Allgemeine Datenschutzrichtlinie – (GDPR) Policy

Einführung

Im Zuge unserer Geschäftstätigkeit erhält und verarbeitet Agility Informationen im Zusammenhang mit Kunden, Mitarbeitern, Lieferanten und anderen. Obwohl es sich bei Agility um ein Business-to-Business-Unternehmen handelt und der Umgang mit Personendaten nicht Teil unseres Kerngeschäftes ist, so erhalten und verarbeiten wir gelegentlich doch Informationen über Personen, z.B. im Zusammenhang mit Personal- Aktivitäten oder im Umgang mit Vertretern unserer Kunden und Lieferanten.

Der Erhalt und die Verwendung solcher Informationen unterliegen einer strengen Regulierung mit dem Ziel, die Privatsphäre von Personen zu schützen. Aus diesem Grund verabschiedet das Unternehmen diese Policy, um einen angemessenen Schutz von persönlichen Daten zu gewährleisten (wie untenstehend festgelegt).

Möglicherweise führen lokale Einrichtungen von Agility lokale Policies ein, die diese Policy ergänzen und die lokalen Gegebenheiten widerspiegeln und abweichende rechtliche Anforderungen berücksichtigen. Diese Policies sollen dann auf dieser hier vorliegenden Policy basieren und hierauf verweisen. Eine Ausfertigung solcher lokalen Policies müssen den Global Privacy Officer zur Verfügung gestellt werden.

Anwendungsbereich

Diese Policy ist anwendbar für die Verarbeitung sämtlicher persönlichen Daten in Übereinstimmung mit dem anwendbaren Gesetz, wie untenstehend festgelegt.

Sämtliche Einrichtungen von Agility innerhalb von EU und der Schweiz (der „Geltungsbereich“) und deren Führungspersonal, Mitarbeiter, Zeitpersonal und lokale Berater von Agility und deren Standorte („Company“), die persönliche Daten verarbeiten, müssen diese Policy immer beachten, es sei denn, sie haben aufgrund einer spezifischen Verarbeitung persönlicher Daten ermittelt, dass diese Verarbeitung nicht dem anwendbaren Gesetzt unterliegt.

Diese Policy kann auch für Gesellschaften von Agility außerhalb des Geltungsbereichs anwendbar sein (die „Datenimporteure“), auch dann, wenn diese Einrichtungen dem GDPR nicht gesetzlich unterliegen. Dies kommt immer dann zum Tragen, wenn Daten-Importeure persönliche Daten für Einrichtungen von Agility oder Dritte innerhalb des Geltungsbereichs verarbeiten (die „Daten-Exporteure). In diesen Fällen liegt es in der Verantwortung des Daten-Exporteurs (vertraglich oder auf andere Art und Weise) sicherzustellen, dass Daten- Importeure die persönlichen Daten in Übereinstimmung mit den GDPR-Standards schützen. Daher müssen die Daten-Importeure bei solchen Gelegenheiten sicherstellen, dass sie diese Policy beachten.

Wenn anwendbare Gesetze einen höheren Level in Bezug auf den Datenschutz verlangen als in dieser Policy festgelegt, muss das Unternehmen diesen höheren Level berücksichtigen.

Begriffe

Die Schlüsselbegriffe dieser Policy werden wie folgt erläutert:

Anwendbares Recht

Sämtliche relevanten Datenschutzrechte, Vorschriften und Regularien im Geltungsbereich, die für die Verarbeitung persönlicher Daten anwendbar sind einschließlich, aber nicht darauf beschränkt, die EU Datenschutz-Grundverordnung (EU General Data Protection Regulation 2016/679).

Datenpanne

Nicht autorisierter Erhalt, Zugriff, Manipulation, Verwendung oder Weitergabe von persönlichen Daten.

Persönliche Daten

Jegliche Information in jeglicher Form oder Medium im direkten oder indirekten Zusammenhang mit einer identifizierten oder identifizierbaren natürlichen Person. Hierzu gehören beispielsweise: Kontaktinformationen, Personal-Unterlagen, eindeutige Kennungen, wie z.B. IP-Adressen und Geräte-Kennungen.

Verarbeitung

Bezieht sich auf jegliche Operation oder zusammenhängenden Operationen, die im Zusammenhang mit persönlichen Daten oder Sammlungen von persönlichen Daten automatisiert oder auf andere Art und Weise durchgeführt werden. Dazu gehört die Sammlung, Speicherung, Organisation, Strukturierung, Aufbewahrung, Anpassung oder Veränderung, Rückgewinnung, Erhebung, Verwendung, Veröffentlichung durch Übertragung, Verbreitung oder die Weitergabe auf andere Art und Weise, Abgleichung oder Kombination, Beschränkung, Löschen oder Vernichtung von persönlichen Daten.

Sensible persönliche Daten

Jegliche persönlichen Daten, die sich auf die rassische oder ethnische Herkunft, religiöse oder philosophische Glaubensrichtung, Gewerkschaftsmitgliedschaften, politische Einstellung, Sexualleben, Vorstrafen oder Strafregister, Sozial-Versicherungsnummer, ungesetzmäßiges oder abzulehnendes Verhalten beziehen. Dazu gehören auch biometrische Daten und Ortsdaten.

Service Provider

Alle Personen oder Unternehmen, die persönliche Daten im Namen des Unternehmens verarbeiten. Beispielsweise Personen oder Unternehmen, die administrative Unterstützungen, Datenverdichtung, Management- und administrative Leistungen oder CRM- Anwendungen anbieten.

Policy

1. Zweckbindung und Begründung

Das Unternehmen darf nur persönliche Daten für geschäftliche Zwecke und aus spezifizierten, eindeutigen, relevanten und gesetzlich zulässigen Gründen bearbeiten.

Das Unternehmen darf nur persönliche Daten in dem Umfang bearbeiten, für die eine gesetzlich zulässige Basis vorliegt. Vom Unternehmen dürfen nur sensible persönliche Daten verarbeitet werden, wenn dies gesetzlich gefordert ist sowie für die Eröffnung, Durchführung und Abwehr rechtlicher Ansprüche, aufgrund einer expliziten Zustimmung der betroffenen Personen oder auf der Basis einer Ausnahmevorschrift durch das anwendbare Recht.

In den Fällen, in denen das Unternehmen gesetzlich oder aufgrund interner Festlegungen gefordert ist, Zustimmung von Personen vor der Verarbeitung bestimmter persönlicher Daten einzuholen, hat das Unternehmen das Einverständnis einzuholen und zu beachten. Das Unternehmen muss Aufzeichnungen über erhaltene Zustimmungen aufrechterhalten und wirksame Verfahren für Personen bereithalten, um Zustimmungen zurückziehen zu können.

Das Unternehmen darf die persönlichen Daten nicht für Zwecke verwenden, für die diese nicht beabsichtigt waren, es sei denn, dies ist gesetzlich oder per Verordnung gefordert oder es wurde hierzu eine Zustimmung erteilt.

2. Verhältnismäßigkeit, Integrität und Speicherung

Das Unternehmen muss sich bei der Verarbeitung persönlicher Daten darauf beschränken, was im Zusammenhang mit dem beabsichtigten Zweck notwendig und angemessen ist und wird in angemessener Art und Weise sicherstellen, dass die persönlichen Daten akkurat, vollständig, aktuell und für den beabsichtigten Zweck erhoben wurden.

Während der Entwicklungs- und Gestaltungsphase seiner Verarbeitungsprozesse soll das Unternehmen die Datenschutzgrundsätze des „Privacy by design“ = Datenschutz durch Technikgestaltung (technische Voreinstellungen, die den Datenschutz gewährleisten) und „Privacy by Default“ = Datenschutz durch datenschutzfreundliche Voreinstellungen“ sicherstellen.

Unter Berücksichtigung der Politik zur Datenvorratsspeicherung des Unternehmens, darf das Unternehmen persönliche Daten nur so lange beibehalten, wie dies für den beabsichtigten geschäftlichen Zweck, für den die Daten erhoben wurden, rechtmäßig ist und inwieweit dies durch anwendbares Recht oder Richtlinien gefordert ist. Wenn persönliche Daten zur Identifizierung der betroffenen Person nicht mehr länger benötigt werden, müssen diese gelöscht oder anonymisiert werden.

3. Transparenz

Das Unternehmen muss die Personen in einer klaren und deutlichen Art und Weise über den Zweck der Verarbeitung, die Kategorien der gewonnenen persönlichen Daten, die Identität des Unternehmens, das die persönlichen Daten verarbeitet, informieren und darüber, wie man mit den Unternehmen im Fall von Rückfragen oder Beschwerden Kontakt aufnehmen kann sowie über die zur Verfügung stehenden Mittel und Wege, die die Verwendung und

Veröffentlichung der persönlichen Daten limitieren. Personen müssen sämtliche zusätzlichen Informationen erhalten, die durch das lokale anwendbare Recht gefordert sind.

Das anwendbare Recht kann möglicherweise Ausnahmeregelungen in Bezug auf die Transparenzanforderungen in Ausnahmefällen ausweisen, wenn z.B. die Zurverfügungstellung solcher Informationen eine unverhältnismäßige Belastung mit sich bringen würde. Die Anwendbarkeit solcher Ausnahmeregelungen sollte im Vorwege mit der Rechtsabteilung geklärt werden.

4. Grundrechte von Personen

Das Unternehmen soll Anforderungen von Personen Beachtung schenken in Bezug auf den Zugriff, Berichtigung, Einschränkung, Einspruch, Entfernung, Übertragbarkeit sowie die Vermeidung automatischer Entscheidungsfindung und soll in den Fällen, wo dies gesetzlich oder aufgrund der Firmen-Policy gefordert wird, diesen Anforderungen entsprechen. Diese Anforderungen müssen kostenlos sein es sei denn, das anwendbare Recht fordert dies.

5. Veröffentlichung an Dritte

Das Unternehmen darf persönliche Daten nur an Dritte weitergeben aufgrund berechtigter geschäftlicher Gründe, aufgrund gesetzlicher Anforderungen (einschließlich der Weitergabe an Vollzugsbehörden in Verbindung mit deren Pflichten), um die Interessen des Unternehmens zu schützen oder mit Einwilligung der betroffenen Person.

Das Unternehmen muss sicherstellen, dass Dienstleister mindestens den gleichen Level in Bezug auf den Datenschutz und die Datensicherheit im Zusammenhang mit den persönlichen Daten sicherstellen, wie dies das Unternehmen in Übereinstimmung mit dieser Policy realisiert oder wie dies in Übereinstimmung mit dem anwendbaren Recht gefordert ist.

6. Sicherheit

Das Unternehmen muss angemessene administrative, technische und physikalische Maßnahmen bereithalten, um persönliche Daten angemessen vor dem nicht autorisierten Zugriff, Veröffentlichung, Vernichtung und Veränderung zu schützen. Sollte der Verdacht einer aktuellen Datenpanne vorliegen, so muss das Personal in der Verantwortung des Datenschutzes für den relevanten geographischen Bereich oder der Business Unit die Angelegenheit untersuchen und, wenn nötig, korrigierend eingreifen. Zusätzlich muss er den Vorfall der Rechtsabteilung zur Bewertung weiterer Schritte melden, die gemäß anwendbarem Rechts gefordert sein können.

Das Unternehmen muss Unterlagen über Datenpannen aufrechterhalten, die kompetenten Aufsichtsbehörden auf Verlangen bereitgestellt werden.

7. Internationale Weitergabe

Das Unternehmen darf nur persönliche Daten an Geschäftseinheiten einschließlich angeschlossener Unternehmen, die sich außerhalb von EU oder der Schweiz befinden, weitergeben, wenn sichergestellt ist, dass die persönlichen Daten angemessen geschützt werden. Sichere Ausnahmen in Übereinstimmung mit anwendbarem Recht. Dieser Schutz kann durch die Übermittlung von Verträgen oder anderer Mittel, die durch die Rechtsabteilung geprüft sind, erreicht werden.

8. Datenschutz – Folgenabschätzung

Wenn durch anwendbares Recht gefordert, muss das Unternehmen Folgeabschätzungen für Verarbeitungsprozesse, die signifikante Risiken für die betroffenen Personen mit sich bringen, durchführen. Der Zweck solcher Folgenabschätzung liegt darin, die Auswirkungen zu bewerten, die solche Verarbeitungsprozesse in Bezug auf den Schutz der persönlichen Daten haben.

9. Dokumentation von Verarbeitungsprozessen

Das Unternehmen muss zentral Aufzeichnungen über die Verarbeitungsprozesse aufrechterhalten. Die Dokumente müssen kompetenten Aufsichtsbehörden auf Nachfrage zur Verfügung gestellt werden.

Reaktionsteam bei Datenpannen

Der Global Privacy Officer wird im Fall von Datenpannen ein Reaktionsteam einberufen und leiten, das sich aus dem IT Security Director, Vertretungen der Rechtsabteilung, Qualitätsmanagement oder andere Mitarbeiter, die unter diesen Umständen angemessen wären, einberufen

Konsequenzen bei Missachtung

Direktoren, Mitarbeiter, Zeitpersonal und Berater, die diese Policy nicht beachten, unterliegen angemessenen disziplinarischen Maßnahmen und Sanktionen bis hin – und einschließlich – zur Beendigung des Anstellungsverhältnisses oder des Vertrages.

Hamburg, 25.05.2018

[contact-form-7 id="3938" title="01 - Main inquiry form"]
[contact-form-7 id="3924" title="06 - Customer Registration"]
[contact-form-7 id="4172" title="03b - Media centre" html_id="media-center-cf7"]
Zurück zum Anfang