Einführung

Die Allgemeine Datenschutzverordnung hat große Auswirkungen auf die Verwendung personenbezogener Daten in MoveYou. Es gibt jedoch noch viele offene Standards, die in der Datenschutzgesetzgebung zu finden sind. Wann sprechen wir von einem "hohen" Risiko? Wann hat MoveYou "Zweifel" an der Identität eines Kunden und was sind "angemessene Maßnahmen"? Dies sind nur einige der Fragen, die sich täglich stellen können. Die vorliegende Datenschutzerklärung konkretisiert diese Begriffe durch rechtlich begründete Rahmenbedingungen und Kriterien mit dem Ziel, eine einheitliche Linie für das Verhalten von MoveYou zu finden. MoveYou leitet die Befugnis, Richtlinien zu diesem Thema zu verfassen, aus Artikel 24(2) GDPR ab.

MoveYou ist sich bewusst, dass seine Dienste bis zu einem gewissen Grad in die Privatsphäre seiner Nutzer eingreifen, schließlich wird die Reise der Nutzer verfolgt. Es sollte beachtet werden, dass die Nutzer die Dienste von MoveYou freiwillig nutzen, indem sie sich registrieren und sich vorher gründlich informieren. Dieses Dokument erklärt, wie MoveYou die Privatsphäre seiner Nutzer und Mitarbeiter schützt, wie es mit persönlichen Daten umgehen möchte und wie einige offene Normen aus der GDPR umgesetzt werden. Kurz gesagt: Dieses Dokument enthält keine Wiederholung bereits bekannter Rechtsvorschriften, sondern eine Auslegung der offenen Normen und Antworten auf die Frage, wie MoveYou mit personenbezogenen Daten umgehen möchte.

Zur Klarstellung: Diese Richtlinie dient nicht dazu, Kunden oder Mitarbeiter über den Umgang mit ihren personenbezogenen Daten zu informieren. Die Datenschutzerklärung für Kunden ist auf der Website zu finden und für Mitarbeiter im Leitfaden für Mitarbeiter.

Grundsätze

Bei MoveYou dreht sich alles um Daten. Für den Umgang mit Daten gibt es bei MoveYou eine Reihe von Grundwerten, die auch in den ethischen Richtlinien verankert sind. Die Grundwerte sind einfach:

• Transparenz
• Sorgfältigkeit
• Keine Diskriminierung
• Künstliche Intelligenz nur zur Vorhersage des Reiseverhaltens und zur Bonitätsprüfung verwenden

Mitarbeiter

Die Sicherheit von personenbezogenen Daten beginnt bei den Mitarbeitern. Wie stellt MoveYou sicher, dass die Mitarbeiter mit personenbezogenen Daten sorgsam umgehen?

• Eine angemessene Einstellungspolitik (ggf. ein Führungszeugnis) Die Mitarbeiter kennen eine strenge Geheimhaltungsvereinbarung, die sie bei der Einstellung unterschreiben. Sie unterschreiben auch, dass sie den Leitfaden für Mitarbeiter gelesen haben, der diese Politik und die 10 goldenen Regeln enthält.

• Eine interne Datenschutzerklärung, die erklärt, wie mit den persönlichen Daten unserer Mitarbeiter umgegangen wird. MoveYou ist davon überzeugt, dass eine gute Betreuung der Mitarbeiter sich auch auf den Umgang mit den personenbezogenen Daten unserer Kunden auswirkt.

• Die 10 goldenen Regeln für Mitarbeiter, die in unserem Leitfaden für Mitarbeiter enthalten sind:

1. Seien Sie sich bewusst , dass Sie mit den personenbezogenen Daten anderer arbeiten, und handeln Sie entsprechend. Behandeln Sie die Daten genau so, wie Sie möchten, dass Ihre Daten von anderen behandelt werden.
2. Informieren Sie sich über die Richtlinien und Vorschriften von MoveYou zum Umgang mit personenbezogenen Daten.
3. Machen Sie sich klar, dass Kunden das Recht haben, ihre persönlichen Daten einzusehen, einschließlich Ihrer E-Mail, falls sie dort enthalten ist. Wenn Sie über Kunden schreiben, schreiben Sie es so, dass diese E-Mail auch morgen auf der Titelseite des Telegraph erscheinen kann.
4. Integrität ist der Schlüssel; geben Sie Daten nicht einfach so an andere weiter. Dies gilt nicht nur innerhalb von MoveYou, sondern auch außerhalb der Organisation.
5. Stellen Sie sicher, dass Sie ein gutes Passwort haben. Noch besser ist eine Passphrase. Ersetzen Sie Buchstaben durch Zahlen und Symbole. Etwas wie "M0bilityi$futur€22", aber natürlich anders!
6. Sprechen Sie mit Ihren Kollegen, wenn Sie sehen, dass mit den persönlichen Daten von Kunden nicht sorgfältig umgegangen wird. Seien Sie aber auch offen für Feedback und Veränderungen.
7. Zweifeln Sie daran, dass Sie korrekt mit personenbezogenen Daten umgehen? Fragen Sie die Geschäftsführung oder den Datenschutzbeauftragten über fg@moveyou.com.
8. Haben Sie den Verdacht auf eine Datenschutzverletzung? Studieren Sie das Protokoll über Datenschutzverletzungen (Teil des Leitfadens für Mitarbeiter) und melden Sie es so schnell wie möglich!
9. Gut, dass Sie ihn los sind! Lassen Sie keinen Papierkram auf Ihrem Schreibtisch liegen und schließen Sie Ihren Computer ab, wenn Sie Ihren Arbeitsplatz verlassen.
10. Und nicht zuletzt: Denken Sie mit! Haben Sie Ideen, wie wir gemeinsam noch besser mit Daten umgehen können? Fehlt Ihnen eine Information? Teilen Sie sie!

Maßnahmen

Um die Sicherheit der personenbezogenen Daten unserer Kunden und Mitarbeiter zu gewährleisten, werden die folgenden Maßnahmen ergriffen:

• Physische Zugangssicherung in und um die Räumlichkeiten durch:
  • Kameras
  • Zugang mit Hilfe von Gesichtserkennung
  • Zugang zu einigen Schlüsselbereichen per Fingerabdruck
• Tägliche Backups auf den Servern von Amazon
• Berechtigungsmatrix auf der Software und den Computerdisketten
• Kontrolle des gewährten Zugangs zu Räumlichkeiten und Software
• Sensibilisierung für den Datenschutz und Sicherheitsschulungen.
• Leitlinien für den Einsatz von IKT-Instrumenten
• Vertraulichkeitsvereinbarungen für Mitarbeiter
• Service Level Agreements
• Überprüfung des Personals (Referenzen und ggf. Führungszeugnis)
• Festlegung von Rollen, Verantwortlichkeiten und Vereinbarungen mit externen Parteien, z. B. in Bezug auf die Haftung
• Durchführung von EPIAs und jährliche Überprüfung
• Obligatorischer jährlicher Ethikausschuss und bei der Entwicklung neuer Dienstleistungen und Produkte
• Passwort-Politik
• Daten verschlüsseln
• Multifaktorielle Authentizität
• Regelmäßiges Hacking und Pen-Tests
• Verfahren bei Datenschutzverletzungen

MoveYou strebt mit der Zeit eine ISO-Zertifizierung an. Darüber hinaus möchte MoveYou eine Multifaktor-Authentifizierung für den Endnutzer-Teil der App anbieten.

Transparenz

Auf der Grundlage von Art. 13 und 14 GDPR ist MoveYou verpflichtet, die Beteiligten über eine Reihe von Fragen im Zusammenhang mit der Verwendung personenbezogener Daten zu informieren. MoveYou hat auf seiner Website eine Datenschutzerklärung erstellt. Die Nutzer werden bei der Registrierung auf die Datenschutzerklärung aufmerksam gemacht und verpflichten sich, diese zu lesen, bevor sie die Dienste nutzen. Eine vollständige Transparenz kann MoveYou jedoch aus Wettbewerbsgründen nicht einhalten. Denn wenn MoveYou offenlegen würde, welche (öffentlichen) Quellen zum Tracking der Kunden genutzt werden, würde es damit sein Geschäftsgeheimnis preisgeben. Da dies nicht ganz im Einklang mit der Transparenzverpflichtung der DSGVO steht, bemüht sich MoveYou um größtmögliche Transparenz und die Liste ist nicht abschließend, sondern enthält einige Beispiele. All dies, um Artikel 14 Absatz 5 Buchstabe B GDPR zu gewährleisten. Sollte ein Kunde darauf bestehen, eine vollständige Liste zu erhalten, wird MoveYou sich mit dem Antragsteller treffen, um die Möglichkeiten gemeinsam zu besprechen. MoveYou hat die Absicht, zusätzlich zu der schriftlichen Datenschutzerklärung, diese auch auf visuellem Material in Form eines Videos auf der Website zu zeigen.

Kunden & Mitfahrer

Vereinbarungen über die gemeinsame Nutzung von Daten werden mit jedem Kunden und Mitfahrer getroffen. Kunden und Mitfahrer sind nicht als Auftragsverarbeiter zu betrachten (weil sie unter eigener Verantwortung und in eigenem Namen handeln1), sondern als für die Verarbeitung Verantwortliche im Sinne der DSGVO. MoveYou ist aus denselben Gründen wie oben erwähnt ebenfalls als für die Verarbeitung Verantwortlicher und nicht als Auftragsverarbeiter im Namen der anderen Partei einzustufen. Darüber hinaus bestimmt MoveYou selbst die Zwecke und Mittel und hat darüber hinaus einen großen tatsächlichen Einfluss auf die Verarbeitung der Daten. Schließlich wird in den Apps immer darauf hingewiesen, dass sie von MoveYou betrieben werden, was bedeutet, dass sowohl der Kunde, der Mitfahrer als auch MoveYou als (unabhängige) Verantwortliche im Sinne der DSGVO betroffen sind. Aus diesem Grund ist ein Auftragsverarbeitungsvertrag im Sinne von Art. 28 GDPR nicht zwingend erforderlich. Da die Gesetzgebung und Rechtsprechung im Bereich der Vereinbarungen über die gemeinsame Nutzung von Daten in anderen Situationen als der Verarbeitung noch nicht geklärt ist und in einigen Fällen eine gemeinsame Verantwortung im Sinne von Art. 26 GDPR, werden Vereinbarungen über die gemeinsame Nutzung von Daten mit jedem Kunden getroffen. Zu diesem Zweck hat MoveYou Standardklauseln, die Teil des Hauptvertrags sind und von der Rechtsabteilung geprüft wurden. Werden Vereinbarungen getroffen, die von diesen Standardklauseln abweichen, oder weicht die Dienstleistung vom Üblichen ab, wird die Vereinbarung der Rechtsabteilung vorgelegt.

1 Im Gegensatz zu dem, was in Art. 28(1) GDPR.

Ethische und datenschutzrechtliche Folgenabschätzung

Die DSGVO verlangt von den für die Verarbeitung Verantwortlichen die Durchführung einer Datenschutz-Folgenabschätzung für die Verarbeitung, insbesondere dann, wenn sie den Einsatz neuer Technologien beinhaltet. Darüber hinaus ist eine Datenschutz-Folgenabschätzung (im Folgenden: DPIA) erforderlich, wenn eine systematische und umfassende Bewertung personenbezogener Aspekte natürlicher Personen erfolgt, die auf einer automatisierten Verarbeitung, einschließlich Profiling, basiert und auf der Entscheidungen beruhen, die Rechtswirkungen für die natürliche Person haben oder die natürliche Person in ähnlicher Weise erheblich beeinträchtigen.

Angesichts des Einsatzes von künstlicher Intelligenz, Nutzertracking und Bonitätsprüfungen führt MoveYou diese DPIA durch. Es ist nicht möglich, dies in einer verständlichen Weise für die Plattform als Ganzes durchzuführen. Daher wird die Risikoanalyse für die folgenden Dienste separat durchgeführt:

• Tanken
• Laden
• Parken
• Gemeinsamer Verkehr/OV
• Nachzahlung (privat & geschäftlich) o Mobilitätsdaten

MoveYou hat sich dafür entschieden, nicht nur die gesetzlich vorgeschriebenen Komponenten abzubilden, sondern auch ethische Fragen zu behandeln. Schließlich berühren die Dienste nicht nur die Privatsphäre der Nutzer, sondern werfen auch viele soziale und ethische Fragen auf. Aus diesem Grund verwendet MoveYou die Bezeichnung Ethical & Privacy Impact Assessment (EPIA) für die DPIA. EPIAs stehen verpflichtend auf der Tagesordnung der Ethikkommission und werden halbjährlich überprüft.

Ethikkommission

In Anbetracht der Sensibilität und der gesellschaftlichen Ansichten über Nutzer-Tracking und künstliche Intelligenz möchte MoveYou dies nicht blindlings einsetzen, auch wenn die Registrierung völlig freiwillig ist. Aus diesem Grund hat MoveYou einen Ethikausschuss eingerichtet, der jährlich die Produkte und Dienstleistungen von MoveYou überprüft und diskutiert, ob sie zu diesem Zeitpunkt noch ethisch vertretbar sind. Der Ausschuss tut dies anhand der EPIA. Neben der jährlichen Überprüfung tritt der Ausschuss auch zusammen, wenn neue Dienstleistungen und Produkte entwickelt werden, die im Rahmen der "Privacy by Design"-Verpflichtung2 frühzeitig in den Prozess einbezogen werden. Das Ethikkomitee besteht aus 5 wechselnden Mitgliedern, die keine MoveYou-Mitarbeiter sind und von der MoveYou-Geschäftsführung über die betreffende Dienstleistung und das betreffende Produkt unterrichtet werden. Mittels Abstimmung entsteht eine gewichtige Meinung, die die Geschäftsleitung nur mit Recht ignorieren kann.

Datenschutzbeauftragter

Die Datenschutz-Grundverordnung verpflichtet die für die Verarbeitung Verantwortlichen, einen Datenschutzbeauftragten (DSB) zu ernennen, wenn sie hauptsächlich für Verarbeitungsvorgänge verantwortlich sind, die eine regelmäßige und systematische Beobachtung der betroffenen Personen erfordern (3). In Anbetracht des Kerngeschäfts von MoveYou wurde aus diesem Grund die Unternehmensjuristin Elles Caroline Boer als DSB bestellt.

Protokoll über Datenschutzverletzungen

MoveYou arbeitet täglich mit persönlichen Daten. Trotz der Sorgfalt und der Sicherheitsmaßnahmen, die ergriffen werden, kann manchmal etwas schief gehen. In diesem Protokoll erfahren Sie, was genau eine Datenschutzverletzung ist, wie Sie sie verhindern können und wie Sie sich verhalten sollten, wenn Sie glauben, eine Datenschutzverletzung entdeckt zu haben.

Was ist eine Datenschutzverletzung?

Von einer Datenschutzverletzung spricht man, wenn Daten unbeabsichtigt gelöscht, verloren oder verändert wurden. Aber auch dann, wenn es zu einem Zugriff durch andere gekommen ist oder Daten in die Hände von Personen gelangt sind, obwohl dies nicht beabsichtigt war. Wussten Sie, dass etwas sehr schnell als Datenschutzverletzung gewertet werden kann? Ein falscher Empfänger einer E-Mail oder eines Briefes, ein Ausdruck, der am Drucker liegen gelassen wurde, oder versteckte Anhänge, Filter und Registerkarten in einer gesendeten Excel-Datei. Das kann jedem von uns passieren.

Was sollten Sie tun?

Melden Sie eine vermutete Datenschutzverletzung so schnell wie möglich der Geschäftsleitung und beantworten Sie die nachstehenden Fragen. Einige Datenschutzverletzungen müssen der Aufsichtsbehörde, der niederländischen Datenschutzbehörde (im Folgenden: DPA), gemeldet werden. Dies muss schnell geschehen, nämlich innerhalb von 72 Stunden. Es ist daher wichtig, dass Sie jede Verletzung des Datenschutzes so schnell wie möglich melden. Der behördliche Datenschutzbeauftragte (der interne Datenschutzbeauftragte, in unserem Fall Elles Caroline Boer) prüft zunächst, ob es sich um eine Datenschutzverletzung handelt und dann, ob sie ein großes Risiko für die betroffenen Personen darstellt und ob sie informiert werden sollten. Sie möchten wissen, wie der DSB eine Datenschutzverletzung bewertet? Das können Sie weiter unten nachlesen.

Dies ist nicht der einzige Grund für eine Benachrichtigung. MoveYou ist gesetzlich verpflichtet, über alle Datenschutzverletzungen Buch zu führen (4). Auf diese Weise kann die Aufsichtsbehörde uns zur Rechenschaft ziehen, wenn wir eine Datenschutzverletzung nicht gemeldet haben, obwohl wir dies hätten tun sollen.

(3) Art. 37(5) unter B GDPR. 

(4) Art. 33(5) GDPR.

Fragebogen zur Meldung einer (vermuteten) Datenschutzverletzung an den DSB:

1. Wann und zu welchem Zeitpunkt ist der (mutmaßliche) Verstoß erfolgt?
2. Welche Arten von personenbezogenen Daten wurden weitergegeben? Zum Beispiel Name, Sozialversicherungsnummer, Finanzdaten, (Kopien) von Ausweispapieren, Fotos.
3. Wurden die durchgesickerten Daten verschlüsselt und wenn ja, wie?
4. Wie groß ist (ungefähr) die Gruppe der Personen, deren Daten durchgesickert sind?
5. Auf welche Weise ist das Leck entstanden? Beschreiben Sie den Vorfall so vollständig wie möglich: Was ist passiert?
6. Ging das Leck an Dritte oder Einzelpersonen? Wenn ja, handelt es sich dabei um einen Lieferanten oder Partner von MoveYou?
7. Was haben Sie nach dem Vorfall unternommen, um die Datenverletzung oder den Vorfall zu beheben oder abzumildern?
8. Was könnten die möglichen Folgen für die Daten sein? Zum Beispiel könnte ein unbefugter Zugriff erfolgen, ein Dienst könnte (vorübergehend) nicht erbracht werden, die Daten könnten nicht mehr korrekt sein, oder die Daten könnten auf unzulässige oder rechtswidrige Weise verwendet werden.
9. Ist es möglich, die durchgesickerten persönlichen Daten aus der Ferne zu löschen oder unzugänglich zu machen? Wenn ja, wurde dies bereits getan?
10. Wie hoch ist der potenzielle Schaden für die betroffenen Personen? (Denken Sie z. B. an Diskriminierung, Rufschädigung, Identitätsdiebstahl oder Betrug oder finanzielle Verluste).
11. Ist der Vorfall inzwischen geklärt?
12. Ist es möglich, zusätzliche technische und/oder organisatorische Maßnahmen zu ergreifen, um einen ähnlichen Vorfall zu verhindern? Wenn ja, welche technischen und/oder organisatorischen Maßnahmen?
13. Falls weitere Informationen benötigt werden, wie lautet Ihr Name und unter welcher Telefonnummer sind Sie zu erreichen?

Wie kann man sie verhindern?

Das liegt auf der Hand, aber Sie sollten die Empfänger Ihres Briefes oder Ihrer E-Mail immer doppelt überprüfen. Und indem Sie einen zusätzlichen Blick auf den Inhalt und etwaige Anhänge werfen. Seien Sie sich einfach bewusst, dass Sie mit personenbezogenen Daten arbeiten, und handeln Sie entsprechend.

Datenschutzverletzung bei Partnern

Es kann vorkommen, dass Daten an eine Partei weitergegeben werden, mit der wir zusammenarbeiten oder an die wir Arbeiten ausgelagert haben. In den Verträgen mit diesen Partnern haben wir Vereinbarungen darüber getroffen, was im Falle einer Datenpanne zu tun ist. In den meisten Fällen wurde vereinbart, dass der Datenschutzbeauftragte von MoveYou kontaktiert wird.

Verletzung des Datenschutzes bei der Bewertung

In der Datenschutz-Grundverordnung heißt es zur Meldung einer Datenschutzverletzung Folgendes: "Ist eine Verletzung des Schutzes personenbezogener Daten eingetreten, so meldet der für die Verarbeitung Verantwortliche dies dem für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung und nach Möglichkeit spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, es sei denn, die Verletzung des Schutzes personenbezogener Daten stellt wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen dar."

Was ist ein Risiko?

Ein Risiko besteht, wenn die Datenverletzung zu einem physischen, materiellen oder immateriellen Schaden für die Personen führen kann, deren Daten Gegenstand des Lecks sind. Beispiele für solche Schäden sind Diskriminierung, Identitätsdiebstahl oder Betrug, finanzielle Verluste und Rufschädigung. Handelt es sich bei dem Datenleck um personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, oder um personenbezogene Daten, die genetische Daten oder Daten über die Gesundheit oder das Sexualleben enthalten, oder um strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherheitsmaßnahmen, sollte ein solcher Schaden als wahrscheinlich angesehen werden.

Die Datenschutzbehörde hat eine Anleitung zur Bewertung dieses Risikos herausgegeben. Wenn die personenbezogenen Daten an einen falschen, aber zuverlässigen Empfänger gesendet wurden, kann dies bedeuten, dass die Datenverletzung kein Risiko mehr darstellt. Zuverlässig" bedeutet nach Ansicht der Datenschutzbehörde, dass mit hinreichender Sicherheit gesagt werden kann, dass der falsche Empfänger keinen Schaden anrichten will. Zum Beispiel, dass der Empfänger nichts mit den versehentlich erhaltenen Daten macht und alle Anweisungen befolgt, wie z. B. sie zu vernichten oder zurückzugeben. Die Datenschutzbehörde weist auf ihrer Website darauf hin, dass zum Beispiel eine Partei, mit der eine Geschäftsbeziehung besteht, wie ein regelmäßiger Lieferant oder Partner, als vertrauenswürdig angesehen werden könnte. Bei der Bewertung des Risikos einer Datenpanne wird der Rat der Datenschutzbehörde befolgt.

Auf der Grundlage der oben genannten Kriterien entscheidet der DSB, ob ein Vorfall als Datenschutzverletzung einzustufen ist und ob er der Datenschutzbehörde gemeldet werden sollte.

Meldung einer Datenschutzverletzung an die betroffene Person

Nicht alle Datenverletzungen, die der Datenschutzbehörde gemeldet werden, müssen auch der/den betroffenen Person(en) gemeldet werden; nur wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person(en) darstellt, muss die Datenverletzung der betroffenen Person gemeldet werden.

Eine Datenschutzverletzung muss der betroffenen Person nicht gemeldet werden, wenn :

• Geeignete technische und organisatorische Maßnahmen zur Risikominderung wurden unverzüglich, spätestens jedoch innerhalb von 24 Stunden, ergriffen;
• Maßnahmen zur Minimierung des hohen Risikos für die Rechte und Freiheiten der betroffenen Personen wurden unverzüglich, spätestens jedoch innerhalb von 24 Stunden, ergriffen;
• Eine solche Mitteilung würde einen unverhältnismäßigen Aufwand bedeuten. Stattdessen reicht eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zur Information der betroffenen Personen aus.

Rechte der betroffenen Personen

Nach der Datenschutz-Grundverordnung haben die betroffenen Personen verschiedene Rechte in Bezug auf ihre personenbezogenen Daten. Diese Rechte, etwaige Einschränkungen dieser Rechte und Ablehnungsgründe werden im Folgenden erläutert.

Betroffene Personen können folgende Anfragen oder Einwände an MoveYou richten:

• Recht auf Information (Art. 13 und 14 GDPR)
• Recht auf Auskunft (Art. 15 GDPR)
• Recht auf Berichtigung und/oder Ergänzung (Art. 16 GDPR)o Recht auf Vergessenwerden (Art. 17 GDPR)
• Recht auf Einschränkung der Verarbeitung (Art. GDPR) o Recht auf Widerspruch (Art. 21 GDPR)
• Recht auf Datenübertragbarkeit (Art. 20 GDPR)

Diese Grundrechte sind sehr wichtig, aber sie sind nicht absolut. Das bedeutet, dass manchmal ein anderes (Grund-)Recht mehr Gewicht hat oder dass es (rechtliche) Gründe gibt, diese Rechte einzuschränken oder zu verweigern.

Beschränkungen

Zweck des Rechts auf Zugang

Das Auskunftsrecht der betroffenen Person bedeutet nicht, dass MoveYou verpflichtet ist, eine Kopie der Dokumente, die die personenbezogenen Daten enthalten, zur Verfügung zu stellen. MoveYou kann dies tun, kann aber auch eine andere Form wählen, sofern der Zweck der Auskunft mit dieser Art der Bereitstellung erfüllt wird. Der Zweck von Art. 15 DSGVO ist es, der betroffenen Person die Möglichkeit zu geben, sich über die Verarbeitung zu informieren und deren Rechtmäßigkeit zu überprüfen. Natürlich möchte MoveYou Kunden entgegenkommen, die einfach nur eine Kopie bestimmter Artikel erhalten möchten (und die Rechtmäßigkeit nicht überprüfen wollen), aber dies ist eine Form des Kundendienstes, die nicht an Bearbeitungsfristen und andere rechtliche Formalitäten gebunden ist.

Rechte und Freiheiten der anderen

Wenn einer Anfrage entsprochen wird, werden die Namen von Dritten (z. B. Mitarbeitern oder anderen Nutzern) anonymisiert oder nicht angegeben, um deren Rechte und Freiheiten zu schützen.

Die Beweislast

Wenn der Betroffene der Meinung ist, dass die vorgelegten Unterlagen unvollständig sind und MoveYou erklärt hat, dass sich nach einer Untersuchung herausgestellt hat, dass ein bestimmtes Dokument nicht (mehr) vorhanden ist und dies nicht unplausibel erscheint, liegt es am Antragsteller, das Gegenteil plausibel zu machen.

Andere Ablehnungsgründe

Ein Antrag kann (teilweise) abgelehnt werden aus Gründen der nationalen und öffentlichen Sicherheit, der Verhütung, Aufdeckung und Verfolgung von Straftaten und zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder aus anderen Gründen, die in Art. 23 GDPR.

MoveYou kann eine Anfrage ablehnen, wenn sie offensichtlich überzogen ist, oder eine Gebühr erheben, wenn dies der Fall ist. Aufgrund der Datenmenge, über die MoveYou verfügt, und der Bearbeitungszeit gelten mehr als zwei Anfragen pro Kalenderjahr als übermäßig. Eine Anfrage kann auch abgelehnt werden, wenn die Voraussetzungen, wie z.B. die Identifizierung (mehr dazu später), nicht erfüllt sind.

Schließlich kann ein Ersuchen abgelehnt werden, wenn der Verdacht auf Rechtsmissbrauch besteht. Rechtsmissbrauch liegt vor, wenn eine solche Befugnis zu einem anderen Zweck als dem, für den sie erteilt wurde, verwendet wird; daher kann der Zweck des Ersuchens für die Beurteilung, ob ein Rechtsmissbrauch vorliegt, von Bedeutung sein. Im Zweifelsfall wird eine Erläuterung des Zwecks verlangt. Beispiele für einen Rechtsmissbrauch sind Ersuchen, die darauf abzielen, die Entlassung eines Arbeitnehmers anzufechten, seine Unschuld zu beweisen oder einen Rechtsstreit anzustrengen.

Identifizierungspolitik

Wenn eine betroffene Person eine Anfrage gemäß der DSGVO stellt, wird die Identität überprüft, um sicherzustellen, dass sich die Anfrage auf die richtige Person bezieht. MoveYou fordert ausdrücklich keine Kopie eines Ausweises an, um eine unrechtmäßige Verarbeitung zu verhindern. In den meisten Fällen verfügt MoveYou bereits über eine große Menge an personenbezogenen Daten des Antragstellers. In diesem Fall werden eine Reihe von Verifizierungsfragen gestellt, vorzugsweise per Telefon, wie z.B. Adresse, Kennzeichen, Geburtsdatum, um festzustellen, ob das richtige Profil der richtigen Person zugeordnet ist. Wenn der MoveYou-Mitarbeiter Zweifel an der Identität des Bewerbers hat, z.B. weil die Stimme nicht zum Alter oder Geschlecht passt oder wenn die Verifizierungsfragen zweifelhaft beantwortet werden, fordert der MoveYou-Mitarbeiter den Bewerber auf, sich im Büro in Franeker oder Amsterdam auszuweisen. Sollte dies nicht möglich sein, wird versucht, den Antragsteller per Videotelefonie zum Identitätsnachweis zu bewegen.

Überwachungsplan

Um den Schutz der Privatsphäre der Nutzer und Mitarbeiter zu gewährleisten, wird der folgende Überwachungsplan verwendet. Dieser wird der Geschäftsleitung direkt und gegebenenfalls jährlich gemeldet.