Version: 1.0. Gültig ab 1. Mai 2026.
Diese Richtlinie erläutert, wie Prodigi Group Ltd und ihre Tochter- und verbundenen Gesellschaften („Prodigi", "wir", "uns") Verletzungen des Schutzes personenbezogener Daten und Sicherheitsvorfälle erkennen, eindämmen, untersuchen, melden und darauf reagieren. Sie unterstützt die in der Datenschutz- und Cookie-Richtlinie sowie im Auftragsverarbeitungsvertrag (AVV) eingegangenen Verpflichtungen und wird durch detaillierte interne Verfahren zur Vorfallsreaktion ergänzt.
1. Anwendungsbereich und Rollen
1.1 Prodigi verarbeitet personenbezogene Daten in unterschiedlichen Rollen. Soweit Prodigi als Verantwortlicher handelt, unterstützt diese Richtlinie die eigenen Meldepflichten von Prodigi nach geltendem Datenschutzrecht (einschließlich der UK GDPR, des Data Protection Act 2018 und der DSGVO). Soweit Prodigi Händlerkundendaten als Auftragsverarbeiter verarbeitet, unterstützt diese Richtlinie die Verpflichtung von Prodigi, den jeweiligen Händler unverzüglich zu informieren, damit dieser seinen eigenen Pflichten als Verantwortlicher nachkommen kann.
1.2 Diese Richtlinie gilt für alle von Prodigi verarbeiteten personenbezogenen Daten, unabhängig vom Format, sowie für alle Mitarbeitenden, Auftragnehmer, Berater, Lieferanten und Unterauftragsverarbeiter, die personenbezogene Daten im Auftrag von Prodigi verarbeiten.
2. Begriffsbestimmungen
2.1 „Verletzung des Schutzes personenbezogener Daten" hat die im geltenden Datenschutzrecht festgelegte Bedeutung und umfasst eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
2.2 „Sicherheitsvorfall" bezeichnet jedes Ereignis oder jede Handlung, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeme oder Daten von Prodigi beeinträchtigen kann, unabhängig davon, ob es sich um eine Verletzung des Schutzes personenbezogener Daten handelt.
3. Meldung eines Vorfalls
3.1 Verletzungen des Schutzes personenbezogener Daten, die Prodigi oder Händlerkundendaten betreffen, sowie Sicherheitsvorfälle und Schwachstellenmeldungen sind an dpo@prodigi.com zu richten.
3.2 Unterauftragsverarbeiter und Erfüllungspartner sind vertraglich verpflichtet, Verletzungen des Schutzes von Händlerkundendaten gegenüber Prodigi unverzüglich zu melden.
3.3 Eine Erstmeldung sollte, soweit bekannt, Folgendes enthalten: Art des Vorfalls; Zeitpunkt des Eintritts oder der Entdeckung; Art und ungefährer Umfang der betroffenen personenbezogenen Daten; ungefähre Anzahl der betroffenen Personen; sowie unmittelbar getroffene Eindämmungsmaßnahmen.
4. Reaktion und Untersuchung
4.1 Prodigi nimmt unverzüglich, möglichst innerhalb von 24 Stunden nach Entdeckung oder Meldung, eine erste Bewertung vor. Falls der Vorfall noch andauert, werden unverzüglich Maßnahmen zur Eindämmung ergriffen.
4.2 Prodigi bewertet die Schwere des Vorfalls und das Risiko für die betroffenen Personen, einschließlich der Art und Sensibilität der betroffenen Daten, der vorhandenen Schutzmaßnahmen, des Verbleibs der Daten sowie weiterer Folgen.
4.3 Soweit angemessen, zieht Prodigi externe Berater hinzu und informiert Strafverfolgungsbehörden, Aufsichtsbehörden, Banken, Kartenorganisationen oder Versicherungen.
5. Meldungen
5.1 Soweit Prodigi als Verantwortlicher handelt und ein Vorfall eine meldepflichtige Verletzung des Schutzes personenbezogener Daten nach geltendem Datenschutzrecht darstellt, meldet Prodigi den Vorfall der zuständigen Aufsichtsbehörde unverzüglich und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden.
5.2 Soweit Prodigi Händlerkundendaten als Auftragsverarbeiter verarbeitet, informiert Prodigi den jeweiligen Händler nach Bekanntwerden einer Verletzung des Schutzes von dessen Daten unverzüglich gemäß dem AVV. Der Händler bleibt dafür verantwortlich zu beurteilen, ob und wie Aufsichtsbehörden und betroffene Personen zu benachrichtigen sind.
5.3 Soweit nach geltendem Datenschutzrecht erforderlich, informiert Prodigi betroffene Personen unverzüglich, wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten zur Folge hat. Mitteilungen umfassen, soweit angemessen, eine Beschreibung des Vorfalls und der betroffenen Daten, klare Hinweise zu Schutzmaßnahmen, ergriffene Maßnahmen zur Risikominderung und Kontaktmöglichkeiten für weitere Informationen.
6. Aufzeichnungen
6.1 Prodigi führt nach geltendem Datenschutzrecht ein internes Verzeichnis von Verletzungen des Schutzes personenbezogener Daten und wesentlicher Sicherheitsvorfälle, einschließlich der den Vorfall betreffenden Tatsachen, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen. Das Verzeichnis wird Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.
7. Überprüfung und Verbesserung
7.1 Nach jedem wesentlichen Vorfall überprüft Prodigi die Ursachen, die Wirksamkeit der Reaktion und etwaige Anpassungen an Systemen, Prozessen oder Kontrollen. Soweit angemessen, werden Empfehlungen dem Vorstand der Prodigi Group berichtet.
8. Meldung von Vorfällen an Prodigi
Meldungen zu Datenschutzverletzungen, Sicherheitsvorfällen und Schwachstellenmeldungen: dpo@prodigi.com
Postanschrift: Data Protection, Prodigi, Unit 20, Caker Stream Road, Alton, Hampshire, GU34 2QA, UK.