INTERNE DATENSCHUTZRICHTLINIE

Internes Governance-Dokument der LakeHouse S.à r.l-S. Vertraulich. Nicht veröffentlichen.

DOKUMENTENKLASSIFIZIERUNG

• Art: Interne Richtlinie — Governance-Dokument.
• Empfänger: Mitarbeiter, Berater, Praktikanten und Dienstleister mit Zugang zu personenbezogenen Daten.
• Externe Verbreitung: ohne ausdrückliche Genehmigung der Geschäftsführung untersagt.
• Rolle: dient als Konformitätsnachweis gemäß Artikel 5 Absatz 2 der DSGVO (Rechenschaftspflicht) im Falle einer CNPD-Kontrolle.

1. Gegenstand und Geltungsbereich

Diese Richtlinie definiert die Regeln, Verantwortlichkeiten und Verfahren, die von LakeHouse S.à r.l-S (nachfolgend „die Gesellschaft"), die die Marke Fantino® betreibt, im Bereich des Schutzes personenbezogener Daten angewandt werden, gemäß der Verordnung (EU) 2016/679 (nachfolgend „DSGVO") und dem luxemburgischen Gesetz vom 1. August 2018 über die Organisation der Nationalen Kommission für den Datenschutz und das allgemeine Datenschutzregime.

Sie gilt für alle Mitarbeiter, Berater, Praktikanten und Dienstleister, die direkt oder indirekt Zugang zu den von der Gesellschaft verarbeiteten personenbezogenen Daten haben. Ihre Einhaltung ist eine Voraussetzung für die Aufrechterhaltung des Zugangs.

2. Leitprinzipien

Jede von der Gesellschaft durchgeführte Verarbeitung personenbezogener Daten respektiert die in Artikel 5 der DSGVO festgelegten Grundsätze:

• Rechtmäßigkeit, Fairness und Transparenz.
• Zweckbindung: Daten werden nur für explizite, festgelegte und legitime Zwecke erhoben.
• Minimierung: Es werden nur unbedingt erforderliche Daten erhoben.
• Richtigkeit: Daten werden aktuell gehalten; unrichtige Daten werden unverzüglich gelöscht oder berichtigt.
• Speicherbegrenzung: Daten werden nicht länger als für den verfolgten Zweck erforderlich aufbewahrt.
• Integrität und Vertraulichkeit: Es werden alle geeigneten Maßnahmen ergriffen, um die Sicherheit der Daten zu gewährleisten.
• Rechenschaftspflicht: Die Gesellschaft ist in der Lage, die Einhaltung dieser Grundsätze nachzuweisen.

3. Governance und Verantwortlichkeiten

3.1 Verantwortlicher für die Verarbeitung

Verantwortlicher für die Verarbeitung ist LakeHouse S.à r.l-S, vertreten durch ihre Geschäftsführung. Die Geschäftsführung ist das oberste Entscheidungsgremium im Bereich des Datenschutzes.

3.2 Datenschutzansprechpartner

Angesichts der Größe der Gesellschaft und der Art ihrer Verarbeitungen ist die formelle Benennung eines Datenschutzbeauftragten (DSB) gemäß Artikel 37 der DSGVO nicht verpflichtend. Ein Datenschutzansprechpartner (nachfolgend „Ansprechpartner") wird dennoch intern durch Beschluss der Geschäftsführung benannt.

Name des Ansprechpartners: [zu ergänzen].
E-Mail: contact@fantinolux.com

Der Ansprechpartner:

• Ist die zentrale Anlaufstelle für jede Frage, jeden Antrag auf Ausübung von Rechten und jede Meldung eines Vorfalls.
• Führt das Verzeichnis der Verarbeitungstätigkeiten.
• Koordiniert die Reaktion auf Anträge zur Ausübung von Rechten und auf Datenschutzverletzungen.
• Führt die jährliche Konformitätsüberprüfung durch.
• Berichtet mindestens einmal jährlich an die Geschäftsführung.

3.3 Individuelle Verantwortlichkeiten

• Jeder Mitarbeiter ist im Rahmen seiner Aufgaben persönlich für die Einhaltung dieser Richtlinie verantwortlich.
• Jeder schwerwiegende Verstoß kann zu einer Disziplinarmaßnahme bis hin zur Kündigung wegen Fehlverhaltens führen.
• Dienstleister sind durch gleichwertige Verpflichtungen über ihren Auftragsverarbeitungsvertrag gebunden.

4. Verzeichnis der Verarbeitungstätigkeiten

Die Gesellschaft führt und pflegt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO. Für jede Verarbeitung nennt es:

• Den Zweck.
• Die Kategorien betroffener Personen und die Datenkategorien.
• Die tatsächlichen und potenziellen Empfänger.
• Die Rechtsgrundlage (Artikel 6 und gegebenenfalls Artikel 9 der DSGVO).
• Die Aufbewahrungsfrist und die sie bestimmenden Kriterien.
• Die technischen und organisatorischen Sicherheitsmaßnahmen.
• Etwaige Übermittlungen außerhalb der Europäischen Union und ihren rechtlichen Rahmen.

Das Verzeichnis wird mindestens einmal jährlich oder bei jeder wesentlichen Änderung (neues Tool, neuer Dienstleister, neuer Erhebungskanal) überprüft.

5. Bestandsaufnahme der Verarbeitungen

Die wichtigsten identifizierten Verarbeitungen sind folgende:

• Verwaltung der Kundschaft und der Bestellungen (Rechtsgrundlage: Erfüllung des Vertrags).
• Führung der Schnittmuster und Werkstattarchive, einschließlich der Körpermaße (Rechtsgrundlage: Erfüllung des Vertrags; verlängerte Dauer durch die Maß-Natur gerechtfertigt — siehe öffentliche Datenschutzrichtlinie, Abschnitt 3).
• Rechnungsstellung und Buchhaltung (Rechtsgrundlage: gesetzliche Verpflichtung — 10 Jahre).
• Newsletter und kommerzielle Mitteilungen (Rechtsgrundlage: Einwilligung, jederzeit widerruflich).
• Verwaltung der Website, nicht wesentliche Cookies, Reichweitenmessung (Rechtsgrundlage: Einwilligung; berechtigtes Interesse für unbedingt erforderliche Cookies).
• Verwaltung der Personalressourcen und der Dienstleister (Rechtsgrundlage: Erfüllung des Vertrags / gesetzliche Verpflichtung).
• Redaktionelle Fotografien und Kundenstimmen (Rechtsgrundlage: ausdrückliche Einwilligung).

6. Verstärkte Verarbeitung der Körpermaße

Die Gesellschaft erkennt an, dass Körpermaße, obwohl sie für die Ausübung ihrer Tätigkeit erforderlich sind, als intim empfunden werden können und sich je nach den Umständen und ihrer Präzision Gesundheitsdaten im Sinne von Artikel 9 der DSGVO annähern können.

Daher wendet sie als Vorsichtsprinzip verstärkte Maßnahmen an, die in der öffentlichen Datenschutzrichtlinie (Abschnitt 3) ausführlich beschrieben und nachstehend wiederholt werden:

• Zugang streng beschränkt auf die direkt an der Bestellung beteiligten Schneider, Zuschneider und Werkstattmitarbeiter.
• Speicherung auf einem verschlüsselten System, getrennt von Marketing- oder Buchhaltungstools.
• Pseudonymisierung beim Austausch mit Partnerwerkstätten.
• Förmliches Verbot der zweckwidrigen Nutzung (persönliche Fotografie, Export, externe Weitergabe).
• Etwaige physische Archivierung unter sicheren Bedingungen (verschlossene Schränke, zugangsbeschränkte Räume).

7. Sicherheitsmaßnahmen

• Verschlüsselung bei der Übertragung (HTTPS/TLS) auf der Website und in allen externen Austauschen.
• Verschlüsselung im Ruhezustand für Datenbanken mit Maßen und sensiblen Daten.
• Zugang zu den Datenbanken über individuelle Zugangsdaten mit starken, regelmäßig erneuerten Passwörtern.
• Zwei-Faktor-Authentifizierung (2FA) für kritische Tools (E-Mail, Hosting-Plattform, CRM, Buchhaltungstool).
• Verschlüsselte Backups in regelmäßigen Abständen, getrennt aufbewahrt.
• Automatische Sperrung der Arbeitsplätze nach Inaktivität; Verbot der Speicherung von Daten auf unverschlüsselten Wechseldatenträgern.
• Jährliche Schulung des Personals in Datenschutz und Cybersicherheit.

8. Auftragsverarbeitung

Jede Auftragsverarbeitungsbeziehung, die einen Zugang zu personenbezogenen Daten beinhaltet, wird durch eine Auftragsverarbeitungsvereinbarung gemäß Artikel 28 der DSGVO geregelt, die vor Beginn der Tätigkeiten unterzeichnet wird.

Jeder Auftragsverarbeiter wird einer Bewertung seiner Garantien unterzogen: etwaige Zertifizierungen, Standort, Sicherheitsmaßnahmen, Vorgeschichte von Verstößen. Die Liste der Auftragsverarbeiter wird vom Ansprechpartner aktuell gehalten und dem Verarbeitungsverzeichnis als Anlage beigefügt.

9. Verfahren zur Bearbeitung von Anträgen auf Ausübung von Rechten

1. Eingang des Antrags per E-Mail, Post oder im Showroom.
2. Eingangsbestätigung innerhalb von 72 Stunden.
3. Angemessene Überprüfung der Identität des Antragstellers.
4. Bearbeitung und Antwort innerhalb einer Frist von höchstens einem Monat (bei komplexen Anträgen um zwei Monate verlängerbar, mit begründeter Information).
5. Nachvollziehbarkeit: Jeder Antrag wird in einem dafür vorgesehenen Register erfasst (Datum, Art, getroffene Maßnahmen).

10. Verfahren im Falle einer Datenschutzverletzung

1. Jeder Vorfall oder Verdacht auf einen Vorfall wird unverzüglich dem Ansprechpartner gemeldet.
2. Bewertung des Risikos für die betroffenen Personen innerhalb von 24 Stunden.
3. Benachrichtigung der CNPD innerhalb von 72 Stunden, wenn das Risiko bestätigt ist (Artikel 33 der DSGVO).
4. Information der betroffenen Personen, wenn das Risiko für ihre Rechte und Freiheiten hoch ist (Artikel 34).
5. Vollständige Erfassung im Verletzungsregister: Art, Folgen, getroffene Maßnahmen.
6. Formalisierte Auswertung zur Vermeidung von Wiederholungen.

11. Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung (DSFA) wird vor jeder neuen Verarbeitung durchgeführt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt, gemäß Artikel 35 der DSGVO. Der Ansprechpartner ist mit ihrer Steuerung beauftragt.

12. Schulung und Sensibilisierung

Jeder neue Mitarbeiter erhält innerhalb der ersten beiden Wochen nach seinem Eintritt eine Sensibilisierung für den Datenschutz. Für das gesamte Personal wird eine jährliche Auffrischungssitzung organisiert. Ein prägnantes schriftliches Dokument ist ständig verfügbar.

13. Überprüfung und Aktualisierung

Diese Richtlinie wird mindestens alle zwölf Monate vom Ansprechpartner und bei jeder wesentlichen regulatorischen oder organisatorischen Änderung überprüft. Die Änderungen werden der Geschäftsführung zur Annahme vorgelegt. Die geltende Fassung ist unterzeichnet und datiert.

14. Sanktionen

• Für Mitarbeiter: verhältnismäßige Disziplinarmaßnahme bis hin zur Kündigung wegen schweren Fehlverhaltens bei vorsätzlichem oder wiederholtem Verstoß.
• Für Dienstleister: Kündigung des Vertrags aus ausschließlichem Verschulden des Auftragsverarbeiters, unbeschadet von Schadenersatzansprüchen.
• Gegebenenfalls Meldung an die zuständigen Behörden, wenn die Tatsachen eine Straftat darstellen.

Anhang — Verzeichnis der wichtigsten Kontakte

• Verantwortlicher für die Verarbeitung: LakeHouse S.à r.l-S
• Sitz: 25B Boulevard Royal, L-2449 Luxemburg
• RCSL: B300387
• Datenschutzansprechpartner: [Name — zu ergänzen]
• Aufsichtsbehörde: CNPD — 15 Boulevard du Jazz, L-4370 Belvaux
• Hoster: Hostinger International Ltd. (Zypern, EU)