Datenschutzrichtlinie

Sprach-Haftungsausschluss:
Diese Richtlinie wird zur Vereinfachung in mehreren Sprachen bereitgestellt. Im Falle von Abweichungen oder Konflikten zwischen den übersetzten Versionen und der englischen Version gilt die englische Version als die offizielle und maßgebliche Richtlinie.

Letzte Aktualisierung: Januar 2026

Einführung

Prometric LLC, einschließlich Paragon und seiner anderen globalen Tochtergesellschaften und Partner (im Folgenden gemeinsam als die „Gesellschaft“, „uns“, „unser“ oder „wir“ bezeichnet) kann je nach seiner Beziehung zu Ihnen, der betroffenen Person, als Datenverantwortlicher oder Datenverarbeiter auftreten. 

Diese Datenschutzrichtlinie (im Folgenden „Richtlinie“) beschreibt unsere Erhebung und Verarbeitung personenbezogener Daten über Testkandidaten, Kunden, Auftragnehmer und Partner (im Folgenden „betroffene Personen“, „Sie“ oder „Ihr“).

Die Gesellschaft bemüht sich, alle Datenschutzgesetze und -vorschriften, in denen die Gesellschaft tätig ist, einzuhalten, einschließlich, aber nicht beschränkt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) („DSGVO“); das California Consumer Privacy Act von 2018 („CCPA“), geändert durch das California Privacy Rights Act von 2020 („CPPA“); das Gesetz zum Schutz personenbezogener Informationen der Volksrepublik China („PIPL“); das Gesetz zum Schutz der Privatsphäre von Kindern im Internet („COPPA“); das Gesetz über die Rechte auf Privatsphäre im Bildungsbereich („FERPA“); und andere relevante Datenschutzgesetze und -vorschriften weltweit. 

Im Rahmen seiner Zertifizierung hält sich die Gesellschaft an das EU-US-Datenschutzrahmenwerk (EU-US DPF), die UK-Erweiterung des EU-US DPF und das Schweizer-US-Datenschutzrahmenwerk (Schweizer-US DPF) und an die Rechte der betroffenen Personen aus der EU, dem Vereinigten Königreich und der Schweiz. Damit unterliegt die Gesellschaft den Ermittlungs- und Durchsetzungsbefugnissen der US Federal Trade Commission (FTC).

Sofern nicht anders angegeben, gelten die folgenden Definitionen für diese Richtlinie:

„Anwendbares Recht“ bezieht sich auf das relevante Datenschutzgesetz oder die anwendbare Vorschrift des jeweiligen Landes, Bundesstaates oder Gebiets. 
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen.
„Verarbeitung“ bezeichnet jede Operation oder Reihe von Operationen, die an personenbezogenen Daten oder an Mengen von personenbezogenen Daten durchgeführt wird, unabhängig davon, ob dies automatisiert erfolgt, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abfrage, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung.
„Aufsichtsbehörde“ oder „Aufsichtsbehörden“ bedeutet eine Datenschutzbehörde oder Behörden, als unabhängige öffentliche Behörde oder Behörden, die von einer Regierungsstelle eingerichtet wurden und verantwortlich sind für die Überwachung und/oder Durchsetzung der Anwendung von Datenschutzgesetzen und -vorschriften in einem bestimmten Rechtsgebiet.

1. Welche Arten von personenbezogenen Daten erheben wir?

Die Gesellschaft kann je nach Ihrer Beziehung zur Gesellschaft, der Art der Prüfung, den erbrachten Dienstleistungen und gemäß dem anwendbaren Recht die folgenden personenbezogenen Daten erheben: 

Kontaktdaten einschließlich Name, Adresse, Telefonnummern, länderspezifische Identifikationsnummer, E-Mail-Adresse, Anmelde- und Passwortinformationen
Geburtsdatum
Geburtsland
Geschlecht
Schulanmeldedatum (USA)
Primärsprache
Haussprache
Informationen über Eltern/Erziehungsberechtigte
Details zur Test- und Klassenplanung für Kandidaten
Details zur Testbewertung, einschließlich Testkandidaten-ID-Nummer, abgelegter Prüfungen und wann, Ergebnisse in Bezug auf diese Prüfungen, wie oft eine Prüfung oder ein bestimmter Abschnitt von Prüfungen abgelegt wurde
Verhaltensvorfälle
Interventionen
Teilnahme
Bewertungsergebnisse
Sozialversicherungsnummern, wo dies von dem Prüfungssponsor für Kandidaten (USA) erforderlich ist
Zahlungs- und Finanzinstitutionsinformationen
Wohnsitz und Staatsangehörigkeit
Fotografie
Unterschrift
Videoaufzeichnungen
Audioaufzeichnungen (sofern nach dem anwendbaren Recht zulässig und nur in bestimmten Rechtsgebieten)
Informationen aus Identifikations-, Verifizierungs- oder Berechtigungsdokumenten
Transaktions- und Beziehungsinformationen einschließlich Elemente, die Testmuster, Teststandorte, Testergebnisse und Informationen darüber, wie unsere Websites und Anwendungen genutzt werden, offenbaren
Gutschein-/Rabattinformationen

Darüber hinaus kann die Gesellschaft besondere Kategorien personenbezogener Daten verarbeiten, soweit dies nach dem anwendbaren Recht zulässig ist, die Folgendes umfassen können:

Biometrische Daten (Fingerabdruck und Gesichtsabbildungen)
Gesundheitsinformationen oder medizinische Daten im Zusammenhang mit den Anfragen der Testkandidaten nach Testanpassungen
Rasse oder ethnische Zugehörigkeit, soweit dies nach dem anwendbaren Recht zulässig ist

Die Gesellschaft wird keine besonderen Kategorien personenbezogener Daten für einen anderen Zweck verwenden als den Zweck, für den sie ursprünglich erhoben oder später von der betroffenen Person autorisiert wurden, es sei denn, wir haben Ihre ausdrückliche und affirmative Zustimmung erhalten (Opt-in).

Einige unserer Prüfungen können erfordern, dass der Prüfungsstellenadministrator Kopien Ihrer Ausweiskarten scannt, Ihre Unterschrift aufzeichnet und Ihr Bild zu Identifikationszwecken aufnimmt, die direkt in der Datenbank der Gesellschaft gespeichert werden. 

Personenbezogene Daten von Minderjährigen

Die Gesellschaft erhebt wissentlich keine personenbezogenen Daten von oder in Bezug auf Minderjährige ohne die Zustimmung der Eltern oder des gesetzlichen Vertreters des Minderjährigen. Die Gesellschaft erwartet, dass die Eltern oder der gesetzliche Vertreter des Minderjährigen die Offenlegung personenbezogener Daten ihrer Kinder an die Gesellschaft und deren Vertreter überwachen und kontrollieren.

Sofern erforderlich, unterstützen wir Schulen dabei, ihre Verpflichtungen gemäß FERPA zu erfüllen. Die Gesellschaft bietet eine eingeschränkte Funktionalität und Website-Erfahrung für Schüler, einschließlich Minderjährigen. Nichts in dieser Richtlinie soll die Rechte von Schülern (oder ihren Eltern oder gesetzlichen Vertretern) in Bezug auf ihre Bildungsunterlagen einschränken. Die Gesellschaft erklärt sich ausdrücklich bereit, keine personenbezogenen Daten aus Bildungsunterlagen in Verletzung von FERPA offenzulegen und solche Informationen nicht für Verkaufs-, Marketing-, Werbe- oder andere verbotene Zwecke zu verwenden.

Die Gesellschaft erhält von Bildungseinrichtungen die minimal erforderliche Menge an Informationen, um Schülerkonten zu erstellen, die in der Regel eine E-Mail, ein Passwort, Vor- und Nachnamen sowie einen eindeutigen Klassenraumcode, der von dem Lehrer des Schülers bereitgestellt wird, umfassen. Über diese Informationen hinaus können Schüler je nach den ihnen zugewiesenen Aktivitäten Antworten einreichen, die zwischen Lehrer und Schüler vertraulich bleiben und nur für die Zwecke der Schule/des Lehrers verwendet werden. Neben den Informationen, die der Schüler eingibt, erfassen wir automatisch Informationen zur Nutzung unseres Dienstes.

Die Gesellschaft sammelt keine personenbezogenen Daten über Schüler, einschließlich Minderjähriger, oder deren Familien zur Verteilung, zum Teilen oder zum Verkauf, es sei denn, dies ist in dieser Richtlinie beschrieben. Kein Schülerprofil wird der Öffentlichkeit oder anderen Schülern zur Verfügung gestellt oder sichtbar gemacht. Lehrer dürfen ihre Klassen, einschließlich Noten oder Punkte, mit anderen Lehrern, mit denen sie gemeinsam unterrichten, innerhalb ihrer Schule teilen, um die Zusammenarbeit zu fördern.

Elternrechte

Die Gesellschaft ermächtigt Eltern und gesetzliche Vertreter von Minderjährigen, die bei uns registrierte Konten haben, ihre gesetzlichen Rechte gemäß COPPA auszuüben.

Jeder Elternteil, der Kopien der personenbezogenen Daten seiner Kinder, die wir möglicherweise gespeichert haben, anfordern möchte, kann sich an das Personal der Schule seiner Kinder wenden. Die Schule kann jederzeit auch die Erlaubnis verweigern, dass wir weitere personenbezogene Daten von ihren Schülern erheben, und kann verlangen, dass wir die personenbezogenen Daten, die wir von ihnen gesammelt haben, löschen. 

2. Wie erheben wir Ihre personenbezogenen Daten?

In den meisten Fällen erhebt die Gesellschaft solche personenbezogenen Daten direkt von der betroffenen Person. In anderen Fällen können wir Informationen von Grund- oder Sekundarschulen, Prüfungsanbietern oder von Drittanbietern von Daten erhalten. Wenn eine betroffene Person die Website der Gesellschaft besucht, sich registriert oder eine Prüfung ablegt, unsere Anwendungen nutzt oder uns kontaktiert, sammeln wir auch Transaktionsinformationen zu Kundenservice-Zwecken. 

Alle von uns über unsere mobilen Anwendungen gesammelten personenbezogenen Daten sind gemäß den Bedingungen dieser Richtlinie geschützt und verarbeitet. Wir bieten auch automatische ("Push")-Benachrichtigungen nur für diejenigen an, die sich dafür entscheiden, solche Benachrichtigungen von uns zu erhalten. Keine Person ist verpflichtet, uns Standortinformationen bereitzustellen oder Push-Benachrichtigungen zu aktivieren, um unsere mobilen Anwendungen zu nutzen.

Verwendung von Cookies

Beim Besuch unserer Website und je nach Ihrer Konfiguration der Cookie-Einstellungen und Ihrer Zustimmung zu den Einstellungen können wir bestimmte Informationen über Ihre Nutzung der Website sammeln, wie die Daten und Uhrzeiten, zu denen Sie auf die Website zugreifen, die Browser, Betriebssysteme und Geräte, die Sie zum Zugriff auf die Website verwenden, die Website-Seiten, die Sie aufrufen, sowie die verweisenden und ausgehenden Website-Seiten. Das Unternehmen kann diese Informationen für verschiedene Zwecke verwenden, einschließlich der Verwaltung und Verbesserung der Websites des Unternehmens und der Verbesserung unserer Produkte und Dienstleistungen.

Wo es nach geltendem Recht zulässig ist und vorbehaltlich Ihrer Zustimmung, können wir auch Informationen verwenden, um Ihren allgemeinen Standort zu identifizieren, um Ihnen Dienstleistungen oder relevante Marketing- und kontextbezogene Werbung bereitzustellen. Das Unternehmen sammelt auch Internet Protocol (IP)-Adressen und eindeutige Gerätekennungen, um wiederkehrende Besucher unserer Website zu erkennen und die Nutzung unseres Dienstes durch Sie zu erleichtern.

Bestimmte Benutzer der Website des Unternehmens entscheiden sich dafür, mit uns auf eine Weise zu interagieren, die es dem Unternehmen erfordert, personenbezogene Daten zu sammeln, damit wir Ihnen die angeforderten Dienstleistungen bereitstellen können. Die Menge und Art der Informationen, die wir sammeln, hängt von der Art dieser Interaktion ab.

Es ist wichtig zu beachten, dass die Website des Unternehmens Links zu anderen Websites oder Online-Diensten enthalten kann. Wenn Sie diese Links verwenden, kontaktieren Sie eine andere Website oder einen Dienst. Das Unternehmen hat keine Verantwortung oder Haftung für oder Kontrolle über diese anderen Websites oder Dienste oder deren Sammlung, Verwendung, Offenlegung, Aufbewahrung und Löschung Ihrer persönlichen Informationen. Bitte beziehen Sie sich auf die Datenschutzrichtlinien und Nutzungsbedingungen, die für diese anderen Websites oder Online-Dienste gelten.

Erfassung biometrischer Daten

Das biometrisch aktivierte Check-in-System und die Remote-Proctoring-Plattform des Unternehmens (bekannt als ProProctor) sind darauf ausgelegt, die Sicherheit und Integrität des Testprozesses zu verbessern, indem sie die Privatsphäre der Testkandidaten schützen und gleichzeitig die Identität der Testkandidaten bestätigen. Während des Test-Check-in-Prozesses wird ein Bild aufgenommen, das geometrische Messungen der Gesichtszüge erfasst und diese mit dem Gesichtsbild des Testkandidaten vergleicht, wie es auf ihrem offiziellen Ausweisdokument zum Zeitpunkt der Registrierung präsentiert wird. Bei ProProctor wird die Gesichtserkennung auch während des Tests verwendet.

Die Gesichtserkennungstechnologie kann auch den Einsatz künstlicher Intelligenz (KI) umfassen. Für weitere Informationen darüber, wie Prometric KI einsetzt, besuchen Sie bitte Prometrics Engagement für verantwortungsvolle KI.

3. Warum sammeln wir Ihre personenbezogenen Daten?

Im Auftrag unserer Test-Sponsoren sammelt das Unternehmen Ihre personenbezogenen Daten zu folgenden Zwecken:

Planung von Testprüfungen
Verifizierung der Identität
Verwaltung von Konten und Durchführung von Tests und Zahlungen
Verwaltung von Kundenservice-Anfragen
Erkennung und Verhinderung von Betrug und Täuschung durch unbefugte Kandidaten
Durchführung von Datenanalysen zur Wahrung der Integrität des Testprozesses
Berichterstattung der Testergebnisse an den Kandidaten und den Test-Sponsor
Durchführung von Marketingaktivitäten (z. B. Ankündigungen, neue Tests, neue Testzentren, Werbeaktionen, bevorstehende Veranstaltungen, neue Produkte, besondere Funktionen und Eröffnungen von Geschäften), vorbehaltlich des geltenden Rechts
Schutz und Durchsetzung der rechtlichen Rechte, Interessen und Rechtsmittel des Unternehmens sowie zum Schutz des Unternehmens, der Abläufe oder der Kunden des Unternehmens oder anderer Personen, einschließlich der Durchsetzung von Nutzungsbedingungen, Servicebedingungen und anderen Vereinbarungen, die den Zugang zu oder die Nutzung der Produkte und Dienstleistungen des Unternehmens regeln
Analyse des Besucherverhaltens mithilfe von Website-Analysetools (z. B. Google Analytics)
Bewertung und Verbesserung der Leistung digitaler Werbekampagnen über Plattformen hinweg
Schulung und Testen unserer KI-gestützten Technologie, vorbehaltlich des geltenden Rechts
Verwaltung unseres Gutschein-/Coupon-Programms

Für Lieferanten und andere Dritte sammeln wir Ihre personenbezogenen Daten zu folgenden Zwecken:

Lieferantenmanagement und -verwaltung
Rechnungsbearbeitung
Due Diligence für Lieferanten und andere gesetzliche Anforderungen

Wir geben personenbezogene Daten nur an die Mitarbeiter, Auftragnehmer und Subunternehmer des Unternehmens weiter, die: (i) auf diese Informationen zugreifen müssen, um sie in unserem Auftrag zu verarbeiten oder Dienstleistungen bereitzustellen, die auf der Website des Unternehmens und über unsere mobilen Anwendungen verfügbar sind; und (ii) sich verpflichten, diese Informationen nicht an andere weiterzugeben. Das Unternehmen vermietet, verkauft oder tauscht keine personenbezogenen Daten mit Dritten.

Zweck der Erfassung biometrischer Daten

Biometrische Daten werden ausschließlich verwendet, um: (1) die Identität eines Kandidaten kontinuierlich zu überprüfen, während sie an gegenwärtigen und zukünftigen Bewertungen teilnehmen; (2) Betrug und Täuschung durch unbefugte Kandidaten zu erkennen und zu verhindern; (3) die Integrität des Testprozesses aufrechtzuerhalten; (4) die Sicherheit von Testzentren und/oder Testinhalten zu verbessern; und (5) wie gesetzlich für bestimmte Lizenzierungsprogramme erforderlich.

Wenn personenbezogene Daten, die von dieser Richtlinie abgedeckt sind, für einen neuen Zweck verwendet werden sollen, der wesentlich von dem abweicht, für den die personenbezogenen Daten ursprünglich gesammelt oder anschließend genehmigt wurden, oder an einen Dritten in einer Weise offengelegt werden sollen, die nicht in dieser Richtlinie angegeben ist, werden wir Ihnen die Möglichkeit geben, zu wählen, ob Ihre personenbezogenen Daten so verwendet oder offengelegt werden sollen. Anfragen, um sich von solchen Verwendungen oder Offenlegungen personenbezogener Daten abzumelden, sollten an das Unternehmen gesendet werden, wie im Abschnitt "So kontaktieren Sie uns" unten angegeben.

4. Was sind die rechtlichen Grundlagen für die Verarbeitung Ihrer personenbezogenen Daten?

Personenbezogene Daten werden im Allgemeinen gemäß den folgenden rechtlichen Grundlagen gesammelt und verarbeitet:

Die Erfüllung eines Vertrags, der die Registrierung und Planung eines Tests, die Durchführung dieses Tests und die Verarbeitung der Testergebnisse umfasst.
Ihre Zustimmung zur Erhebung und Verarbeitung spezieller Kategorien personenbezogener Daten, einschließlich biometrischer personenbezogener Daten.
Ihre Zustimmung, falls nach geltendem Recht für grenzüberschreitende Datenübertragungen erforderlich.
Für legitime geschäftliche Zwecke wie die Rechnungsbearbeitung und das Finanzkontomanagement, Backup-Zwecke zur Unterstützung der Geschäftskontinuität, Testzentrum-Management, Unternehmensplanung, Vertragsmanagement, Verbesserung der Testdienstleistungen, die unseren Kunden bereitgestellt werden, Vorschläge zu verwandten Dienstleistungen und Produkten an bestehende Testkandidaten, Website-Administration, Erfüllung, Analytik, Sicherheit und Betrugsprävention, Unternehmensführung, Notfallwiederherstellungsplanung, Prüfung und Berichterstattung sowie Schulung und Verbesserung unserer KI-Technologie, wie es das geltende Recht zulässt.
Einhaltung aller gesetzlichen oder regulatorischen Verpflichtungen.

5. Offenlegung personenbezogener Daten

Dritte, die Ihre personenbezogenen Daten verarbeiten können, sind andere Tochtergesellschaften des Unternehmens, autorisierte Testzentren, Test-Sponsoren und unsere Dienstleister, die als Auftragsverarbeiter für das Unternehmen agieren und die folgenden Dienstleistungen bereitstellen: Datenhosting, Testverwaltungsdienste, Anwendungen zur Steigerung der Geschäftseffizienz, Kundenservice-Unterstützung und Software für das Kundenbeziehungsmanagement.

Regierungsbehörden können auf personenbezogene Daten zugreifen, wenn dies aufgrund gesetzlicher Anfragen erforderlich ist, einschließlich zur Erfüllung von Anforderungen an die nationale Sicherheit oder Strafverfolgung.

Wo es nach geltendem Recht zulässig ist, nutzt das Unternehmen analytische und Werbeplattformen für Websites, um das Nutzerverhalten auf unserer Website zu verstehen und relevante Werbung zu liefern. Diese Plattformen können Cookies, Pixel oder ähnliche Technologien verwenden, um Daten über Ihre Interaktionen mit unseren Websites zu sammeln. Diese Informationen werden verwendet, um uns zu helfen, die Effektivität unserer Kampagnen zu messen, Werbeinhalte zu personalisieren und das Gesamterlebnis der Nutzer zu verbessern. Das Ausmaß der Nutzung solcher Tools hängt davon ab, wie Sie sich entscheiden, die Cookie-Einstellungen in Ihrem Browser zu konfigurieren, und Sie können sich jederzeit von personalisierter Werbung abmelden, indem Sie Ihre Cookie-Präferenzen verwalten.

Biometrische Daten dürfen nur an Test-Sponsoren, Strafverfolgungsbehörden oder andere Dritte weitergegeben werden: 

Für eine Untersuchung im Zusammenhang mit angeblichem Fehlverhalten ausschließlich zum Zweck der Untersuchung von Betrug, unbefugtem Testen oder anderem Fehlverhalten von Testkandidaten.
In Bezug auf rechtmäßige Anfragen von Regulierungs-, Rechts- oder Regierungsbehörden mit Zuständigkeit und/oder Befugnis, solche Anfragen zu stellen.

Wir schließen Verträge mit unseren Drittanbietern ab, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit dieser Richtlinie und allen anderen angemessenen Vertraulichkeits- und Sicherheitsmaßnahmen verarbeitet werden, die nach anwendbarem Recht erforderlich sind. 

Wenn Sie eine betroffene Person in der EU, im Vereinigten Königreich oder in der Schweiz sind, bei der wir Ihre personenbezogenen Daten an Drittanbieter weitergeben, wie oben angegeben, und die Dienstleistungen für uns oder in unserem Auftrag erbringen, ist das Unternehmen für die Verarbeitung dieser Daten durch sie verantwortlich und bleibt haftbar, wenn sie Ihre personenbezogenen Daten in einer Weise verarbeiten, die nicht mit den unten genannten DPF-Prinzipien übereinstimmt, es sei denn, wir beweisen, dass wir nicht für das Ereignis verantwortlich sind, das den Schaden verursacht hat. 

6. Wie lange speichern wir Ihre personenbezogenen Daten?

Das Unternehmen hat ein umfassendes Programm zur Aktenverwaltung und einen entsprechenden Aufbewahrungsplan eingeführt, den es für die Zwecke der Aufbewahrung, Speicherung und Vernichtung aller im Rahmen seiner Geschäftstätigkeit erstellten Unterlagen, einschließlich solcher, die personenbezogene Daten enthalten, einhält. Wir setzen auch eine Datenmanagementstrategie um, die Daten basierend auf regionalen Datenservern segregiert.

Vorbehaltlich spezifischer vertraglicher Anforderungen des Kunden und anwendbaren Rechts wird unser Unternehmen Ihre personenbezogenen Daten für die Dauer der Verarbeitung aufbewahren, für den kürzeren Zeitraum von: 

fünf (5) Jahre ab dem Datum der letzten Dienstleistung, des Tests oder der Bewertung; oder
dem Ablauf des Zwecks, für den die personenbezogenen Daten erhoben wurden; oder
in Übereinstimmung mit den Gesetzen der zuständigen Gerichtsbarkeit, in der die personenbezogenen Daten erhoben wurden.

Das Unternehmen wird personenbezogene Daten nicht länger aufbewahren, als für die oben genannten Zwecke erforderlich. Wir können jedoch personenbezogene Daten länger aufbewahren, wenn dies erforderlich ist, um spezifische vertragliche Anforderungen des Kunden und anwendbares Recht einzuhalten oder um unsere Rechte zu schützen oder auszuüben.

Im Falle von Testergebnissen im Zusammenhang mit Immigration, Refugees and Citizenship Canada bewahren wir Unterlagen Ihrer personenbezogenen Daten für den Mindestaufbewahrungszeitraum (derzeit zehn (10) Jahre) auf, wie von Immigration, Refugees and Citizenship Canada gefordert. Im Falle von Testergebnissen im Zusammenhang mit australischen Visa bewahren wir Unterlagen Ihrer personenbezogenen Daten für den Mindestaufbewahrungszeitraum (derzeit sieben (7) Jahre) auf, wie von der Commonwealth of Australia gefordert.

Speicherung von biometrischen Daten

Alle biometrischen Daten, die in computerbasierten Testzentren gesammelt werden, werden sicher an das sichere Rechenzentrum des Unternehmens in den USA oder der Europäischen Union (je nach Standort des Testkandidaten) übertragen und gemäß dem anwendbaren Recht in der Gerichtsbarkeit, in der sie erhoben wurden, aufbewahrt. Biometrische Daten werden für einen Zeitraum von dreißig (30) Tagen in Microsoft Azure gespeichert und gesichert, mit Ausnahme von biometrischen Daten, die Teil unserer Paragon-Testdienste sind, die maximal 3 Jahre aufbewahrt werden. Die Aufbewahrungsfristen können länger sein, wenn die personenbezogenen Daten des Kandidaten in Verbindung mit einem aktiven Sicherheitsproblem oder im Rahmen einer Untersuchung wegen Fehlverhaltens verwendet werden.

7. Grenzüberschreitende Übertragungen personenbezogener Daten

Unsere Geschäftsprozesse erfordern häufig die Übertragung personenbezogener Daten zwischen dem Unternehmen und seinen verbundenen Unternehmen international. Je nach Art Ihrer Beziehung zum Unternehmen und gemäß anwendbarem Recht werden Ihre personenbezogenen Daten auf sicheren Servern in den Vereinigten Staaten gespeichert. Je nach Art Ihrer Prüfung und Ihrem Teststandort kann das Unternehmen und seine Dienstleister personenbezogene Daten an Standorten in anderen Ländern als den USA verarbeiten, zu denen Kanada, Mexiko, Indien oder Länder in der Europäischen Union oder Asien gehören können.

Wenn personenbezogene Daten an Dritte oder an ein Land offengelegt werden, das nach anwendbarem Recht nicht als ausreichend schützend gilt, stellt das Unternehmen sicher: 

Die Umsetzung von standardmäßigen vertraglichen Klauseln, die von der zuständigen Aufsichtsbehörde genehmigt wurden;
Die Annahme angemessener organisatorischer, technischer und rechtlicher Sicherheitsvorkehrungen zur Regelung der grenzüberschreitenden Datenübertragung und zur Gewährleistung des notwendigen und angemessenen Schutzniveaus gemäß anwendbarem Recht;
Wenn erforderlich, die Umstände der Übertragung und die Gesetzgebung des Drittlandes zu bewerten und, falls erforderlich, eine Datenübertragungsfolgenabschätzung durchzuführen, um festzustellen, ob zusätzliche Maßnahmen erforderlich sind.

In Bezug auf grenzüberschreitende Datenübertragungen in die Vereinigten Staaten erfüllt das Unternehmen den EU-U.S. DPF, die UK-Erweiterung des EU-U.S. DPF und den Schweizer-U.S. DPF, wie vom U.S. Department of Commerce festgelegt.

Das Unternehmen hat dem U.S. Department of Commerce zertifiziert, dass es die Prinzipien des EU-U.S. Data Privacy Framework (EU-U.S. DPF Principles) hinsichtlich der Verarbeitung personenbezogener Daten einhält, die aus der EU und dem Vereinigten Königreich im Vertrauen auf den EU-U.S. DPF und die UK-Erweiterung des EU-U.S. DPF empfangen wurden. Das Unternehmen hat dem U.S. Department of Commerce zertifiziert, dass es die Prinzipien des Schweizer-U.S. Data Privacy Framework (Swiss-U.S. DPF Principles) hinsichtlich der Verarbeitung personenbezogener Daten einhält, die aus der Schweiz im Vertrauen auf den Schweizer-U.S. DPF empfangen wurden.

Wenn es einen Konflikt zwischen den Bedingungen in dieser Datenschutzrichtlinie und den Prinzipien des EU-U.S. DPF und/oder den Prinzipien des Schweizer-U.S. DPF gibt, haben die Prinzipien Vorrang. Um mehr über das DPF-Programm zu erfahren und unsere Zertifizierung einzusehen, besuchen Sie bitte https://www.dataprivacyframework.gov/.

8. Was sind Ihre Rechte?

Je nach Ihrem Standort und anwendbarem Recht haben Sie möglicherweise die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten: 

Recht auf Zugang
Recht auf Berichtigung
Recht auf Löschung
Recht auf Einschränkung der Verarbeitung
Recht auf Widerspruch gegen die Verarbeitung
Recht auf Datenübertragbarkeit
Recht zu entscheiden, wie Ihre personenbezogenen Daten nach Ihrem Tod verwendet werden

Die Ausübung solcher Rechte unterliegt den durch das anwendbare Recht und die relevanten Leitlinien der Aufsichtsbehörden vorgesehenen Einschränkungen.

Um Ihre Rechte auszuüben, können Sie das Unternehmen wie im Abschnitt „Wie Sie uns kontaktieren können“ beschrieben kontaktieren. Bitte beachten Sie, dass das Löschen von Aufzeichnungen möglicherweise erfordert, dass wir das betreffende Konto kündigen. Bevor wir Ihre Anfrage bearbeiten können, kann das Unternehmen zusätzliche Fragen stellen oder andere Schritte unternehmen, um Ihre Identität zu überprüfen. Wenn wir Ihrer Anfrage nicht nachkommen können (Ablehnung oder Einschränkung), werden wir unsere Entscheidung schriftlich begründen.

Im Einklang mit dem EU-US DPF, der UK-Erweiterung des EU-US DPF und dem Schweizer-US DPF verpflichtet sich das Unternehmen, Beschwerden im Zusammenhang mit den DPF-Prinzipien über unsere Erhebung und Nutzung Ihrer personenbezogenen Daten zu lösen. 

Betroffene Personen aus der EU, dem Vereinigten Königreich und der Schweiz, die Anfragen oder Beschwerden zu unserem Umgang mit personenbezogenen Daten haben, die im Vertrauen auf den EU-US DPF, die UK-Erweiterung des EU-US DPF und den Schweizer-US DPF erhalten wurden, sollten sich zunächst an das Unternehmen wenden, wie im Abschnitt „Wie Sie uns kontaktieren können und Beschwerdemanagement“ beschrieben.

Kalifornische Datenschutzrechte

Die kalifornische Zivilgesetzbuch-Sektion 1798 erlaubt es kalifornischen Einwohnern, Unternehmen, mit denen sie eine etablierte Geschäftsbeziehung haben, zu bitten, bestimmte Informationen über die Weitergabe personenbezogener Daten an Dritte zu Marketingzwecken bereitzustellen. Das Unternehmen gibt keine personenbezogenen Daten von kalifornischen Verbrauchern ohne Zustimmung an Dritte zu Marketingzwecken weiter. Wenn Sie ein Testkandidat sind, werden wir Ihre personenbezogenen Daten an Ihren Testsponsor weitergeben, der die Informationen gemäß seinen eigenen Datenschutzrichtlinien verwenden kann.

9. Wie schützen wir Ihre personenbezogenen Daten?

Das Unternehmen implementiert eine Vielzahl von Sicherheitsmaßnahmen, wie technische, physische und administrative Schutzmaßnahmen, um personenbezogene Daten vor Sicherheitsvorfällen oder unbefugter Offenlegung und allgemeiner vor einem Verstoß gegen personenbezogene Daten zu schützen. Diese Sicherheitsmaßnahmen werden als angemessene Sicherheitsstandards in der Branche anerkannt und umfassen unter anderem Zugangskontrollen, Passwörter, Verschlüsselung, strenge Fristen für die Löschung, Protokollierungsmechanismen und regelmäßige Sicherheitsbewertungen. 

Im Falle eines potenziellen Verstoßes gegen personenbezogene Daten, der Ihre personenbezogenen Daten betreffen könnte, folgt das Unternehmen seinem Notfallreaktionsplan und wird umgehend geeignete Maßnahmen ergreifen, um die Risiken für die betroffenen Personen zu mindern. Solche Maßnahmen können die Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen umfassen, während die relevanten Einzelheiten des Vorfalls und der Mäßigungsmaßnahmen bereitgestellt werden, wie es das anwendbare Recht vorschreibt.

Das Informationssicherheitsprogramm des Unternehmens wird jährlich von mehreren Drittorganisationen überprüft, um sicherzustellen, dass es die höchsten verfügbaren Benchmarks für Sicherheit und Datenschutz erfüllt oder übertrifft. Darüber hinaus sind Mitarbeiter und Auftragnehmer verpflichtet, bekannte oder vermutete Fälle von Missbrauch, Verlust oder unbefugtem Zugriff umgehend zu melden.

10. Verarbeitung personenbezogener Daten gemäß dem Datenschutzgesetz der Volksrepublik China („PIPL“)

Dieser Abschnitt gilt, wenn personenbezogene Daten innerhalb der Grenzen der Volksrepublik China (VR China) liegen oder wenn personenbezogene Daten von eines unserer in der VR China ansässigen Unternehmen verarbeitet werden.

Gemäß Artikel 13 des PIPL dürfen personenbezogene Daten zu folgenden Zwecken erhoben werden:

Aufgrund der Zustimmung der betroffenen Person;
Zur Erfüllung von Verträgen, zur Wahrung berechtigter Geschäftsinteressen;
Zur Erfüllung gesetzlicher Pflichten und Verantwortlichkeiten oder gesetzlicher Verpflichtungen;
Zur Verarbeitung öffentlich verfügbarer Daten;
Zur Erfüllung rechtlicher Anforderungen.

Entsprechend den Anforderungen des Artikels 23 des PIPL und den Inhalten des Abschnitts 4 wird die Übertragung und Weitergabe Ihrer personenbezogenen Daten an Dritte nicht ohne (1) Ihre ausdrückliche Zustimmung, sofern zutreffend, oder (2) zur Erfüllung der gesetzlichen Pflichten gemäß dem anwendbaren Recht erfolgen.

Basierend auf den in dieser Richtlinie vorgeschriebenen Zwecken dürfen personenbezogene Daten zur Verarbeitung in ein Land oder eine Region außerhalb Ihres Wohnsitzes übertragen werden. Zu diesem Zeitpunkt wird das Unternehmen die Sicherheit der personenbezogenen Daten gemäß dem anwendbaren Recht schützen, einschließlich, aber nicht beschränkt auf die Implementierung von Zugangskontrollen, Passwörtern, Verschlüsselungsstandards, strengen Fristen für Aufbewahrungsfristen, Protokollierungsmechanismen und regelmäßigen Sicherheitsbewertungen.

Das Unternehmen wird Sie gemäß Artikel 39 des PIPL umfassend über die grenzüberschreitende Datenübertragung informieren, bevor Ihre personenbezogenen Daten außerhalb der VR China übertragen werden, und wird Ihre Zustimmung einholen, indem es Ihnen Folgendes mitteilt: den Namen des Empfängers, die Kontaktdaten, den Zweck der Verarbeitung, die Methode der Verarbeitung, die Art der personenbezogenen Daten, und wird Sie an die Methoden und Verfahren erinnern, durch die Sie Ihre Rechte gemäß dem PIPL ausüben können. Wir werden Ihre ausdrückliche und separate Zustimmung anfordern, um dies zu tun.

Sofern erforderlich, wird das Unternehmen eine Risikobewertung zur grenzüberschreitenden Datenübertragung gemäß dem anwendbaren Recht durchführen, wenn personenbezogene Daten außerhalb der VR China übertragen werden.

Nach dem PIPL wird sensible personenbezogene Daten als solche definiert, die, wenn sie geleakt oder illegal verwendet werden, leicht Schäden an der Würde natürlicher Personen oder erhebliche Schäden an der persönlichen oder Sachsicherheit verursachen können, einschließlich Informationen zu biometrischen Merkmalen, religiösen Überzeugungen, besonders benannten Status, medizinischer Gesundheit, Finanzkonten, individueller Standortverfolgung usw. sowie die personenbezogenen Daten von Minderjährigen unter 14 Jahren.

In Übereinstimmung mit dem PIPL und wie im Abschnitt 2 detailliert, unterliegt die Verarbeitung sensibler personenbezogener Daten der gesonderten Zustimmung der betroffenen Person und erfolgt zu einem bestimmten geschäftsbezogenen Zweck.

Prometric wird keine personenbezogenen Daten von Minderjährigen unter 14 Jahren ohne die separate Zustimmung der Eltern oder anderer Erziehungsberechtigter erheben. Wir werden personenbezogene Daten über ein Kind nur in dem gesetzlich zulässigen Umfang verwenden oder offenlegen, gemäß den anwendbaren Gesetzen, um die Zustimmung der Eltern einzuholen oder ein Kind zu schützen.

Im Falle eines Verstoßes gegen personenbezogene Daten haftet Prometric zivilrechtlich gegenüber der betroffenen Person, wenn es die Rechte der betroffenen Person an ihren personenbezogenen Daten verletzt, unbeschadet der verwaltungsrechtlichen, strafrechtlichen oder anderen rechtlichen Haftungen, die der Datenverantwortliche gemäß dem PIPL zu tragen hat.

11. Änderungen der Datenschutzrichtlinie

Das Unternehmen muss möglicherweise seine Richtlinie aktualisieren, um neuen oder unterschiedlichen Datenschutzpraktiken zu entsprechen. Eine aktualisierte Version dieser Richtlinie wird über einen entsprechenden Kanal verfügbar gemacht und gilt für Daten, die nach ihrem Inkrafttreten gesammelt werden.

12. Wie Sie uns kontaktieren und Beschwerden behandeln

Für Anfragen, Kommentare oder Bedenken zu dieser Richtlinie oder um die Datenschutzrechte auszuüben, die durch das anwendbare Recht zulässig sind, senden Sie bitte eine Anfrage über unser dediziertes Portal unter Anfragen zu personenbezogenen Daten.

Darüber hinaus können Sie unseren Datenschutzbeauftragten unter folgender Adresse kontaktieren: privacy@prometric.com

Sie können uns auch per Post erreichen unter: 

Prometric Privacy Team
Prometric LLC
6211 Greenleigh Avenue, Suite 400
Middle River, MD 21220
USA

In Übereinstimmung mit dem EU-US-Datenschutzschild, der UK-Erweiterung des EU-US-Datenschutzschilds und dem Schweiz-US-Datenschutzschild verpflichtet sich das Unternehmen, mit den Empfehlungen des von den EU-Aufsichtsbehörden, dem Information Commissioner’s Office (ICO) des Vereinigten Königreichs und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (FDPIC) eingerichteten Gremiums in Bezug auf ungelöste Beschwerden über unsere Verarbeitung personenbezogener Daten, die auf den EU-US-Datenschutzschild, die UK-Erweiterung des EU-US-Datenschutzschilds und den Schweiz-US-Datenschutzschild gestützt sind, zusammenzuarbeiten und diese zu befolgen.

Wenn Ihre DPF-Beschwerde nicht über die oben genannten Kanäle gelöst werden kann, können Sie unter bestimmten Bedingungen die verbindliche Schlichtung für einige verbleibende Ansprüche anrufen, die nicht durch andere Abhilfe-Mechanismen gelöst wurden. 

Sie haben auch das Recht, eine Beschwerde direkt bei der zuständigen Aufsichtsbehörde in Ihrer relevanten Zuständigkeit einzureichen.

Finde Deine Prüfung

Vor Ihrer Prüfung

Unterkünfte

Am Prüfungstag

Nach Ihrer Prüfung

Häufig gestellte Fragen

Testzentrumsschließungen

Bewertung Entwicklung

Globale Lieferung

Kandidatenexperience

Programmwachstum

Sicherheit

Feineinstellung KI

Kundenressourcen

KI-Prüfungsentwicklung

KI-Inhaltskatalogisierung

VR-Fähigkeitenentwicklung

In-Zentrum Lieferung

Fernübertragung

Erlebnisvorbereitung

Inhaltsbibliothek

Sprachkenntnisse

KI-Bewertungsentwicklung

Künstliche Intelligenz Inhaltsanpassung

Bewertungsplattform

Daten Einblicke

PL-Portfolio

Bildungslösungen Unterstützung

Technologie

Globale Gesundheitsversorgung

Finanzen

Regierung

Vereinigungen

Bildung

Verbraucher

Erfolgsgeschichten

Leitfäden und Whitepapers

Webinare

Veranstaltungen

Blog

Forschung

Führung

Globale Büros

Prometric-Prüfungen

Pressebereich

Karriere

Kohlenstoffreduktionsplan

Kontaktieren Sie uns

Prometric Globale Datenschutzrichtlinie