Rechtliche Compliance-Erklärung

Inkrafttretendatum: 1. Januar 2000
Dokumentennummer: COMP-PRIV--001

1. Compliance-Verpflichtung

Sundayou Guqin (im Folgenden "das Unternehmen") verpflichtet sich feierlich, bei der weltweiten Geschäftstätigkeit alle anwendbaren Datenschutz- und Datenschutzgesetze strikt einzuhalten. Wir sind bestrebt:

Rechtliche Compliance: Sicherstellung, dass alle Datenverarbeitungsaktivitäten den gesetzlichen Anforderungen an den Betriebsstandorten entsprechen
Transparente Betriebsführung: Klare Erläuterung der Datenverarbeitungspraktiken gegenüber Nutzern
Verantwortungsübernahme: Aufbau eines umfassenden Datenschutz-Governance-Systems
Kontinuierliche Verbesserung: Regelmäßige Überprüfung und Aktualisierung von Compliance-Maßnahmen

2. Anwendbarer Rechtsrahmen

2.1 Internationale Datenschutzvorschriften

Datenschutz-Grundverordnung (DSGVO) - EU-Verordnung 2016/679
California Consumer Privacy Act (CCPA/CPRA) - Kalifornisches Zivilgesetzbuch Abschnitte 1798.100-1798.199
Personal Information Protection Law (PIPL) - Präsidentenerlass Nr. 91 der Volksrepublik China
Data Protection Act 2018 - Vereinigtes Königreich
Act on the Protection of Personal Information (APPI) - Japan
Bundesdatenschutzgesetz (BDSG) - Deutschland

2.2 Branchenspezifische Vorschriften

Payment Card Industry Data Security Standard (PCI DSS) - Für die Verarbeitung von Zahlungsinformationen
ISO/IEC 27001:2022 - Informationssicherheitsmanagementsystem
Children's Online Privacy Protection Act (COPPA) - Vereinigte Staaten
Health Insurance Portability and Accountability Act (HIPAA) - Nur anwendbar für die Verarbeitung relevanter Gesundheitsinformationen

2.3 Grenzüberschreitende Datenübermittlungsvorschriften

EU-US-Datenschutzrahmen
Standardvertragsklauseln (SCCs)
Binding Corporate Rules (BCRs)

3. Compliance-Organisationsstruktur

3.1 Governance-Struktur

text

Datenschutzausschuss      ├── Datenschutzbeauftragter (DSB)      │    ├── Compliance-Team      │    ├── Rechtsabteilung      │    └── IT-Sicherheitsteam      └── Abteilungsbezogene Datenschutzverantwortliche

3.2 Hauptverantwortlichkeiten

Datenschutzbeauftragter (DSB):
- Überwachung der DSGVO-Compliance
- Bearbeitung von Betroffenenanfragen
- Durchführung von Datenschutz-Folgenabschätzungen
- Kontakt mit Aufsichtsbehörden
Compliance-Team:
- Überwachung regulatorischer Änderungen
- Umsetzung von Compliance-Maßnahmen
- Mitarbeiterschulungen
- Audits und Berichterstattung

4. Kern-Compliance-Maßnahmen

4.1 Datenabbildung und -erfassung

Verzeichnis von Verarbeitungstätigkeiten: Erfassung aller Datenverarbeitungsaktivitäten
Datenflussanalyse: Identifizierung grenzüberschreitender Datenübertragungspfade
Drittanbieter-Liste: Erfassung aller Datenverarbeiter

4.2 Rechtmäßige Verarbeitungsgrundlage

Festlegung der rechtlichen Grundlage gemäß Verarbeitungszweck:

Verarbeitungszweck	Rechtliche Grundlage	Anwendbare Vorschrift
Vertragserfüllung	Vertragsnotwendigkeit	DSGVO Artikel 6(1)(b)
Rechtliche Verpflichtung	Gesetzliche Anforderung	DSGVO Artikel 6(1)(c)
Berechtigte Interessen	Legitimes Interesse	DSGVO Artikel 6(1)(f)
Marketing-Kommunikation	Ausdrückliche Einwilligung	CCPA/CPRA
Verarbeitung sensibler Daten	Ausdrückliche Einwilligung	PIPL Artikel 13

4.3 Einwilligungsmanagement

Ausdrückliche Einwilligung: Erhalt durch klare und eindeutige Mittel
Einwilligungsaufzeichnungen: Speicherung von Einwilligungszeit, -inhalt und -methode
Widerrufsmechanismus: Bereitstellung einfacher Einwilligungswiderrufsmöglichkeiten
Altersverifizierung: Sicherstellung der elterlichen Einwilligung für die Verarbeitung von Kinderdaten

4.4 Umsetzung von Betroffenenrechten

Wir haben folgende Reaktionsmechanismen etabliert:

Rechtstyp	Reaktionsfrist	Verarbeitungsverfahren
Auskunftsrecht	30 Tage	Identitätsprüfung → Datenabruf → Berichterstellung
Berichtigungsrecht	30 Tage	Genauigkeitsprüfung → Datenaktualisierung → Benachrichtigung Dritter
Recht auf Löschung	30 Tage	Eignungsbewertung → Sichere Löschung → Bestätigung der Fertigstellung
Recht auf Datenübertragbarkeit	30 Tage	Vorbereitung strukturierter Daten → Sichere Übertragung
Widerspruchsrecht	30 Tage	Grundlagenbewertung → Einstellung der Verarbeitung → Ergebnisbenachrichtigung

4.5 Datensicherheitsmaßnahmen

Technische Maßnahmen:

Ende-zu-Ende-Verschlüsselung (AES-256)
Multi-Faktor-Authentifizierung
Intrusion Detection and Prevention Systems
Regelmäßige Schwachstellenscans
Datensicherung und -wiederherstellung

Organisatorische Maßnahmen:

Mitarbeiterhintergrundprüfungen
Datenschutz- und Sicherheitsschulungen
Zugriffsrechteverwaltung
Vorfallreaktionsplan
Lieferanten-Due-Diligence

5. Compliance bei grenzüberschreitenden Datenübermittlungen

5.1 Übermittlungsmechanismen

EU-Datenübermittlungen: Verwendung von von der EU-Kommission genehmigten Standardvertragsklauseln
US-Datenübermittlungen: Teilnahme am EU-US-Datenschutzrahmen
China-Datenübermittlungen: Einhaltung der Anforderungen von PIPL Kapitel 3
Andere Regionen: Basierend auf Angemessenheitsbeschlüssen oder geeigneten Garantien

5.2 Lokalisierungsanforderungen

Festlandchina: Speicherung personenbezogener Daten innerhalb Chinas
Russland: Einhaltung der Lokalisierungsanforderungen des Bundesgesetzes Nr. 242-FZ
Indien: Befolgung der Anforderungen des Personal Data Protection Bill-Entwurfs

6. Datenpannenmanagement

6.1 Meldepflichten

Vorschrift	Meldefrist	Meldung an
DSGVO	Innerhalb von 72 Stunden	Aufsichtsbehörde + Betroffene
PIPL	Unverzüglich	Aufsichtsbehörde
CCPA	Innerhalb von 72 Stunden	Kalifornischer Generalstaatsanwalt + Betroffene Personen
HIPAA	Innerhalb von 60 Tagen	Ministerium für Gesundheit und Soziale Dienste

6.2 Reaktionsverfahren

Erkennung und Bestätigung
Eindämmung und Bewertung
Benachrichtigung und Meldung
Wiederherstellung und Reparatur
Überprüfung und Verbesserung

7. Datenschutz-Folgenabschätzung (DSFA)

7.1 Auslösekriterien

Einführung neuer Systeme oder Prozesse
Großangelegte Datenverarbeitung
Verarbeitung sensibler Daten
Systematische Überwachung
Einsatz neuer Technologien

7.2 Bewertungsprozess

8. Drittverwaltung

8.1 Lieferanten-Due-Diligence

Datenverarbeitungsklauseln in Verträgen
Sicherheitscompliance-Zertifizierung
Regelmäßige Audits
Verstossbehandlungsmechanismen

8.2 Vertragsanforderungen

Alle Datenverarbeitungsvereinbarungen müssen enthalten:

Zweckbindung der Datenverarbeitung
Sicherheitsverpflichtungen
Pannenmeldepflichten
Prüfrechte
Vertragskündigungsklauseln

9. Aufbewahrung und Dokumentation

9.1 Aufbewahrungsrichtlinie

Aufzeichnungstyp	Aufbewahrungsfrist	Gesetzliche Grundlage
Einwilligungsaufzeichnungen	5 Jahre	DSGVO Artikel 7(1)
Verarbeitungstätigkeitsaufzeichnungen	Kontinuierlich aktualisiert	DSGVO Artikel 30
Datenpannenaufzeichnungen	3 Jahre	DSGVO Artikel 33(5)
Mitarbeiterschulungsaufzeichnungen	3 Jahre	Compliance-Anforderungen

9.2 Compliance-Dokumentation

Datenschutzrichtlinien und -hinweise
Datenverarbeitungsvereinbarungen
Datenschutz-Folgenabschätzungsberichte
Schulungsmaterialien und -aufzeichnungen
Auditberichte

10. Mitarbeiterschulung und Sensibilisierung

10.1 Schulungsplan

Neue-Mitarbeiterschulung: Absolvierung grundlegender Datenschutzschulung bei Einstellung
Jährliche Auffrischungsschulung: Alle Mitarbeiter erhalten jährlich aktualisierte Schulungen
Rollenspezifische Schulung: Zusätzliche Schulung für Datenverarbeiter
Sensibilisierungsaktivitäten: Regelmäßige Aktivitäten zur Steigerung des Datenschutzbewusstseins

10.2 Schulungsinhalte

Grundprinzipien des Datenschutzes
Betroffenenrechte
Sicherheits-Best-Practices
Vorfallmeldeprozeduren
Spezifische Arbeitsverantwortlichkeiten

11. Audit und Überwachung

11.1 Interne Audits

Häufigkeit: Mindestens einmal jährlich
Umfang: Abdeckung aller Datenverarbeitungsaktivitäten
Berichterstattung: Einreichung an Management und DSB
Nachverfolgung: Verfolgung von Korrekturmaßnahmen

11.2 Externe Zertifizierung

ISO 27001-Zertifizierung: Informationssicherheitsmanagement
SOC 2 Type II-Bericht: Service-Organisation-Kontrollen
Regelmäßige rechtliche Überprüfung: Bewertung des Compliance-Status

12. Zusammenarbeit mit Aufsichtsbehörden

12.1 Hauptaufsichtsbehörden

Europäische Union: Zuständige nationale Datenschutzbehörden
Vereinigte Staaten: Federal Trade Commission (FTC)
China Cyberspace Administration of China
Vereinigtes Königreich: Information Commissioner's Office (ICO)
Kalifornien: California Privacy Protection Agency (CPPA)

12.2 Kooperationsverpflichtung

Zeitnahe Beantwortung behördlicher Anfragen
Bereitstellung erforderlicher Dokumente und Informationen
Umsetzung behördlicher Empfehlungen
Beteiligung an behördlichen Konsultationen

13. Verstöße und Sanktionen

13.1 Mögliche Sanktionen

Vorschrift	Höchststrafe
DSGVO	20 Millionen € oder 4% des weltweiten Umsatzes
PIPL	50 Millionen ¥ oder 5% des Umsatzes
CCPA/CPRA	7.500 $ pro Verstoß
BDSG	300.000 €

13.2 Haftpflichtversicherung

Cyber-Haftpflichtversicherung: 5 Millionen $
Datenpannenreaktionsversicherung
Behördenuntersuchungsversicherung

14. Compliance-Kontaktinformationen

Datenschutzbeauftragter

E-Mail: dpo@sundayou.com

EU-Vertreter

E-Mail: eu-representative@sundayou.com

15. Richtlinienüberprüfung und Aktualisierung

15.1 Überprüfungszyklus

Jährliche Überprüfung: Durchführung im vierten Quartal jedes Jahres
Vorfallbedingte Überprüfung: Sofortige Überprüfung nach bedeutenden Vorfällen
Regulatorische Änderungsüberprüfung: Innerhalb von 60 Tagen nach relevanten regulatorischen Änderungen

15.2 Aktualisierungsprozess

Analyse regulatorischer Änderungen
Folgenabschätzung
Entwurfsentwicklung
Interne Überprüfung
Rechtliche Prüfung
Genehmigung und Veröffentlichung
Mitarbeiterkommunikation
Öffentliche Bekanntmachung

16. Haftungsausschluss

Diese rechtliche Compliance-Erklärung stellt keine Rechtsberatung dar. Spezifische Compliance-Anforderungen können je nach Rechtsordnung, Geschäftsart und Datenverarbeitungsaktivitäten variieren. Es wird empfohlen, professionelle Rechtsberatung zu konsultieren, um vollständige Compliance sicherzustellen.

Dokumentenkontrollinformationen

Version: 1.0
Genehmigt von: Datenschutzausschuss
Nächster Überprüfungstermin: 1. Oktober 2025
Verteilungsbereich: Alle Mitarbeiter, relevante Dritte
Vertraulichkeitsstufe: Öffentlich