsbedingungen, die für diese anderen Websites oder Onlinedienste gelten.

Erfassung von biometrischen Daten

Das biometrisch aktivierte Check-In-System und die Remote-Proctoring-Plattform des Unternehmens (bekannt als ProProctor) sind so konzipiert, dass sie die Sicherheit und Integrität des Testprozesses verbessern, während die Privatsphäre der Testkandidaten geschützt und die Identität der Testkandidaten bestätigt wird. Während des Check-in-Prozesses wird ein Bild aufgenommen, das geometrische Maße der Gesichtsmerkmale erfasst und diese mit dem Gesicht des Testkandidaten vergleicht, wie es auf seinem offiziellen Identifikationsdokument zum Zeitpunkt der Registrierung präsentiert wird. Bei ProProctor wird die Überprüfung des Gesichtsbildes auch während des Tests verwendet.

Verwendung von Künstlicher Intelligenz (KI)

Das Unternehmen setzt Künstliche Intelligenz (KI) und automatisierte Entscheidungshilfetechnologien in einer Reihe von Betrugspräventions- und Sicherheitsfunktionen ein, einschließlich, aber nicht beschränkt auf: Identitätsüberprüfung (einschließlich Gesichtserkennung und biometrische Analyse), Verhaltensanalytik, Anomalieerkennung, Mustererkennung und die Identifizierung unbefugter Objekte, Personen oder Aktivitäten während des Testverwaltungsprozesses. KI-gesteuerte Systeme können auch verwendet werden, um Risikosignale zu bewerten, Unregelmäßigkeiten zu kennzeichnen und die Integrität der Testumgebung in Echtzeit zu unterstützen.

Diese KI-Systeme sind darauf ausgelegt, menschliches Urteil zu ergänzen - nicht zu ersetzen. Jegliche von KI-basierten Werkzeugen generierte Ausgaben, die zu einer Feststellung von potenziell betrügerischem oder unregelmäßigem Verhalten führen können, unterliegen der Überprüfung und Verifizierung durch qualifiziertes Personal, bevor Maßnahmen in Bezug auf einen Kandidaten oder eine Testsitzung ergriffen werden.

Darüber hinaus kann KI verwendet werden, um unsere Geschäftsbeziehung zu unseren Test-Sponsoren zu erleichtern, indem automatisierte Einblicke bereitgestellt werden, um uns zu helfen, unseren Kunden besser zu dienen und ihre geschäftlichen Bedürfnisse vorherzusehen.

Das Unternehmen verpflichtet sich zu einem verantwortungsvollen, ethischen und transparenten Einsatz von KI in einer Weise, die mit den geltenden Datenschutzgesetzen und -verordnungen übereinstimmt, einschließlich, wo anwendbar, dem EU-KI-Gesetz, der Datenschutz-Grundverordnung (DSGVO) und anderen relevanten nationalen oder regionalen Rahmen. Für weitere Informationen darüber, wie das Unternehmen KI ethisch und verantwortungsbewusst einsetzt, besuchen Sie bitte Prometrics Verpflichtung zu verantwortungsvoller KI.

3. Warum sammeln wir Ihre personenbezogenen Daten?

Das Unternehmen sammelt personenbezogene Daten zu folgenden Zwecken:

  • Verwaltung von Kundenbeziehungen mit Test-Sponsoren und Interessenten
  • Planung von Testprüfungen
  • Überprüfung der Identität von Testkandidaten
  • Verwaltung von Testkandidatenkonten, Serviceanfragen sowie Durchführung von Tests und Zahlungen
  • Erkennung und Verhinderung von Betrug und Falschdarstellung durch unbefugte Kandidaten
  • Durchführung von Datenanalysen zur Wahrung der Integrität des Testprozesses
  • Berichterstattung von Testergebnissen an die Testkandidaten und Test-Sponsoren
  • Durchführung von Marketingaktivitäten (z.B. Ankündigungen, neue Tests, neue Testzentren, Promotions, bevorstehende Veranstaltungen, neue Produkte, besondere Merkmale und Eröffnungen von Geschäften), vorbehaltlich des geltenden Rechts
  • Schutz und Durchsetzung der rechtlichen Rechte, Interessen und Rechtsmittel des Unternehmens sowie zum Schutz des Unternehmens, der Betriebsabläufe oder der Kunden des Unternehmens oder anderer Personen, einschließlich der Durchsetzung der Nutzungsbedingungen, der Allgemeinen Geschäftsbedingungen und anderer Vereinbarungen, die den Zugang zu oder die Nutzung der Produkte und Dienstleistungen des Unternehmens regeln
  • Dokumentation, Aufzeichnung, Qualitätssicherung und Schulung (Aufzeichnungen von Kundenbesprechungen, vorbehaltlich der Zustimmung)
  • Analyse des Besucherverhaltens mithilfe von Website-Analysetools (z.B. Google Analytics)
  • Bewertung und Verbesserung der Leistung von digitalen Werbekampagnen über Plattformen hinweg
  • Schulung und Test unserer KI-gestützten Technologie, vorbehaltlich des geltenden Rechts
  • Verwaltung unseres Gutschein-/Rabattprogramms

Für Lieferanten und andere Dritte sammeln wir Ihre personenbezogenen Daten zu folgenden Zwecken:

  • Lieferantenmanagement und -verwaltung
  • Dokumentation, Aufzeichnung, Qualitätssicherung und Schulung (Aufzeichnungen von Kundenbesprechungen, vorbehaltlich der Zustimmung)
  • Rechnungserstellung
  • Due Diligence und andere gesetzliche Anforderungen zur Kenntnisnahme des Lieferanten

Wir geben personenbezogene Daten nur an die Mitarbeiter, Auftragnehmer und Subunternehmer des Unternehmens weiter, die: (i) auf diese Informationen zugreifen müssen, um sie in unserem Auftrag zu verarbeiten oder um Dienstleistungen bereitzustellen, die auf der Website des Unternehmens und über unsere mobilen Anwendungen verfügbar sind; und, (ii) sich verpflichten, diese Informationen nicht an Dritte weiterzugeben. Das Unternehmen vermietet, verkauft oder tauscht keine personenbezogenen Daten mit Dritten.

Zweck der Erfassung biometrischer Daten

Biometrische Daten werden ausschließlich verwendet, um: (1) die Identität eines Kandidaten fortlaufend zu überprüfen, während sie an gegenwärtigen und zukünftigen Bewertungen teilnehmen; (2) Betrug und Falschdarstellung durch unbefugte Kandidaten zu erkennen und zu verhindern; (3) die Integrität des Testprozesses aufrechtzuerhalten; (4) die Sicherheit von Testzentren und/oder Testinhalten zu verbessern; und (5) wie gesetzlich für bestimmte Lizenzierungsprogramme erforderlich.

Wenn personenbezogene Daten, die von dieser Richtlinie abgedeckt sind, für einen neuen Zweck verwendet werden sollen, der wesentlich von dem abweicht, für den die personenbezogenen Daten ursprünglich gesammelt oder anschließend genehmigt wurden, oder an Dritte in einer Weise offengelegt werden sollen, die in dieser Richtlinie nicht angegeben ist, werden wir Ihnen die Möglichkeit geben, zu wählen, ob Ihre personenbezogenen Daten so verwendet oder offengelegt werden. Anfragen zum Opt-out solcher Verwendungen oder Offenlegungen von personenbezogenen Daten sollten an das Unternehmen gesendet werden, wie im Abschnitt "Wie Sie uns kontaktieren können" weiter unten angegeben.

4. Was sind die rechtlichen Grundlagen für die Verarbeitung Ihrer personenbezogenen Daten?

Personenbezogene Daten werden gemäß den folgenden rechtlichen Grundlagen gesammelt und verarbeitet:

  • Die Erfüllung eines Vertrags, zu dem die Registrierung und Planung eines Tests, die Durchführung dieses Tests und die Verarbeitung der Testergebnisse gehören.
  • Ihre Zustimmung zur Erfassung und Verarbeitung besonderer Kategorien personenbezogener Daten, einschließlich biometrischer personenbezogener Daten.
  • Ihre Zustimmung, sofern das geltende Recht dies für grenzüberschreitende Datenübertragungen erfordert.
  • Ihre Zustimmung zur Aufzeichnung von Video-Meetings mit Kunden
  • Für legitime Geschäftszwecke wie die Rechnungsbearbeitung und das Finanzkontenmanagement, Backup-Zwecke zur Förderung der Geschäftskontinuität, Management von Testzentren, Geschäftsplanung, Vertragsmanagement, Verbesserung der Testdienstleistungen, die unseren Kunden bereitgestellt werden, Vorschläge für verwandte Dienstleistungen und Produkte für bestehende Testkandidaten, Websiteverwaltung, Erfüllung, Analytik, Sicherheit und Betrugsprävention, Unternehmensführung, Planung der Notfallwiederherstellung, Prüfung und Berichterstattung sowie Schulung und Verbesserung unserer Technologie der künstlichen Intelligenz, wie es das geltende Recht erlaubt.
  • Einhaltung gesetzlicher oder regulatorischer Verpflichtungen.
     

5. Offenlegung personenbezogener Daten

Dritte, die Ihre personenbezogenen Daten verarbeiten können, sind andere Tochtergesellschaften des Unternehmens, autorisierte Testzentren, Testsponsoren und unsere Dienstleister, die als Auftragsverarbeiter für das Unternehmen tätig sind und folgende Dienstleistungen anbieten: Datenhosting, Testverwaltungsdienste, Anwendungen zur Steigerung der Geschäftseffizienz, Kundenserviceunterstützung und Software für das Kundenbeziehungsmanagement.

Behörden können auf personenbezogene Daten zugreifen, als Ergebnis von rechtmäßigen Anfragen, einschließlich zur Erfüllung nationaler Sicherheits- oder Strafverfolgungsanforderungen.

Soweit nach anwendbarem Recht zulässig, verwendet das Unternehmen Website-Analytik- und Werbeplattformen, um das Nutzerverhalten auf unserer Website zu verstehen und relevante Werbung auszuliefern. Diese Plattformen können Cookies, Pixel oder ähnliche Technologien verwenden, um Daten über Ihre Interaktionen mit unseren Websites zu sammeln. Diese Informationen werden verwendet, um uns zu helfen, die Effektivität unserer Kampagnen zu messen, Werbeinhalte zu personalisieren und das Gesamterlebnis der Nutzer zu verbessern. Der Umfang der Nutzung solcher Werkzeuge hängt davon ab, wie Sie sich entscheiden, die Cookie-Einstellungen in Ihrem Browser zu konfigurieren, und Sie können sich jederzeit von personalisierter Werbung abmelden, indem Sie Ihre Cookie-Präferenzen verwalten.

Biometrische Daten dürfen nur an Testsponsoren, Strafverfolgungsbehörden oder andere Dritte weitergegeben werden:

  • Für eine Untersuchung im Zusammenhang mit angeblichem Fehlverhalten ausschließlich zu Zwecken der Untersuchung von Betrug, unbefugtem Testen oder anderem Fehlverhalten von Testkandidaten.
  • Im Zusammenhang mit rechtmäßigen Anfragen von Regulierungs-, Rechts- oder Regierungsbehörden mit Zuständigkeit und/oder Befugnis, solche Anfragen zu stellen.

Wir schließen Verträge mit unseren Drittanbietern ab, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit dieser Richtlinie und allen anderen angemessenen Vertraulichkeits- und Sicherheitsmaßnahmen verarbeitet werden, die nach anwendbarem Recht erforderlich sind.

Wenn Sie eine betroffene Person aus der EU, dem Vereinigten Königreich oder der Schweiz sind und wir Ihre personenbezogenen Daten an Drittanbieter übertragen, wie oben angegeben, die Dienstleistungen für uns oder in unserem Auftrag erbringen, ist das Unternehmen für die Verarbeitung dieser Daten durch sie verantwortlich und bleibt haftbar, wenn sie Ihre personenbezogenen Daten in einer Weise verarbeiten, die nicht mit den unten genannten DPF-Prinzipien übereinstimmt, es sei denn, wir beweisen, dass wir nicht für das Ereignis verantwortlich sind, das den Schaden verursacht hat.

6. Wie lange speichern wir Ihre personenbezogenen Daten?

Das Unternehmen hat ein umfassendes Programm zur Aufbewaltung von Unterlagen und einen entsprechenden Aufbewahrungsplan angenommen, an den es sich für die Zwecke der Aufbewahrung, Speicherung und Vernichtung aller im Laufe seiner Geschäftstätigkeit erstellten Unterlagen, einschließlich derjenigen, die personenbezogene Daten enthalten, hält. Wir setzen auch eine Datenmanagementstrategie um, die Daten basierend auf regionalen Datenservern segregiert.

Vorbehaltlich der spezifischen vertraglichen Anforderungen der Kunden und anwendbaren Rechts wird unser Unternehmen Ihre personenbezogenen Daten für die Dauer der Verarbeitung, für den kürzeren Zeitraum von:

  • fünf (5) Jahre ab dem Datum der letzten Dienstleistung, des Tests oder der Bewertung; oder
  • dem Ablauf des Zwecks, für den die personenbezogenen Daten erhoben wurden; oder
  • in Übereinstimmung mit den Gesetzen der zuständigen Gerichtsbarkeit, in der die personenbezogenen Daten erhoben wurden.

Das Unternehmen wird personenbezogene Daten nicht länger aufbewahren, als es für die oben genannten Zwecke erforderlich ist. Wir können personenbezogene Daten jedoch länger aufbewahren, wenn dies erforderlich ist, um spezifische vertragliche Anforderungen der Kunden und anwendbares Recht einzuhalten oder wenn es notwendig ist, unsere Rechte zu schützen oder auszuüben.

Im Falle von Testergebnissen im Zusammenhang mit Immigration, Refugees and Citizenship Canada bewahren wir Aufzeichnungen Ihrer personenbezogenen Daten für den Mindestaufbewahrungszeitraum (derzeit sieben (7) Jahre) auf, wie es von Immigration, Refugees and Citizenship Canada gefordert wird. Im Falle von Testergebnissen im Zusammenhang mit australischen Visa bewahren wir Aufzeichnungen Ihrer personenbezogenen Daten für den Mindestaufbewahrungszeitraum (derzeit sieben (7) Jahre) auf, wie es vom Commonwealth of Australia gefordert wird.

Speicherung von biometrischen Daten

Alle biometrischen Daten, die in computerbasierten Testzentren gesammelt werden, werden sicher übertragen und sicher innerhalb des sicheren Datenzentrums des Unternehmens entweder in den USA oder in der Europäischen Union gespeichert (je nach Standort des Testkandidaten) und werden gemäß anwendbarem Recht in der Gerichtsbarkeit, in der sie erhoben wurden, aufbewahrt. Biometrische Daten werden in Microsoft Azure für einen Zeitraum von dreißig (30) Tagen gespeichert und gesichert, mit Ausnahme von biometrischen Daten, die Teil unserer Paragon-Testdienste sind, die maximal 3 Jahre aufbewahrt werden. Die Aufbewahrungsfristen können länger sein, wenn die personenbezogenen Daten des Kandidaten im Zusammenhang mit einem aktiven Sicherheitsproblem oder im Rahmen einer Untersuchung wegen Fehlverhaltens verwendet werden.

7. Grenzüberschreitende Übertragungen von personenbezogenen Daten

Unsere Geschäftsprozesse erfordern häufig die Übertragung personenbezogener Daten zwischen dem Unternehmen und seinen verbundenen Unternehmen international. Je nach Art Ihrer Beziehung zum Unternehmen und gemäß anwendbarem Recht werden Ihre personenbezogenen Daten auf sicheren Servern gespeichert, die sich in den Vereinigten Staaten befinden. Je nach Art Ihrer Prüfung und Ihres Teststandorts können das Unternehmen und seine Dienstleister personenbezogene Daten in Einrichtungen in anderen Ländern als den USA verarbeiten, zu denen Kanada, Mexiko, Indien oder Länder in der Europäischen Union oder Asien gehören können.

Wenn personenbezogene Daten Dritten oder einem Land offengelegt werden, das nicht als ausreichendes Schutzniveau gemäß anwendbarem Recht angesehen wird, wird das Unternehmen sicherstellen:

  • Die Implementierung von Standardvertragsklauseln, die von der zuständigen Aufsichtsbehörde genehmigt wurden;
  • Die Annahme geeigneter organisatorischer, technischer und rechtlicher Schutzmaßnahmen, um die grenzüberschreitende Datenübertragung zu regeln und das notwendige und angemessene Schutzniveau gemäß anwendbarem Recht sicherzustellen;
  • Wenn erforderlich, die Umstände der Übertragung und die Gesetzgebung des Drittlandes zu bewerten und, falls erforderlich, eine Folgenabschätzung zur Datenübertragung durchzuführen, um festzustellen, ob zusätzliche Maßnahmen erforderlich sind.

In Bezug auf grenzüberschreitende Datenübertragungen in die Vereinigten Staaten erfüllt das Unternehmen den EU-US DPF, die UK-Erweiterung des EU-US DPF und das Swiss-US DPF, wie es vom US-Handelsministerium festgelegt wurde.

Das Unternehmen hat dem US-Handelsministerium bescheinigt, dass es die Prinzipien des EU-US-Datenprivatrahmen (EU-US DPF Principles) in Bezug auf die Verarbeitung personenbezogener Daten, die aus der EU und dem Vereinigten Königreich im Vertrauen auf den EU-US DPF und die UK-Erweiterung des EU-US DPF erhalten wurden, einhält. Das Unternehmen hat dem US-Handelsministerium bescheinigt, dass es die Prinzipien des Swiss-US-Datenprivatrahmen (Swiss-US DPF Principles) in Bezug auf die Verarbeitung personenbezogener Daten, die aus der Schweiz im Vertrauen auf den Swiss-US DPF erhalten wurden, einhält.

Wenn es einen Konflikt zwischen den Bedingungen in dieser Datenschutzrichtlinie und den EU-US DPF-Prinzipien und/oder den Schweizer-US DPF-Prinzipien gibt, haben die Prinzipien Vorrang. Um mehr über das DPF-Programm zu erfahren und unser Zertifikat einzusehen, besuchen Sie bitte https://www.dataprivacyframework.gov/.

8. Welche Rechte haben Sie?

Je nach Ihrem Standort und dem geltenden Recht haben Sie möglicherweise die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:

  • Recht auf Zugang
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Widerspruch gegen die Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht zu entscheiden, wie Ihre personenbezogenen Daten posthum verwendet werden

Die Ausübung dieser Rechte unterliegt den durch das geltende Recht und die entsprechenden Richtlinien der Aufsichtsbehörden vorgesehenen Einschränkungen.

Um Ihre Rechte auszuüben, können Sie das Unternehmen wie im Abschnitt „Wie Sie uns kontaktieren können“ beschrieben kontaktieren. Bitte beachten Sie, dass das Löschen von Aufzeichnungen dazu führen kann, dass wir das betreffende Konto kündigen müssen. Bevor wir Ihre Anfrage bearbeiten können, kann das Unternehmen zusätzliche Fragen stellen oder andere Schritte unternehmen, um Ihre Identität zu überprüfen. Wenn wir Ihrer Anfrage nicht nachkommen können (Ablehnung oder Einschränkung), werden wir unsere Entscheidung schriftlich begründen.

Im Einklang mit dem EU-US DPF, der UK-Erweiterung des EU-US DPF und dem Schweizer-US DPF verpflichtet sich das Unternehmen, Beschwerden im Zusammenhang mit den DPF-Prinzipien über unsere Erfassung und Verwendung Ihrer personenbezogenen Daten zu lösen.

EU-, UK- und Schweizer-Datenbetroffene mit Anfragen oder Beschwerden bezüglich unserer Verarbeitung personenbezogener Daten, die im Vertrauen auf das EU-US DPF, die UK-Erweiterung des EU-US DPF und das Schweizer-US DPF erhalten wurden, sollten zunächst das Unternehmen wie im Abschnitt „Wie Sie uns kontaktieren und Beschwerden einreichen können“ beschrieben kontaktieren.

Kalifornische Datenschutzrechte

Abschnitt 1798 des Kalifornischen Zivilgesetzbuches erlaubt es Kalifornischen Bewohnern, Unternehmen, mit denen sie eine bestehende Geschäftsbeziehung haben, zu bitten, bestimmte Informationen über die Weitergabe personenbezogener Daten an Dritte zu Marketingzwecken bereitzustellen. Das Unternehmen gibt keine personenbezogenen Daten kalifornischer Verbraucher ohne deren Zustimmung an Dritte zu Marketingzwecken weiter. Wenn Sie ein Testkandidat sind, werden wir Ihre personenbezogenen Daten an Ihren Test-Sponsor weitergeben, der die Informationen gemäß seiner eigenen Datenschutzrichtlinien verwenden kann.

9. Wie schützen wir Ihre personenbezogenen Daten?

Das Unternehmen implementiert eine Vielzahl von Sicherheitsmaßnahmen, wie technische, physische und administrative Schutzmaßnahmen, um personenbezogene Daten vor Sicherheitsvorfällen oder unbefugter Offenlegung und allgemein vor einem Datenschutzvorfall zu schützen. Diese Sicherheitsmaßnahmen werden als angemessene Sicherheitsstandards in der Branche anerkannt und umfassen unter anderem Zugangskontrollen, Passwörter, Verschlüsselung, strenge Fristen für die Löschung, Protokollierungsmechanismen und regelmäßige Sicherheitsbewertungen.

Im Falle eines Datenschutzvorfalls, der möglicherweise Ihre personenbezogenen Daten betrifft, folgt das Unternehmen seinem Notfallplan und wird umgehend geeignete Maßnahmen ergreifen, um die Risiken für die betroffenen Personen zu mindern. Solche Maßnahmen können die Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen umfassen, während die relevanten Einzelheiten des Vorfalls und der Milderungsmaßnahmen bereitgestellt werden, wie sie nach dem geltenden Recht vorgeschrieben sein könnten.

Das Informationssicherheitsprogramm des Unternehmens wird jährlich von mehreren externen Organisationen überprüft, um sicherzustellen, dass es die höchsten verfügbaren Standards für Sicherheit und Datenschutz erfüllt oder übertrifft. Darüber hinaus sind Mitarbeiter und Auftragnehmer verpflichtet, bekannt gewordene oder vermutete Fälle von Missbrauch, Verlust oder unbefugtem Zugriff umgehend zu melden.

10. Verarbeitung personenbezogener Daten gemäß dem Gesetz über den Schutz persönlicher Informationen der Volksrepublik China (‚PIPL‘)

Dieser Abschnitt gilt, wenn personenbezogene Daten innerhalb der Grenzen der Volksrepublik China (VR China) liegen oder wenn personenbezogene Daten von einem unserer Unternehmen in der VR China verarbeitet werden.

Gemäß Artikel 13 des PIPL können personenbezogene Daten für die folgenden Zwecke erhoben werden:

  • Basierend auf der Zustimmung des Einzelnen;
  • Zur Erfüllung von Verträgen, für legitime Geschäftsinteressen;
  • Zur Erfüllung gesetzlicher Pflichten und Verantwortlichkeiten oder gesetzlicher Verpflichtungen;
  • Zur Verarbeitung öffentlich verfügbarer Daten;
  • Zur Erfüllung rechtlicher Anforderungen.

Gemäß den Anforderungen des Artikels 23 des PIPL und den im Abschnitt 4 genannten Inhalten wird die Übertragung und Weitergabe Ihrer personenbezogenen Daten an Dritte ohne (1) Ihre spezifische Zustimmung, sofern zutreffend, oder (2) zur Erfüllung der gesetzlichen Pflichten gemäß dem geltenden Recht nicht erfolgen.

Basierend auf den in dieser Richtlinie vorgeschriebenen Zwecken können personenbezogene Daten in ein Land oder eine Region außerhalb Ihres Wohnsitzlandes zur Verarbeitung übertragen werden. Zu diesem Zeitpunkt wird das Unternehmen die Sicherheit der personenbezogenen Daten gemäß dem geltenden Recht schützen, einschließlich, aber nicht beschränkt auf die Implementierung von Zugangskontrollen, Passwörtern, Verschlüsselungsstandards, strengen Fristen für Aufbewahrungszeiten, Protokollierungsmechanismen und regelmäßigen Sicherheitsbewertungen.

Das Unternehmen wird Sie gemäß Artikel 39 des PIPL vollständig über die grenzüberschreitende Datenübertragung informieren, bevor es Ihre personenbezogenen Daten außerhalb der VR China überträgt, und wird Ihre Zustimmung einholen, indem es Ihnen Folgendes mitteilt: den Namen des ausgehenden Empfängers, die Kontaktdaten, den Zweck der Verarbeitung, die Methode der Verarbeitung, die Art der personenbezogenen Daten und Sie an die Methoden und Verfahren erinnern, durch die Sie Ihre Rechte gemäß dem PIPL ausüben können. Wir werden Ihre ausdrückliche und gesonderte Zustimmung anfordern, um dies zu tun.

Soweit erforderlich, wird das Unternehmen eine Risikoanalyse zur grenzüberschreitenden Datenübertragung gemäß dem geltenden Recht durchführen, wenn personenbezogene Daten außerhalb der VR China übertragen werden.

Gemäß dem PIPL wird sensible personenbezogene Daten definiert als personenbezogene Daten, die, wenn sie einmal geleakt oder illegal verwendet werden, leicht Schaden an der Würde natürlicher Personen oder schweren Schaden an der persönlichen oder Eigentumssicherheit verursachen können, einschließlich Informationen über biometrische Merkmale, religiöse Überzeugungen, speziell ausgewiesenen Status, medizinische Gesundheit, Finanzkonten, individuelle Standortverfolgung usw., sowie personenbezogene Daten von Minderjährigen unter 14 Jahren.

Im Einklang mit dem PIPL und wie im Abschnitt 2 detailliert beschrieben, unterliegt die Verarbeitung sensibler personenbezogener Daten der gesonderten Zustimmung der betroffenen Person und erfolgt zu einem bestimmten geschäftlichen Zweck.

Prometric wird keine personenbezogenen Daten von Minderjährigen unter 14 Jahren ohne die ausdrückliche Zustimmung der Eltern oder eines anderen Erziehungsberechtigten erheben. Wir werden personenbezogene Daten über ein Kind nur im gesetzlich zulässigen Umfang verwenden oder offenlegen, gemäß den anwendbaren Gesetzen, um die Zustimmung der Eltern einzuholen oder ein Kind zu schützen. 

Im Falle eines Verstoßes gegen personenbezogene Daten trägt Prometric zivilrechtliche Haftung gegenüber der betroffenen Person, wenn sie die Rechte der betroffenen Person in Bezug auf personenbezogene Daten verletzt, unbeschadet der administrativen, strafrechtlichen oder anderen rechtlichen Haftungen, die der Datenverantwortliche gemäß dem PIPL übernehmen muss.

11. Änderungen der Datenschutzrichtlinie

Das Unternehmen muss möglicherweise seine Richtlinie aktualisieren, um neuen oder anderen Datenschutzpraktiken zu entsprechen. Eine aktualisierte Version dieser Richtlinie wird über einen geeigneten Kanal verfügbar gemacht und gilt für Daten, die nach dem Inkrafttreten gesammelt wurden.

12. Wie Sie uns kontaktieren können und Beschwerdeverfahren

Für Anfragen, Kommentare oder Bedenken zu dieser Richtlinie oder um die durch das anwendbare Recht erlaubten Datenschutzrechte auszuüben, senden Sie bitte eine Anfrage über unser spezielles Portal unter Anfragen zu personenbezogenen Daten.

Darüber hinaus können Sie unseren Datenschutzbeauftragten unter folgender Adresse kontaktieren: privacy@prometric.com

Sie können uns auch per Post erreichen unter: 

Prometric Privacy Team 
Prometric LLC
6211 Greenleigh Avenue, Suite 400  
Middle River, MD 21220  
USA 

Im Einklang mit dem EU-US DPF, der UK-Erweiterung des EU-US DPF und dem Schweizer-US DPF verpflichtet sich das Unternehmen, mit dem Rat des Panels, das von den EU-Aufsichtsbehörden, dem britischen Informationsbeauftragten (ICO) und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (FDPIC) eingerichtet wurde, in Bezug auf ungelöste Beschwerden über unseren Umgang mit personenbezogenen Daten, die auf Grundlage des EU-US DPF, der UK-Erweiterung des EU-US DPF und des Schweizer-US DPF erhalten wurden, zu kooperieren und diese zu befolgen.

Wenn Ihre DPF-Beschwerde nicht über die oben genannten Kanäle gelöst werden kann, können Sie unter bestimmten Voraussetzungen ein verbindliches Schiedsverfahren für einige verbliebene Ansprüche anrufen, die nicht durch andere Rechtsmittel gelöst wurden. 

Sie haben auch das Recht, eine Beschwerde direkt bei der zuständigen Aufsichtsbehörde in Ihrer relevanten Zuständigkeit einzureichen.