数据隐私声明撰写助手

数据隐私声明（简版）

- 组织与适用范围
  - 本声明说明我们如何收集、使用、共享和保护个人数据，适用于我们提供的产品与服务、官方网站及相关业务流程。
  - “个人数据”指可识别个人身份的信息，包括已识别或可识别自然人的任何数据。

- 个人数据类别
  - 标识信息：姓名、联系方式、账号标识、用户ID。
  - 业务与交易信息：订单、开票信息、付款记录、服务使用记录。
  - 技术与日志信息：设备信息、IP地址、浏览器类型、访问日志、Cookie/SDK事件。
  - 合规与风险信息：身份核验信息、风控信号、监管要求的记录。
  - 如需处理敏感个人数据（例如金融账户、定位、身份证件），将采用加强保护措施并按法律要求征得必要同意。

- 处理目的与合法依据（依适用法律）
  - 履行合同与提供服务：账户注册、身份验证、交付与支持。
  - 法定义务：税务、发票、监管报告、合规审计。
  - 合法利益：保障安全、改进产品、预防欺诈与滥用；在不损害个人权利的前提下进行统计与分析。
  - 同意：用于直销营销、可选功能、某些在线跟踪或敏感数据处理（可随时撤回，不影响撤回前处理的合法性）。

- 数据来源
  - 直接来自个人或其授权代表。
  - 由我们系统与设备自动收集的技术数据。
  - 合作伙伴、服务提供商或公开来源（在合法范围内）。

- 保留期限
  - 依据实现目的与法律要求设定最短必要保留期；到期后删除、匿名化或聚合化处理。
  - 不同数据类别适用差异化保留策略，并进行周期性审查。

- 共享与委托处理
  - 共享对象：受合同约束的服务提供商（如云基础设施、支付、客服）、关联公司（在合法范围内）、监管与执法机构（依法要求）。
  - 委托处理方须遵守数据保护义务，使用范围限定于委托目的，不得擅自用途变更。

- 跨境传输
  - 如涉及跨境传输，将依据适用法律采用合法机制（例如经批准的合同条款、充分性决定或同等安排），并实施适当的技术与组织措施。

- 安全与数据质量
  - 安全措施：访问控制、加密与传输保护、最小权限、日志审计、漏洞管理、备份与恢复。
  - 数据质量：设立数据校验与更正流程，减少重复、缺失与不一致；对关键数据实施主数据与元数据管理。

- 数据主体权利（依适用法律）
  - 查询与访问、纠正与更新、删除、限制处理、反对处理、数据可携带、撤回同意。
  - 可向监管机构投诉。我们将在法定或合理期限内回复并记录处理结果。

- 自动化决策与画像
  - 如进行自动化决策或画像，将提供有意义的信息、影响说明和可行救济（包括请求人工干预或提出异议）。

- 儿童隐私
  - 不以儿童为主要服务对象。如需处理儿童数据，将依法获取监护人同意并采取专门保护措施。

- Cookie与类似技术
  - 用于会话维护、偏好设置、性能分析与营销（在需要同意的场景中提供选择与退出机制）。

- 变更与通知
  - 我们将定期审查并更新本声明；重大变更将通过合理渠道通知。变更自发布之日起生效，除非另有说明。

- 联系方式
  - 隐私与数据保护咨询、权利请求或投诉，请联系：数据保护联系人/邮箱：[填写]；通信地址：[填写]。
  - 如法律要求设有数据保护官（DPO），联系方式：[填写]。

本声明为简版隐私说明；详细信息（包括具体数据类别、保留期限、第三方列表与跨境机制）请参考我们的完整隐私政策与数据处理规范。

Data Privacy Notice for a Multilingual E‑Commerce Marketplace

Effective date: [YYYY-MM-DD]
Version: [1.0]

1. Scope and Role
- This notice explains how [Company Legal Name] (“we,” “us,” “our”) collects, uses, shares, and protects personal data in connection with our multilingual online marketplace, including our websites, mobile apps, seller tools, customer support channels, and related services (“Services”).
- We act as:
  - Independent Controller for buyer accounts, browsing, marketplace operations, platform analytics, security/fraud, marketing, and regulatory compliance.
  - Independent Controller for seller onboarding (KYC/KYB), marketplace integrity, and seller performance analytics that rely on platform data.
  - Processor to sellers for specific tools that process their customer data on their behalf (e.g., order management integrations, seller CRM exports, ads delivery restricted to a seller’s buyers), subject to applicable data processing agreements.

2. Contact Details
- Controller: [Company Legal Name], [Registered Address], [Jurisdiction]
- Data Protection Officer (DPO): dpo@[company].com
- Privacy inquiries: privacy@[company].com
- EU/EEA Representative (if applicable, GDPR Art. 27): [Name, Address, Email]
- UK Representative (if applicable, UK GDPR Art. 27): [Name, Address, Email]

3. Definitions (plain language)
- Personal Data: Information that identifies or can reasonably identify an individual.
- Processing: Any operation performed on personal data (collection, storage, use, disclosure, deletion).
- Controller/Processor: Entity that determines purposes and means of processing / processes data on behalf of a controller.
- Sensitive Personal Data: Categories defined by law (e.g., precise geolocation, government IDs, account credentials, racial/ethnic origin, health).

4. Categories of Personal Data
We process only data necessary for defined purposes:
- Identification and contact: name, username, email, phone, addresses, language preferences.
- Account and profile: password hashes, account settings, communication preferences, saved items.
- Transaction data: orders, invoices, delivery details, returns, refunds, receipts, tax/VAT IDs (where applicable).
- Payment data: tokenized payment identifiers; we do not store full card numbers. Payment card data is processed by compliant payment service providers.
- Seller verification (KYB/KYC): business registration, government-issued IDs (as permitted by law), beneficial ownership, bank details for payouts.
- Device and technical: IP address, device identifiers, app version, browser type, time zone, network, operating system, error logs.
- Usage and interaction: page views, clicks, search queries, session analytics, heatmaps (if used), performance metrics.
- Cookies and similar technologies: session cookies, analytics, advertising tags, consent logs.
- Communications and content: emails, chats, support tickets, reviews/ratings, uploaded images and descriptions.
- Localization data: language choice, locale, currency; approximate location from IP; with consent, precise location to enhance delivery or pickup features.
- Fraud and security signals: device fingerprinting, risk scores, failed logins, chargeback markers, blacklists.
- Marketing and advertising: campaign attribution, preferences, opt-in/opt-out records.
- Audio/recordings: customer service call/chat recordings where permitted and with notice.

5. Sources of Personal Data
- Directly from you: account creation, checkout, support, forms, seller onboarding.
- Automatically: through our Services and apps.
- From third parties: payment processors, logistics partners, identity verification services, credit reference or sanctions screening providers (where legal), analytics vendors, advertising partners, social sign-in providers, and marketplace sellers in connection with your purchases.

6. Purposes and Legal Bases (GDPR/UK GDPR)
We process personal data for:
- Service delivery and account management: to create and manage accounts, process orders, provide customer support, enable multilingual experience, and maintain functionality.
  - Legal bases: contract performance; legitimate interests (operate Services); legal obligations (consumer, tax).
- Payments and fraud prevention: to authenticate, prevent fraud/abuse, manage chargebacks, ensure platform integrity.
  - Legal bases: legitimate interests; legal obligations; substantial public interest where provided by law.
- Seller onboarding and payouts: to verify identities, conduct sanctions/PEP screening where required, disburse funds, comply with AML/CFT.
  - Legal bases: legal obligations; legitimate interests; contract performance.
- Personalization and localization: to present content, currencies, and experiences in your chosen language/locale.
  - Legal bases: legitimate interests; consent where required for cookies/identifiers.
- Analytics and service improvement: to measure performance, diagnose issues, improve UX, and develop features.
  - Legal bases: legitimate interests; consent for analytics cookies where required.
- Marketing communications: to send offers, newsletters, and surveys consistent with your preferences.
  - Legal bases: consent (where required) or legitimate interests with opt-out.
- Advertising and retargeting: to show relevant ads, measure ad performance, and limit frequency.
  - Legal bases: consent in the EEA/UK and where required; legitimate interests elsewhere subject to opt-out.
- Legal compliance: to meet tax, accounting, consumer protection, reporting, and lawful requests from authorities.
  - Legal bases: legal obligations; establishment, exercise, or defense of legal claims.
- Automated decision-making: limited to fraud/risk scoring, abuse mitigation, and ad audience inclusion/exclusion. Human review is available where required by law.

7. Cookies and Similar Technologies
- We use essential cookies for core functionality, and with consent where required, analytics and advertising cookies.
- Manage preferences via our Consent Management Platform (CMP) in the cookie banner and in-account settings. EEA/UK users can granularly consent/withdraw at any time without detriment.

8. Sharing and Disclosure
We share data only as necessary for purposes described above:
- Service providers (processors): cloud hosting, customer support tools, email/SMS, identity verification, payment processing, analytics, security monitoring, translation/localization, content moderation, and logistics orchestration. Bound by contracts and confidentiality.
- Payment service providers: to process payments and fraud checks.
- Logistics and fulfillment partners: to deliver orders and handle returns.
- Marketplace sellers: when you purchase from a third-party seller, we share necessary order and delivery information. Sellers act as independent controllers for their own processing and must provide their own privacy notices.
- Advertising and analytics partners: for measurement and, where permitted/consented, personalized ads.
- Corporate transactions: in mergers, acquisitions, or reorganization, subject to appropriate safeguards.
- Legal and compliance: to authorities or third parties when required by law or to protect rights, safety, and security.

We do not sell personal data for money. In some jurisdictions (e.g., California), disclosures for targeted advertising or cross-context behavioral advertising may be considered “sale” or “sharing.” You may opt out via the “Do Not Sell or Share My Personal Information” link and CMP settings.

9. International Data Transfers
- We operate globally. Where personal data is transferred outside your jurisdiction:
  - For EEA/UK: we use appropriate safeguards such as EU Standard Contractual Clauses (EU SCCs 2021/914) and the UK IDTA/Addendum, conduct transfer impact assessments, and implement supplementary measures (encryption in transit and at rest, access control).
  - We rely on adequacy decisions where applicable.
- Copies of relevant transfer safeguards can be requested, subject to redactions for security and confidentiality.

10. Data Retention
We apply a documented retention schedule and delete or anonymize data when no longer needed:
- Account data: for the life of the account, then a defined period (e.g., up to 6 years) for recordkeeping and dispute resolution.
- Orders and invoices: typically 7–10 years to meet tax/accounting obligations.
- Customer support communications: typically 3 years after closure, unless needed for claims.
- Marketing preferences and consent logs: duration of consent plus up to 5 years for compliance records.
- Fraud/risk logs: up to 5 years or as legally required.
- Seller KYB/KYC records: as required by AML/CFT and financial regulations.
Actual periods may vary by jurisdiction and legal requirements.

11. Data Security
We maintain an information security program aligned to recognized frameworks and proportional to risk:
- Encryption in transit and at rest; key management.
- Network segmentation, firewalls, and endpoint protection.
- Role-based access control, least privilege, MFA, and periodic access recertification.
- Secure software development lifecycle (secure coding, code review, dependency scanning, penetration testing).
- Logging, monitoring, anomaly detection, and incident response procedures.
- Vendor risk management and data processing agreements.
- Data minimization, pseudonymization where feasible, and backup/recovery controls.

12. Data Accuracy and Governance
- We maintain data inventories and records of processing (RoPA), define data ownership and stewardship, and monitor data quality (completeness, accuracy, timeliness).
- Changes and corrections can be made via account settings or by contacting support.
- Privacy by design: we review new processing via DPIAs where required and apply default settings that limit data to what is necessary.
- Access to personal data is restricted to trained personnel with a business need.

13. Your Rights
Depending on your location, you may have the following rights:
- Access: receive a copy of your personal data.
- Rectification: correct inaccurate or incomplete data.
- Deletion: request deletion, subject to legal exceptions.
- Restriction: limit processing in certain circumstances.
- Portability: receive data in a structured, commonly used, machine-readable format.
- Objection: object to processing based on legitimate interests and to direct marketing at any time.
- Withdraw consent: where processing is based on consent.
- Automated decisions: request human review and contest decisions with legal or similarly significant effects, where applicable.
- Region-specific:
  - California (CPRA): right to know, delete, correct, opt out of sale/share, and limit use/disclosure of sensitive personal information.
  - Brazil (LGPD): confirmation, access, correction, anonymization/blocking/deletion, portability, information on shared use, and revocation of consent.
  - Canada (PIPEDA): access and challenge accuracy.
How to exercise: Use the privacy portal in your account or contact privacy@[company].com. We will verify your identity and respond within statutory timeframes. Authorized agents may act on your behalf where allowed by law.

14. Children’s Privacy
- Our Services are not directed to children. We do not knowingly collect personal data from children under 13 (US) or under the age of digital consent in the EEA/UK (typically 16, subject to local law).
- If we learn we have collected such data without appropriate consent, we will delete it.

15. Automated Decision-Making and Profiling
- We use automated processing for:
  - Fraud and abuse prevention (risk scoring, velocity checks).
  - Personalization and recommendations.
  - Advertising audience selection where permitted/consented.
- These processes do not produce legal or similarly significant effects on individuals without human involvement. You can request information about the logic involved and the significance and envisaged consequences, and exercise applicable rights.

16. Third-Party Links and Seller Policies
- Our Services may link to third-party sites or tools. Their privacy practices are governed by their own policies.
- Marketplace sellers act as independent controllers for their own processing of buyer data. Review the seller’s privacy notice before purchase.

17. Sensitive Personal Data
- We limit collection and use of sensitive personal data to what is necessary for explicit purposes (e.g., seller KYC, account security, fraud prevention).
- Where required by law, we obtain consent or provide the right to limit its use/disclosure.

18. Regional Disclosures
- EEA/UK: You may lodge a complaint with your local supervisory authority. Our lead supervisory authority (if applicable): [Authority Name, Country].
- California: Use “Do Not Sell or Share My Personal Information” to opt out of sale/share. We honor Global Privacy Control (GPC) signals where required.
- Other regions: We apply local requirements where applicable and will provide additional disclosures upon request.

19. Language and Translations
- This notice is available in multiple languages. We strive for accuracy across translations. In case of discrepancies, the version required by local law to be provided in your local language will prevail; otherwise, the English version governs.

20. Updates to This Notice
- We may update this notice to reflect changes in laws or our processing. Material changes will be communicated via the Services or email. The “Effective date” reflects the latest version.

21. How to Contact Us
- Email: privacy@[company].com
- Postal: [Privacy Office Address]
- DPO: dpo@[company].com
- EU/UK Representative (if applicable): [Contact Details]
If you have unresolved concerns, you may contact your data protection authority.

Notes for Implementation (governance controls)
- Maintain an up-to-date Record of Processing Activities (RoPA) covering all marketplace flows, including multilingual processing and translation logs.
- Ensure a Data Processing Agreement and SCCs/UK Addendum with all vendors handling personal data; conduct and document TIAs for third-country transfers.
- Enforce a retention schedule in storage systems and data warehouses with automated deletion/anonymization jobs and audit logs.
- Operate a CMP configured for jurisdictional rules (e.g., IAB TCF in EEA) and honor user signals (GPC).
- Run DPIAs for high-risk processing (fraud scoring models, new ad tech integrations, KYC).
- Provide role-based privacy training, access recertifications, and vendor due diligence at least annually.

Datenschutzhinweis zur Compliance-Prüfung (Muster)

1. Verantwortlicher und Geltungsbereich
- Verantwortlicher: [Unternehmensname], [Adresse], [HRB/Registernummer], [USt-IdNr.]
- Kontakt: [E-Mail für Datenschutzanfragen], [Telefon]
- Geltungsbereich: Dieser Hinweis beschreibt die Verarbeitung personenbezogener Daten im Rahmen von
  - Kunden- und Interessentenmanagement
  - Lieferanten- und Partnerverwaltung
  - Personal- und Bewerberprozessen
  - Betrieb von Webseiten, Portalen, Apps und Supportkanälen
  - Sicherheits-, Compliance- und Audit-Zwecken
- Referenz: Verzeichnis der Verarbeitungstätigkeiten (VVT) [VVT-ID]

2. Datenschutzbeauftragter
- Datenschutzbeauftragter (DSB): [Name], [Kontakt], [Adresse]
- Erreichbarkeit für Betroffene und Aufsichtsbehörden: [E-Mail DSB], [Postanschrift]

3. Kategorien personenbezogener Daten
- Identitäts- und Stammdaten: Name, Titel, Geburtsdatum, Kundennummer, Mitarbeiter-ID
- Kontaktdaten: Anschrift, E-Mail, Telefon, Kommunikationspräferenzen
- Vertrags-, Bestell- und Zahlungsdaten: Vertragsinhalte, Rechnungsdaten, Transaktions-IDs, IBAN (sofern erforderlich)
- Nutzungs-, Log- und Metadaten: Zugriffsdaten, IP-Adresse, Zeitstempel, Geräte-/Browser-Informationen, Session-IDs
- Bewerberdaten: Lebenslauf, Zeugnisse, Referenzen, Interviewnotizen
- Kommunikationsinhalte: Support-Tickets, E-Mails, Chat-Protokolle, Aufzeichnungen nach Einwilligung
- Sicherheits- und Compliance-Daten: Zugriffsrechte, Rollen, Audit-Logs, Sanktionslistenprüfung
- Besondere Kategorien (Art. 9 DSGVO) nur bei Erforderlichkeit: Gesundheitsdaten, Gewerkschaftszugehörigkeit (z. B. arbeitsmedizinische Vorsorge); Rechtsgrundlage: Art. 9 Abs. 2 DSGVO (z. B. Einwilligung, Arbeitsrecht, Gesundheitsvorsorge)

4. Herkunft der Daten
- Direkterhebung: Angaben durch Betroffene im Rahmen von Vertragsanbahnung, -durchführung und Kommunikation
- Dritte/Öffentliche Quellen: Lieferanten, Partner, Auskunfteien, Behörden, öffentliche Register, Social-Media-Profile bei Bewerbungen (sofern veröffentlicht)
- Hinweis gem. Art. 14 DSGVO: Bei Drittherkunft informieren wir über Quelle, Kategorien, Zwecke und Rechtsgrundlagen innerhalb der gesetzlichen Fristen.

5. Zwecke und Rechtsgrundlagen der Verarbeitung
- Vertragsanbahnung/-durchführung (Art. 6 Abs. 1 lit. b DSGVO): Angebotserstellung, Lieferung, Abrechnung, Kundenservice
- Rechtliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Handels- und Steuerrecht, Geldwäscheprävention, Sanktionslistenprüfung, Aufbewahrungspflichten (z. B. §257 HGB, §147 AO)
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Marketing-Kommunikation, Cookies/Tracking (nicht essenziell), Aufzeichnungen, besondere Kategorien; Widerruf jederzeit mit Wirkung für die Zukunft
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Betrugsprävention, Produktverbesserung, Reichweitenmessung, Direktwerbung an Bestandskunden; Interessenabwägung dokumentiert [Abwägungs-Referenz-ID]
- Lebenswichtige/interessen der Öffentlichkeit (Art. 6 Abs. 1 lit. d/e DSGVO) nur, wenn einschlägig
- Besondere Kategorien (Art. 9 Abs. 2 DSGVO) und strafrechtliche Daten (Art. 10 DSGVO) ausschließlich bei gesetzlicher Grundlage und erforderlichen Schutzmaßnahmen

6. Empfänger und Kategorien von Empfängern
- Auftragsverarbeiter (Art. 28 DSGVO): Cloud- und Hosting-Anbieter, E-Mail-/Kommunikationsdienste, Zahlungsdienstleister, CRM/ERP, Bewerbermanagement; Verträge mit TOMs, Unterauftragsregelungen, Ort der Verarbeitung dokumentiert [AVV-Register]
- Konzerngesellschaften: Innerhalb des Konzerns auf Basis konzerninterner Vereinbarungen und Zugriffsberechtigungskonzept
- Behörden, Gerichte, Finanzinstitutionen: Bei rechtlicher Verpflichtung oder zur Rechtsdurchsetzung
- Berufsgeheimnisträger: Steuerberater, Rechtsanwälte, Wirtschaftsprüfer

7. Internationale Datenübermittlungen
- Drittlandtransfers (Art. 44 ff. DSGVO): Nur bei geeigneten Garantien
  - Angemessenheitsbeschluss (Art. 45): [Falls zutreffend, Land]
  - Standardvertragsklauseln (SCC, 2021): [Lieferant/Verarbeitung], Transfer Impact Assessment (TIA) durchgeführt [TIA-ID]
  - Binding Corporate Rules (BCR): [Falls vorhanden]
- Ergänzende Maßnahmen gem. Schrems II: Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen, Datenminimierung
- UK/andere Jurisdiktionen: IDTA/Addendum, lokale Anforderungen berücksichtigt

8. Speicherdauer und Löschkonzept
- Grundsatz: Speicherbegrenzung und Datenminimierung; Löschung oder Anonymisierung nach Zweckerreichung
- Kriterien: Vertragsbezug, gesetzliche Aufbewahrung, Verjährungsfristen, Nachweis- und Compliance-Anforderungen
- Beispiele:
  - Steuer-/Handelsunterlagen: bis zu 10 Jahre (AO/HGB)
  - Geschäftsbriefe: 6 Jahre (HGB)
  - Bewerberdaten: 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zur längeren Speicherung
- Löschverfahren: Regelmäßige Löschläufe, definierte Fristen je Kategorie [Löschkonzept-ID], protokollierte Durchführung

9. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Zugriffskontrollen: Rollen-/Rechtekonzept, Least Privilege, MFA
- Verschlüsselung: TLS in Transit, AES-basierte Verschlüsselung at Rest, Schlüsselmanagement
- Integrität/Verfügbarkeit: Backup/Restore, Hochverfügbarkeit, Monitoring, Notfallmanagement
- Protokollierung: Sicherheits- und Zugriffslogs, revisionssichere Aufbewahrung
- Datenschutz durch Technikgestaltung und Voreinstellungen: Datenminimierung, Pseudonymisierung, getrennte Speicherbereiche
- Schwachstellen- und Patch-Management: Regelmäßige Scans, zeitnahe Behebung
- Lieferanten- und Drittparteirisiken: Due Diligence, AVV, Sicherheitsbewertungen, laufendes Monitoring
- Schulungen und Berechtigungsmanagement: Sensibilisierung, Vertraulichkeitsverpflichtungen

10. Betroffenenrechte (Art. 12–22 DSGVO)
- Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch (Art. 21), Widerruf von Einwilligungen
- Ausübung: [Kontaktkanal/Portal], Identitätsprüfung vorgesehen
- Fristen: Antwort i. d. R. binnen 1 Monat; Verlängerung um 2 Monate bei Komplexität (Information hierüber erfolgt rechtzeitig)
- Widerspruch gegen Direktwerbung wird stets beachtet; Opt-Out-Kanal: [Link/Adresse]

11. Cookies und Online-Tracking
- Rechtsgrundlagen: Art. 6 DSGVO und nationales Recht (z. B. TTDSG in Deutschland)
- Kategorien:
  - Essenzielle Cookies: Erforderlich für Funktionalität; Rechtsgrundlage Art. 6 Abs. 1 lit. f/b
  - Präferenz-, Statistik-, Marketing-Cookies/SDKs: Nur mit Einwilligung (Art. 6 Abs. 1 lit. a), dokumentiert über Consent-Management-Plattform (CMP)
- Opt-Out/Opt-In: [CMP-Link], Einstellungen jederzeit änderbar

12. Automatisierte Entscheidungen und Profiling (Art. 22 DSGVO)
- Status: [Keine/Ja – Beschreibung]
- Wenn zutreffend: Logik, Bedeutung und angestrebte Auswirkungen werden erläutert; menschliche Intervention, Anfechtungsrecht und ausdrückliche Einwilligung, sofern erforderlich

13. Pflicht zur Bereitstellung und Folgen der Nichtbereitstellung
- Vertragsdurchführung: Bestimmte Daten sind erforderlich; ohne diese ist keine Leistungserbringung möglich
- Rechtliche Pflichten: Bereitstellung gesetzlich vorgeschriebener Angaben kann verpflichtend sein
- Freiwillige Daten: Einwilligungsbasierte Verarbeitungen sind optional; keine Nachteile bei Widerruf

14. Verarbeitung von Daten von Kindern
- Einwilligungen Minderjähriger: Alter 16 Jahre nach Art. 8 DSGVO (sofern nationales Recht keine niedrigere Grenze vorsieht); andernfalls ist die Zustimmung der Erziehungsberechtigten erforderlich

15. Gemeinsame Verantwortlichkeit und Auftragsverarbeitung
- Gemeinsame Verantwortliche (Art. 26 DSGVO): [Falls zutreffend, Partner] mit transparenter Rollenverteilung
- Auftragsverarbeiter (Art. 28 DSGVO): Sorgfältige Auswahl, vertragliche Bindung, Nachweis von TOMs, Unterauftragsfreigaben

16. Meldung von Datenschutzvorfällen
- Vorgehen: Incident-Response-Prozess, Bewertung von Risiken für Rechte und Freiheiten
- Meldung: An die Aufsichtsbehörde binnen 72 Stunden bei meldepflichtigen Verletzungen (Art. 33); Benachrichtigung Betroffener bei hohem Risiko (Art. 34)

17. Aufsichtsbehörde und Beschwerderecht
- Beschwerderecht: Bei jeder Datenschutzaufsichtsbehörde, insbesondere am Sitz des Betroffenen oder des Verantwortlichen
- Zuständige Behörde (Deutschland, Beispiel): [Landesdatenschutzbehörde], [Adresse/Website]

18. Internationale und nationale Besonderheiten
- Lokale Gesetzesbezüge: BDSG (DE), TTDSG (DE), arbeitsrechtliche Normen, branchenspezifische Regulierung [z. B. Finanz, Gesundheit]
- Exportkontroll- und Sanktionsanforderungen: Prüfung und Dokumentation bei Bedarf

19. Änderungen und Versionierung
- Version: [vX.Y], Datum: [TT.MM.JJJJ]
- Änderungsgrund: [z. B. neue Zwecke, neue Empfänger, Rechtsänderungen]
- Review-Zyklus: [z. B. jährlich] oder anlassbezogen (DPIA-Ergebnisse, neue Systeme)
- Historie: [Change-Log-Referenz]

20. Referenzen für Compliance Review
- Verzeichnis der Verarbeitungstätigkeiten: [VVT-ID/Link]
- Datenschutz-Folgenabschätzung (DPIA): [DPIA-ID], Risikomitigation dokumentiert
- Transfer Impact Assessment (TIA): [TIA-ID]
- Löschkonzept und Retention-Schedule: [Dokument-ID]
- TOMs-Dokumentation: [Dokument-ID]
- AVV-Register inkl. Unterauftragsverarbeiter: [Register-Link/ID]

Kontakt
- Datenschutzanfragen: [E-Mail], [Portal-Link]
- Postanschrift: [Adresse]
- DSB: [Name], [E-Mail], [Telefon]

Hinweise
- Dieser Datenschutzhinweis erfüllt die Informationspflichten nach Art. 13/14 DSGVO. Konkrete Details (z. B. spezifische Verarbeitungen, Fristen und Empfänger) sind organisationsspezifisch zu ergänzen und im VVT/DPIA zu hinterlegen.