Herrenausverkauf im Archiv: 50 % Rabatt auf ausgewählte Modelle
Damen-Archivverkauf: 50 % Rabatt auf ausgewählte Modelle
GENIESSEN SIE 10 % RABATT AUF IHRE ERSTE BESTELLUNG, WENN SIE SICH FÜR UNSEREN NEWSLETTER ANMELDEN
Dents Dents
Suche
Einloggen
Suche
Suche
Meine Tasche
Meine Tasche
Meine Tasche
Suche
Close

Vorwort

Unsere Corporate Datenschutzrichtlinie stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten von Kunden, Interessenten, Geschäftspartnern und Mitarbeitern. Sie erfüllt die Anforderungen der europäischen Datenschutzrichtlinie (DSGVO) und gewährleistet die Einhaltung der Grundsätze nationaler und internationaler Datenschutzgesetze.

Die Richtlinie legt die geltenden Datenschutz- und Sicherheitsstandards für unser Unternehmen fest und regelt den Informationsaustausch zwischen unseren Gruppengesellschaften. Wir haben sieben Datenschutzprinzipien – darunter Transparenz, Datenminimierung und Datensicherheit – als Leitlinie etabliert.

Unsere Führungskräfte und Mitarbeiter sind verpflichtet, die Richtlinie einzuhalten und ihre lokalen Datenschutzgesetze zu beachten.

Als Verantwortlicher für den Corporate Datenschutz ist es meine Pflicht sicherzustellen, dass die Regeln und Grundsätze des Datenschutzes bei Dents werden eingehalten.

Robert Yentob

Vorsitzender

23/5/18

Inhalt

I. Ziel der Datenschutzrichtlinie

II. Geltungsbereich der Datenschutzrichtlinie

III. Anwendung nationaler Gesetze

IV. Grundsätze für die Verarbeitung personenbezogener Daten

1. Fairness und Rechtmäßigkeit

2. Beschränkung auf einen bestimmten Zweck

3. Transparenz

4. Datenminimierung und Datenökonomie

5. Löschung

6. Sachliche Richtigkeit; aktuelle Daten

7. Vertraulichkeit und Datensicherheit

V. Zuverlässigkeit der Datenverarbeitung

1. Kunden- und Partnerdaten

1.1 Datenverarbeitung für ein Vertragsverhältnis

1.2 Datenverarbeitung zu Werbezwecken

1.3 Einwilligung zur Datenverarbeitung

1.4 Datenverarbeitung aufgrund gesetzlicher Ermächtigung

1.5 Datenverarbeitung aufgrund berechtigter Interessen

1.6 Verarbeitung hochsensibler Daten

1.7 Automatisierte Einzelentscheidungen

1.8 Nutzerdaten und Internet

2. Mitarbeiterdaten

2.1 Datenverarbeitung für das Arbeitsverhältnis

2.2 Datenverarbeitung aufgrund gesetzlicher Ermächtigung

2.3 Einwilligung zur Datenverarbeitung

2.4 Datenverarbeitung aufgrund berechtigter Interessen

2.5 Verarbeitung hochsensibler Daten

2.6 Automatisierte Entscheidungen

2.7 Telekommunikation und Internet

VI. Übermittlung personenbezogener Daten

VII. Auftragsdatenverarbeitung

VIII. Rechte der betroffenen Person

IX. Vertraulichkeit der Verarbeitung

X. Verarbeitungssicherheit

XI. Datenschutzkontrolle

XII. Datenschutzvorfälle

XIII. Verantwortlichkeiten und Sanktionen

  1. I. Ziel der Datenschutzrichtlinie

Als Teil seiner sozialen Verantwortung verpflichtet sich die Dewhurst Dent Group (die Gruppe) zur Einhaltung der Datenschutzgesetze. Diese Datenschutzrichtlinie gilt weltweit für die Gruppe und basiert auf weltweit anerkannten, grundlegenden Datenschutzprinzipien. Die Gewährleistung des Datenschutzes ist die Grundlage vertrauenswürdiger Geschäftsbeziehungen und des Rufs aller Unternehmen der Gruppe als attraktiver Arbeitgeber.

Die Datenschutzrichtlinie bietet eine der notwendigen Rahmenbedingungen für grenzüberschreitende

Datenübermittlung zwischen den Unternehmen der Gruppe. Sie gewährleistet das angemessene Datenschutzniveau

vorgeschrieben durch die DSGVO und die nationalen Gesetze für grenzüberschreitende Datenübermittlungen, auch in Ländern, die noch keine angemessenen Datenschutzgesetze haben.

  1. II. Geltungsbereich der Datenschutzrichtlinie

Diese Datenschutzrichtlinie gilt für alle Unternehmen und Abteilungen der Gruppe, d.h. Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) und Hersil Fabrics.

Die Datenschutzrichtlinie erstreckt sich auf alle Verarbeitungstätigkeiten personenbezogener Daten

  1. III. Anwendung nationaler Gesetze

Diese Datenschutzrichtlinie umfasst die international anerkannten Datenschutzprinzipien

ohne die bestehenden nationalen Gesetze zu ersetzen. Es ergänzt die nationalen Datenschutzgesetze. Die

maßgebliches nationales Recht hat Vorrang, falls es im Widerspruch zu dieser Datenschutzrichtlinie steht.

Richtlinie oder sie hat strengere Anforderungen als diese Richtlinie. Der Inhalt dieser Datenschutzrichtlinie

müssen auch bei Fehlen entsprechender nationaler Gesetzgebung beachtet werden. Die Meldung

Anforderungen an die Datenverarbeitung nach nationalem Recht müssen beachtet werden.

Jedes Unternehmen der Gruppe ist für die Einhaltung dieser Datenschutzrichtlinie und der gesetzlichen Verpflichtungen verantwortlich. Alle Mitarbeiter müssen diese Richtlinie und alle damit verbundenen Richtlinien beim Umgang mit personenbezogenen Daten lesen, verstehen und einhalten; Verstöße können zu disziplinarischen Maßnahmen führen.

  1. IV. Grundsätze für die Verarbeitung personenbezogener Daten

1. Fairness und Rechtmäßigkeit

Bei der Verarbeitung personenbezogener Daten müssen die individuellen Rechte der betroffenen Personen geschützt werden.

Personenbezogene Daten müssen auf rechtmäßige und faire Weise erhoben und verarbeitet werden. Datenschutzgesetze erlauben die Verarbeitung für bestimmte Zwecke, die in dieser Richtlinie festgelegt sind. Die betroffenen Personen werden über die Zwecke der Verarbeitung ihrer personenbezogenen Daten informiert, Details dazu finden sich in der Datenschutzerklärung für Mitarbeiter des Unternehmens.

2. Beschränkung auf einen bestimmten, eindeutigen und legitimen Zweck

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden und nicht in einer Weise, die mit diesen Zwecken unvereinbar ist. Nachträgliche Änderungen des Zwecks sind nur in begrenztem Umfang möglich und bedürfen einer Begründung.


3. Transparenz

Die betroffene Person muss darüber informiert werden, wie ihre Daten verarbeitet werden. [Mitarbeitern wird eine Datenschutzerklärung ausgehändigt, die sie darüber informiert, wie ihre Daten verarbeitet werden.] Die Informationen werden prägnant, transparent, leicht zugänglich und in klarer und einfacher Sprache bereitgestellt.

In der Regel werden personenbezogene Daten direkt von der betroffenen Person erhoben. Wenn die Daten erhoben werden, muss die betroffene Person entweder Kenntnis davon haben oder darüber informiert werden:

» Die Identität des Datenverantwortlichen

» Der Zweck der Datenverarbeitung

» Dritte oder Kategorien von Dritten, an die die Daten übermittelt werden könnten

Personenbezogene Daten können auch indirekt erhoben werden (zum Beispiel von Dritten oder öffentlich zugänglichen Quellen). Die betroffene Person wird so bald wie möglich nach der Erhebung/Erhalt der Daten über die oben genannten Informationen informiert.

4. Datenminimierung und Datenökonomie

Personenbezogene Daten müssen angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Bevor personenbezogene Daten verarbeitet werden, müssen Sie feststellen, ob und in welchem Umfang die Verarbeitung personenbezogener Daten erforderlich ist, um den Zweck zu erreichen, für den sie durchgeführt wird.

Soweit der Zweck es zulässt und die damit verbundenen Kosten im Verhältnis zum verfolgten Ziel stehen, müssen anonymisierte oder statistische Daten verwendet werden. Personenbezogene Daten dürfen nicht im Voraus erhoben und für potenzielle zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch nationales Recht erforderlich oder erlaubt.

5. Löschung

Wenn personenbezogene Daten nicht mehr benötigt werden, werden sie gemäß den Aufbewahrungsrichtlinien und -vorschriften des Unternehmens gelöscht. Die betroffenen Personen werden in den Datenschutzrichtlinien über die Dauer der Datenspeicherung und die Bestimmung dieser Dauer informiert.

Drittparteien müssen verpflichtet werden, Daten, die nicht mehr benötigt werden, gegebenenfalls zu löschen.

6. Sachliche Richtigkeit; aktuelle Daten

Personenbezogene Daten müssen korrekt und – falls erforderlich – aktuell gehalten werden. Geeignete Maßnahmen sind zu ergreifen, um ungenaue oder unvollständige Daten zu löschen, zu korrigieren, zu ergänzen oder zu aktualisieren.

7. Vertraulichkeit und Datensicherheit

Personenbezogene Daten unterliegen der Vertraulichkeit. Sie müssen auf persönlicher Ebene vertraulich behandelt und mit geeigneten organisatorischen und technischen Maßnahmen gesichert werden, um unbefugten Zugriff, unrechtmäßige Verarbeitung oder Verbreitung sowie versehentlichen Verlust, Beschädigung, Änderung oder Zerstörung zu verhindern. Wir haben Schutzmaßnahmen entsprechend unserer Größe, unseres Umfangs, unserer Ressourcen und der identifizierten Risiken implementiert, die regelmäßig bewertet und getestet werden. Wir haben Verfahren eingerichtet, um mit vermuteten Datenschutzverletzungen umzugehen, und werden betroffene Personen oder gegebenenfalls zuständige Aufsichtsbehörden benachrichtigen, wenn wir gesetzlich dazu verpflichtet sind.

Personenbezogene Daten werden nur an Drittanbieter übermittelt, die sich verpflichten, unsere erforderlichen Richtlinien und Verfahren einzuhalten und angemessene Maßnahmen zum Schutz der Datensicherheit zu ergreifen. Personenbezogene Daten werden nicht in ein anderes Land übermittelt, ohne dass geeignete Schutzmaßnahmen vorhanden sind.

  1. V. Zuverlässigkeit der Datenverarbeitung

Das Erheben, Verarbeiten und Nutzen personenbezogener Daten ist nur unter den folgenden Rechtsgrundlagen erlaubt.

Eine dieser Rechtsgrundlagen ist auch erforderlich, wenn der Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten vom ursprünglichen Zweck abweichen soll.

1. Kunden- und Partnerdaten

1.1 Datenverarbeitung für ein Vertragsverhältnis

Personenbezogene Daten der betreffenden Interessenten, Kunden und Partner können verarbeitet werden, um einen Vertrag zu begründen, auszuführen und zu beenden. Dies umfasst auch Beratungsleistungen für den Partner im Rahmen des Vertrags, sofern diese mit dem Vertragszweck zusammenhängen. Vor Vertragsabschluss – während der Vertragsinitiierungsphase – können personenbezogene Daten verarbeitet werden, um Angebote oder Bestellungen vorzubereiten oder andere Anfragen des Interessenten im Zusammenhang mit dem Vertragsabschluss zu erfüllen. Interessenten können während des Vertragsvorbereitungsprozesses mit den von ihnen bereitgestellten Informationen kontaktiert werden. Etwaige vom Interessenten gewünschte Einschränkungen sind einzuhalten.

1.2 Datenverarbeitung zu Werbezwecken

Wenn die betroffene Person ein Unternehmen der Gruppe kontaktiert, um Informationen anzufordern (z. B. die Anforderung von Informationsmaterial zu einem Produkt), ist die Datenverarbeitung zur Erfüllung dieser Anfrage erlaubt.

Kundenbindungs- oder Werbemaßnahmen unterliegen weiteren gesetzlichen Anforderungen. Personenbezogene Daten können zu Werbezwecken oder für Markt- und Meinungsforschung verarbeitet werden, sofern dies mit dem Zweck, für den die Daten ursprünglich erhoben wurden, vereinbar ist. Die betroffene Person muss über die Nutzung ihrer Daten zu Werbezwecken informiert werden. Werden Daten ausschließlich zu Werbezwecken erhoben, ist die Angabe durch die betroffene Person freiwillig. Die betroffene Person ist darüber zu informieren, dass die Bereitstellung der Daten zu diesem Zweck freiwillig ist. Bei der Kommunikation mit der betroffenen Person ist deren Einwilligung zur Verarbeitung der Daten zu Werbezwecken einzuholen. Bei der Einwilligung sollte der betroffenen Person eine Auswahl unter verfügbaren Kontaktformen wie Post, E-Mail und Telefon angeboten werden (Einwilligung, siehe V.1.3). Verweigert die betroffene Person die Nutzung ihrer Daten zu Werbezwecken, dürfen diese Daten nicht mehr für diese Zwecke verwendet werden und müssen für diese Zwecke gesperrt werden. Weitere länderspezifische Einschränkungen bezüglich der Nutzung von Daten zu Werbezwecken sind zu beachten.

1.3 Einwilligung zur Datenverarbeitung

Daten können nach Einwilligung der betroffenen Person verarbeitet werden. Vor der Einwilligung muss die betroffene Person gemäß IV.3. dieser Datenschutzrichtlinie informiert werden. Die Einwilligungserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. In bestimmten Fällen, wie z. B. Telefongesprächen, kann die Einwilligung auch mündlich erfolgen. Die Erteilung der Einwilligung muss dokumentiert werden.

1.4 Datenverarbeitung aufgrund gesetzlicher Ermächtigung

Die Verarbeitung personenbezogener Daten ist auch zulässig, wenn dies durch nationales Recht verlangt, vorgeschrieben oder erlaubt wird. Art und Umfang der Datenverarbeitung müssen für die gesetzlich autorisierte Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen.

1.5 Datenverarbeitung aufgrund berechtigter Interessen

Personenbezogene Daten können auch verarbeitet werden, wenn dies für ein berechtigtes Interesse des Konzerns erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einziehung offener Forderungen) oder kommerzieller Natur (z. B. Vermeidung von Vertragsverletzungen). Personenbezogene Daten dürfen nicht zum Zweck eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall Anhaltspunkte vorliegen, dass die Interessen der betroffenen Person schutzwürdig sind und diese Vorrang haben. Vor der Verarbeitung der Daten ist zu prüfen, ob schutzwürdige Interessen bestehen.

1.6 Verarbeitung hochsensibler Daten

Hochsensible personenbezogene Daten dürfen nur verarbeitet werden, wenn dies gesetzlich vorgeschrieben ist oder die betroffene Person ihre ausdrückliche Einwilligung gegeben hat. Diese Daten können auch verarbeitet werden, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bezüglich der betroffenen Person zwingend erforderlich ist. Wenn geplant ist, hochsensible Daten zu verarbeiten, müssen der Vorsitzende oder CEO des betreffenden Unternehmens (die Datenschutzbeauftragten sind) im Voraus informiert werden.

1.7 Automatisierte Einzelentscheidungen

Die automatisierte Verarbeitung personenbezogener Daten, die zur Bewertung bestimmter Aspekte (z. B. Kreditwürdigkeit) verwendet wird, darf nicht die alleinige Grundlage für Entscheidungen sein, die negative rechtliche Folgen haben oder die betroffene Person erheblich beeinträchtigen könnten. Die betroffene Person muss über die Fakten und Ergebnisse automatisierter Einzelentscheidungen sowie über die Möglichkeit zur Stellungnahme informiert werden. Um Fehlentscheidungen zu vermeiden, muss eine Prüfung und Plausibilitätskontrolle durch einen Mitarbeiter erfolgen.

1.8 Nutzerdaten und Internet

Wenn personenbezogene Daten auf Websites oder in Apps erhoben, verarbeitet und genutzt werden, müssen die betroffenen Personen in einer Datenschutzerklärung darüber informiert werden und gegebenenfalls über Cookies. Die Datenschutzerklärung und etwaige Cookie-Informationen müssen so integriert sein, dass sie leicht erkennbar, direkt zugänglich und durchgängig für die betroffenen Personen verfügbar sind. Werden Nutzungsprofile (Tracking) erstellt, um die Nutzung von Websites und Apps auszuwerten, müssen die betroffenen Personen stets entsprechend in der Datenschutzerklärung informiert werden. Persönliches Tracking darf nur erfolgen, wenn es nach nationalem Recht erlaubt ist oder mit Einwilligung der betroffenen Person. Wird beim Tracking ein Pseudonym verwendet, sollte der betroffenen Person in der Datenschutzerklärung die Möglichkeit zum Widerspruch gegeben werden. Können Websites oder Apps auf personenbezogene Daten in einem Bereich zugreifen, der nur registrierten Nutzern vorbehalten ist, muss die Identifikation und Authentifizierung der betroffenen Person beim Zugriff ausreichenden Schutz bieten.

2. Mitarbeiterdaten

2.1 Datenverarbeitung für das Arbeitsverhältnis

In Arbeitsverhältnissen können personenbezogene Daten verarbeitet werden, wenn dies zur Erfüllung des Arbeitsvertrags erforderlich ist, einschließlich zur Aufnahme, Durchführung und Beendigung des Arbeitsverhältnisses. Bei der Aufnahme eines Arbeitsverhältnisses können die personenbezogenen Daten der Bewerber verarbeitet werden. Wird der Kandidat abgelehnt, müssen seine/ihre Daten innerhalb von 6 Monaten gelöscht werden, sofern der Bewerber nicht zugestimmt hat, dass sie für ein zukünftiges Auswahlverfahren gespeichert bleiben.

Im bestehenden Arbeitsverhältnis kann die Datenverarbeitung zur Erfüllung des Arbeitsvertrags erforderlich sein, es können jedoch auch andere rechtmäßige Grundlagen für die Verarbeitung vorliegen, wie nachfolgend dargestellt. Sollte es im Bewerbungsverfahren notwendig sein, Informationen über einen Bewerber von einem Dritten einzuholen, sind die Anforderungen der entsprechenden nationalen Gesetze zu beachten. Im Zweifelsfall muss die Einwilligung der betroffenen Person eingeholt werden. Es kann alternative Rechtsgrundlagen geben, um personenbezogene Daten zu verarbeiten, die im Zusammenhang mit dem Arbeitsverhältnis stehen. Dies kann gesetzliche Anforderungen, die Einwilligung des Mitarbeiters oder das berechtigte Interesse des Unternehmens umfassen.

2.2 Datenverarbeitung aufgrund gesetzlicher Verpflichtung

Die Verarbeitung personenbezogener Mitarbeiterdaten ist auch zulässig, wenn dies durch nationales Recht verlangt, vorgeschrieben oder erlaubt wird. Art und Umfang der Datenverarbeitung müssen für die gesetzlich autorisierte Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen.

2.3 Einwilligung zur Datenverarbeitung

Mitarbeiterdaten können mit Zustimmung der betroffenen Person verarbeitet werden. Einwilligungserklärungen müssen freiwillig abgegeben werden. Unfreiwillige Einwilligungen sind ungültig. Die Einwilligungserklärung muss schriftlich oder elektronisch zum Zwecke der Dokumentation eingeholt werden. In bestimmten Fällen kann die Einwilligung mündlich erteilt werden, die dann ordnungsgemäß dokumentiert werden muss.

Ein Mitarbeiter stimmt der Verarbeitung seiner personenbezogenen Daten zu, wenn er seine Zustimmung entweder durch eine Erklärung oder eine positive Handlung zur Verarbeitung eindeutig anzeigt. Wird die Einwilligung in einem Dokument erteilt, das sich mit anderen Angelegenheiten befasst, muss die Einwilligung von diesen anderen Angelegenheiten getrennt gehalten werden. Mitarbeiter müssen ihre Einwilligung jederzeit leicht widerrufen können.

Sofern keine andere Rechtsgrundlage für die Verarbeitung vorliegt, ist für die Verarbeitung besonderer Kategorien von Daten eine ausdrückliche Einwilligung erforderlich (siehe Abs. 2.5 unten). In der Regel stützt sich das Unternehmen auf eine andere Rechtsgrundlage und benötigt keine ausdrückliche Einwilligung zur Verarbeitung besonderer Kategorien von Daten.

2.4 Datenverarbeitung aufgrund berechtigter Interessen

Personenbezogene Daten können auch verarbeitet werden, wenn dies für die Zwecke eines berechtigten Interesses der Gruppe oder eines Dritten erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einreichung, Durchsetzung oder Abwehr von Rechtsansprüchen), finanzieller (z. B. Bewertung von Unternehmen) oder anderer Art (z. B. Es ist notwendig, die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person zu schützen oder Es ist notwendig für die Erfüllung einer im öffentlichen Interesse liegenden Aufgabe)

Personenbezogene Daten dürfen nicht auf Grundlage eines berechtigten Interesses verarbeitet werden, wenn in Einzelfällen diese Interessen durch die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überlagert werden. Die geltend gemachten berechtigten Interessen werden in den anwendbaren Datenschutzhinweisen dargelegt. Darüber hinaus müssen etwaige zusätzliche Anforderungen nach nationalem Recht (z. B. Mitbestimmungsrechte der Arbeitnehmervertretungen und Informationsrechte der betroffenen Personen) berücksichtigt werden.

2.5 Verarbeitung hochsensibler Daten

Hochsensible personenbezogene Daten dürfen nur unter bestimmten Bedingungen verarbeitet werden. Hochsensible Daten sind Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten über das Sexualleben und die sexuelle Orientierung der betroffenen Person. Nach nationalem Recht können weitere Datenkategorien als hochsensibel gelten oder der Inhalt der Datenkategorien kann unterschiedlich ausgelegt werden. Darüber hinaus dürfen Daten, die sich auf strafrechtliche Verurteilungen und Straftaten beziehen, oft nur unter besonderen Voraussetzungen nach nationalem Recht verarbeitet werden. Die Verarbeitung muss ausdrücklich erlaubt oder vorgeschrieben sein. Zusätzlich kann die Verarbeitung erlaubt sein, wenn sie für die zuständige Behörde zur Erfüllung ihrer Rechte und Pflichten im Bereich des Arbeitsrechts erforderlich ist. Der Mitarbeiter kann auch ausdrücklich der Verarbeitung zustimmen. Wenn geplant ist, hochsensible Daten zu verarbeiten, muss der Datenschutzbeauftragte im Voraus informiert werden.

Hochsensible Daten können unter folgenden Umständen verarbeitet werden:

  • Mit ausdrücklicher Einwilligung der betroffenen Person
  • Wenn die Verarbeitung zur Erfüllung oder Ausübung von Pflichten oder Rechten erforderlich ist, die dem Verantwortlichen oder der betroffenen Person gesetzlich im Zusammenhang mit Beschäftigung, Sozialversicherung oder sozialem Schutz auferlegt sind, und der Arbeitgeber über ein entsprechendes Richtliniendokument und zusätzliche Schutzmaßnahmen verfügt
  • Wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der Person oder einer anderen Person erforderlich ist und die Person nicht in der Lage ist, ihre Einwilligung zu geben
  • Wenn die Verarbeitung personenbezogener Daten erfolgt, die die Person öffentlich gemacht hat
  • Wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
  • Wenn die Verarbeitung aus Gründen erheblicher öffentlicher Interessen erforderlich ist, vorausgesetzt, der Arbeitgeber verfügt über ein entsprechendes Richtliniendokument und zusätzliche Schutzmaßnahmen. Dies kann die Verarbeitung von Daten zum Zweck der Förderung der Gleichbehandlung umfassen
  • Wenn die Verarbeitung für die Beurteilung der Arbeitsfähigkeit der Person oder im Rahmen eines Kontakts mit einem Gesundheitsfachmann erforderlich ist und Vertraulichkeitsschutzmaßnahmen eingehalten werden

2.6 Automatisierte Entscheidungen

Wenn personenbezogene Daten im Rahmen des Arbeitsverhältnisses automatisch verarbeitet werden und bestimmte persönliche Details ausgewertet werden (z. B. im Rahmen der Personalauswahl oder der Bewertung von Kompetenzprofilen), kann diese automatische Verarbeitung nicht die alleinige Grundlage für Entscheidungen sein, die negative Folgen oder erhebliche Auswirkungen für den betroffenen Mitarbeiter haben würden. Um Fehlentscheidungen zu vermeiden, muss der automatisierte Prozess sicherstellen, dass eine natürliche Person den Inhalt der Situation bewertet und diese Bewertung die Grundlage für die Entscheidung ist. Die betroffene Person muss auch über die Fakten und Ergebnisse der automatisierten Verarbeitung sowie die Möglichkeit zur Stellungnahme informiert werden. Das Unternehmen sieht keine automatisierte Entscheidungsfindung vor, wird die Mitarbeiter jedoch schriftlich informieren, falls sich dies ändert.

2.7 Telekommunikation und Internet

Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden vom Unternehmen in erster Linie für arbeitsbezogene Aufgaben bereitgestellt. Sie sind ein Werkzeug und eine Unternehmensressource. Sie können im Rahmen der geltenden gesetzlichen Bestimmungen und internen Unternehmensrichtlinien genutzt werden. Bei genehmigter Nutzung für private Zwecke sind die Gesetze zur Vertraulichkeit der Telekommunikation und die entsprechenden nationalen Telekommunikationsgesetze zu beachten, sofern anwendbar. Es erfolgt keine allgemeine Überwachung der Telefon- und E-Mail-Kommunikation oder der Nutzung von Intranet/Internet. Zum Schutz vor Angriffen auf die IT-Infrastruktur oder einzelne Nutzer können Schutzmaßnahmen für die Verbindungen zu den Netzwerken der Gruppengesellschaften implementiert werden, die technisch schädliche Inhalte blockieren oder die Angriffsmuster analysieren. Aus Sicherheitsgründen kann die Nutzung von Telefonanlagen, E-Mail-Adressen, Intranet/Internet und internen sozialen Netzwerken für einen begrenzten Zeitraum protokolliert werden. Auswertungen dieser Daten zu einer bestimmten Person dürfen nur bei Verdacht auf Verstöße gegen Gesetze oder Richtlinien der Gruppe erfolgen. Die entsprechenden nationalen Gesetze sind in gleicher Weise wie die Gruppenregelungen zu beachten.

  1. VI. Übermittlung personenbezogener Daten

Die Übermittlung personenbezogener Daten an Empfänger außerhalb oder innerhalb der Gruppe unterliegt den Genehmigungsvoraussetzungen für die Verarbeitung personenbezogener Daten gemäß Abschnitt V. Personenbezogene Daten werden nicht an Dritte weitergegeben, es sei denn, es wurden bestimmte Schutzmaßnahmen und vertragliche Vereinbarungen getroffen. Der Datenempfänger muss verpflichtet werden, die Daten nur für die definierten Zwecke und gemäß unseren Anweisungen zu verwenden.

Falls Daten an einen Empfänger außerhalb der Gruppe in ein Drittland, einschließlich eines Landes außerhalb der EU, übermittelt werden, stellen wir sicher, dass in diesem Land ein angemessenes Schutzniveau besteht, das den in dieser Datenschutzrichtlinie festgelegten Schutzstandards für personenbezogene Daten entspricht. Wenn Daten von einem Dritten an ein Unternehmen der Gruppe übermittelt werden, muss sichergestellt sein, dass die Daten nur für den vorgesehenen Zweck verwendet werden.

  1. VII. Vertragliche Datenverarbeitung

Datenverarbeitung im Auftrag bedeutet, dass ein Anbieter beauftragt wird, personenbezogene Daten zu verarbeiten, ohne

Übernahme der Verantwortung für den zugehörigen Geschäftsprozess. In diesen Fällen wird eine Vereinbarung getroffen

über Auftragsdatenverarbeitung mit externen Anbietern und unter Unternehmen abgeschlossen werden

innerhalb der Gruppe. Der Auftraggeber behält die volle Verantwortung für die korrekte Durchführung der Datenverarbeitung. Der Anbieter darf personenbezogene Daten nur gemäß den Anweisungen des Auftraggebers verarbeiten. Bei Auftragserteilung sind folgende Anforderungen einzuhalten; die auftraggebende Abteilung muss sicherstellen, dass diese erfüllt werden.

  1. Der Anbieter ist nach seiner Fähigkeit auszuwählen, die erforderlichen technischen und organisatorischen Schutzmaßnahmen abzudecken.
  2. Der Auftrag muss schriftlich erteilt werden. Die Anweisungen zur Datenverarbeitung und die Verantwortlichkeiten von Auftraggeber und Anbieter müssen dokumentiert werden.
  3. Die vertraglichen Datenschutzstandards des Datenschutzbeauftragten sind zu berücksichtigen.
  4. Bevor die Datenverarbeitung beginnt, muss der Auftraggeber sicher sein, dass der Anbieter die Pflichten einhält. Ein Anbieter kann seine Einhaltung der Datensicherheitsanforderungen dokumentieren in

insbesondere durch Vorlage geeigneter Zertifizierungen. Je nach Risiko der Datenverarbeitung müssen die Überprüfungen während der Vertragslaufzeit regelmäßig wiederholt werden.

  1. Nur Mitarbeiter und andere Personen einsetzen, die eine Vertraulichkeitspflicht bezüglich der Daten haben.
  2. Sicherheitsverpflichtungen einhalten, die denen entsprechen, die dem Arbeitgeber gemäß DSGVO auferlegt sind.
  3. Den Arbeitgeber über jede Verletzung im Zusammenhang mit den vom Arbeitgeber geteilten personenbezogenen Daten informieren.
  4. Einen Unterauftragsverarbeiter nur mit vorheriger Erlaubnis des Arbeitgebers einschalten.
    1. Im Falle grenzüberschreitender Auftragsdatenverarbeitung müssen die jeweiligen nationalen Anforderungen für die Offenlegung personenbezogener Daten im Ausland erfüllt sein. Insbesondere dürfen personenbezogene Daten aus dem Europäischen Wirtschaftsraum nur dann in einem Drittland verarbeitet werden, wenn der Anbieter nachweisen kann, dass er ein dem Datenschutzniveau dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau besitzt. Geeignete Instrumente können sein:
      1. Vereinbarung über EU-Standardvertragsklauseln für die Auftragsdatenverarbeitung in Drittländern mit dem Anbieter und etwaigen Unterauftragnehmern.
      2. Teilnahme des Anbieters an einem von der EU akkreditierten Zertifizierungssystem zur Bereitstellung eines ausreichenden Datenschutzniveaus.
      3. Anerkennung verbindlicher Unternehmensregeln des Anbieters zur Schaffung eines angemessenen Datenschutzniveaus durch die zuständigen Datenschutzaufsichtsbehörden.

  1. VIII. Rechte der betroffenen Person

Jede betroffene Person hat folgende Rechte;

  1. Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten über sie gespeichert wurden, wie die Daten erhoben wurden und zu welchem Zweck. Falls weitere Rechte bestehen,

die Dokumente des Arbeitgebers (z. B. Personalakte) für das Arbeitsverhältnis einsehen unter

die einschlägigen Arbeitsgesetze, diese bleiben unberührt.

  1. Werden personenbezogene Daten an Dritte übermittelt, muss über die Identität informiert werden

des Empfängers oder der Kategorien von Empfängern.

  1. Sind personenbezogene Daten unrichtig oder unvollständig, kann die betroffene Person deren Berichtigung verlangen.

oder ergänzt.

  1. Die betroffene Person kann der Verarbeitung ihrer Daten zu Werbe- oder Markt-/Meinungsforschungszwecken widersprechen. Die Daten müssen für diese Verwendungsarten gesperrt werden.
  2. Die betroffene Person kann die Löschung ihrer Daten verlangen, wenn die Verarbeitung dieser Daten keine Rechtsgrundlage hat oder wenn die Rechtsgrundlage nicht mehr gilt. Gleiches gilt, wenn der Zweck der Datenverarbeitung weggefallen ist oder aus anderen Gründen nicht mehr zutrifft. Bestehende Aufbewahrungsfristen und schutzwürdige widerstreitende Interessen sind zu beachten.
  3. Die betroffene Person hat grundsätzlich das Recht, der Verarbeitung ihrer Daten zu widersprechen, wenn wir uns für die Verarbeitung auf ein berechtigtes Interesse (oder das eines Dritten) stützen und es etwas an der besonderen Situation der betroffenen Person gibt, das sie veranlasst, aus diesem Grund der Verarbeitung zu widersprechen. Dies ist zu berücksichtigen, wenn der Schutz seiner/ihrer Interessen aufgrund einer besonderen persönlichen Situation gegenüber dem Interesse des Datenverantwortlichen Vorrang hat. Dies gilt nicht, wenn eine gesetzliche Vorschrift die Verarbeitung der Daten verlangt oder wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
  4. Die betroffene Person kann die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen. Dies ermöglicht es der betroffenen Person, die Aussetzung der Verarbeitung personenbezogener Daten zu verlangen, beispielsweise wenn sie möchte, dass der Arbeitgeber deren Richtigkeit oder den Grund der Verarbeitung feststellt.
  5. Die betroffene Person kann unter bestimmten Umständen die Übertragung ihrer personenbezogenen Daten an eine andere Partei verlangen.

  1. IX. Vertraulichkeit der Verarbeitung

Personenbezogene Daten unterliegen der Vertraulichkeit. Jegliche unbefugte Erhebung, Verarbeitung oder Nutzung solcher Daten durch Mitarbeiter ist untersagt. Jede Datenverarbeitung, die von einem Mitarbeiter durchgeführt wird, ohne dass er/sie dazu im Rahmen seiner/ihrer legitimen Aufgaben befugt ist, ist unbefugt. Das „Need-to-know“-Prinzip gilt. Mitarbeiter dürfen nur auf personenbezogene Informationen zugreifen, soweit dies für Art und Umfang der jeweiligen Aufgabe angemessen ist. Dies erfordert eine sorgfältige Aufteilung und Trennung sowie Umsetzung von Rollen und Verantwortlichkeiten. Mitarbeitern ist es verboten, personenbezogene Daten für private oder kommerzielle Zwecke zu verwenden, sie unbefugten Personen zugänglich zu machen oder auf andere Weise verfügbar zu machen. Vorgesetzte müssen ihre Mitarbeiter zu Beginn des Arbeitsverhältnisses über die Verpflichtung zum Schutz der Datengeheimnisse informieren. Diese Verpflichtung bleibt auch nach Beendigung des Arbeitsverhältnisses bestehen.

  1. X. Verarbeitungssicherheit

Personenbezogene Daten müssen vor unbefugtem Zugriff und unrechtmäßiger Verarbeitung oder Offenlegung sowie vor versehentlichem Verlust, Veränderung oder Zerstörung geschützt werden. Dies gilt unabhängig davon, ob die Daten elektronisch oder in Papierform verarbeitet werden. Vor der Einführung neuer Datenverarbeitungsmethoden, insbesondere neuer IT-Systeme, müssen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten definiert und umgesetzt werden. Diese Maßnahmen müssen dem Stand der Technik, den Risiken der Verarbeitung und dem Schutzbedarf der Daten (ermittelt durch das Verfahren zur Informationsklassifizierung) entsprechen. Insbesondere kann die verantwortliche Abteilung ihren Datenschutzbeauftragten konsultieren.

  1. XI. Datenschutzkontrolle

Die Einhaltung der Datenschutzrichtlinie und der geltenden Datenschutzgesetze Gesetze werden regelmäßig überprüft. Die Ergebnisse der Datenschutzkontrollen müssen dem Datenschutzbeauftragten gemeldet werden.

  1. XII. Datenschutzvorfälle

Alle Mitarbeiter müssen ihren Vorgesetzten oder den Datenschutzbeauftragten unverzüglich über Verstöße gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle) informieren. Der für die Funktion oder Einheit verantwortliche Leiter ist verpflichtet, den zuständigen Datenschutzbeauftragten unverzüglich über Datenschutzvorfälle zu informieren.

In Fällen von

» unbefugte Übermittlung personenbezogener Daten an Dritte,

» unbefugter Zugriff Dritter auf personenbezogene Daten oder

» Verlust personenbezogener Daten

die erforderlichen Unternehmensmeldungen (Information Security Incident Management) müssen erfolgen

unverzüglich, damit etwaige Meldepflichten nach nationalem Recht eingehalten werden können.

  1. XIII. Verantwortlichkeiten und Sanktionen

Die Exekutivorgane der Group-Unternehmen sind für die Datenverarbeitung in ihrem Verantwortungsbereich verantwortlich. Daher sind sie verpflichtet sicherzustellen, dass die gesetzlichen Anforderungen und die in der Datenschutzrichtlinie enthaltenen Vorgaben zum Datenschutz eingehalten werden (z. B. nationale Meldepflichten). Das Management ist dafür verantwortlich, dass organisatorische, personelle und technische Maßnahmen getroffen werden, damit jede Datenverarbeitung gemäß dem Datenschutz erfolgt. Die Einhaltung dieser Anforderungen liegt in der Verantwortung der jeweiligen Mitarbeiter. Wenn offizielle Stellen Datenschutzkontrollen durchführen, muss der Datenschutzbeauftragte unverzüglich informiert werden. Eine unsachgemäße Verarbeitung personenbezogener Daten oder andere Verstöße gegen Datenschutzgesetze können in vielen Ländern strafrechtlich verfolgt werden und Schadensersatzansprüche nach sich ziehen. Verstöße, für die einzelne Mitarbeiter verantwortlich sind, können arbeitsrechtliche Sanktionen nach sich ziehen.