Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) – Richtlinie für Datenverarbeiter

EINLEITUNG ZU DIESER RICHTLINIE

Die vorliegende Richtlinie zu den verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR) für Datenverarbeiter und ihre Anhänge (zusammen die „Richtlinie“) legen dar, welchen Ansatz die Avature Group (wie nachstehend definiert) hinsichtlich des Schutzes und der Verwaltung personenbezogener Daten von Mitgliedern der Avature Group verfolgt, die an diese Richtlinie gebunden sind, wenn Informationen im Auftrag eines externen Datenverantwortlichen (wie nachstehend definiert) verarbeitet werden.

Die Avature-Unternehmensgruppe („Avature Group“) ist eine Unternehmensorganisation, die in mehreren Ländern tätig und bestrebt ist, neue Technologie, neue Konzepte und neue Lösungen zu entwickeln, um den Herausforderungen von Kunden Rechnung zu tragen. Die Avature Group bietet insbesondere modernste Softwarelösungen für die Talentgewinnung und das Talentmanagement an, die an die spezifischen Anforderungen der Kunden angepasst sind, ihren besonderen Transformationszielen entgegenkommen und einen Wettbewerbsvorteil bieten, wenn sie im Unternehmen der Kunden bereitgestellt werden.

Neben den anderen im Rahmen dieser Richtlinie bereitgestellten Definitionen gelten für die nachstehenden Begriffe folgende Begriffsbestimmungen:

„Geltendes lokales Recht“ bezeichnet jedwedes nationales/lokales Datenschutzgesetz (einschließlich, je nach Fall, europäische Datenschutzvorschriften), das für das entsprechende Gruppenmitglied anwendbar ist.

„Kunde“ bezeichnet einen externen Datenverantwortlichen, für den ein Gruppenmitglied eine Dienstleistung erbringt.

„Personenbezogene Kundendaten“ bezeichnen jedwede personenbezogenen Daten eines Kunden über Mitarbeiter (und sonstige Beschäftigte), die Gruppenmitglieder im Auftrag eines Kunden (Datenverantwortlichen) im Rahmen der Dienstleistungen verarbeiten, die ihm bereitgestellt werden. Die personenbezogenen Kundendaten umfassen keine personenbezogenen Daten für die Erbringung der Dienstleistung (d. h. Abrechnungsdaten), die von den Gruppenmitgliedern in ihrer Eigenschaft als Datenverantwortliche verarbeitet werden. Diese sind folglich von dieser Richtlinie ausgeschlossen.

„Datenverantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

„Datenverarbeitungsvereinbarung“ bezeichnet einen Vertrag oder eine andere Art von Rechtsakt, der Bedingungen zur Datenverarbeitung enthält.

„Datenverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

„Europa“ bezeichnet die Länder im europäischen Wirtschaftsraum („EWR“).

„Europäisches Datenschutzgesetz“ bezeichnet die Datenschutz-Grundverordnung (DSGVO) und jedes Datenschutzgesetz eines EU-Mitgliedstaats, darunter lokale Rechtsvorschriften zur Umsetzung der Anforderungen der DSGVO, einschließlich abgeleiteter Rechtsvorschriften, in der jeweils gültigen Fassung.

„DSGVO“ bezeichnet die Verordnung 2016/679 der Europäischen Union (EU) (die Datenschutz-Grundverordnung).

„Gruppenmitglied“ bezeichnet die Mitglieder der Avature Group, die diese Richtlinie einhalten.

„Haftendes BCR-Mitglied“ bezeichnet Avature Spain, S.L.U.

„Personenbezogene Daten“ bezeichnen sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einem Identifizierungsmerkmal wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder personenbezogenen Datensätzen wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, welche(r) von einem Gruppenmitglied ausgeführt wird.

„Profiling“ bezeichnet jede Art der automatisierten Verarbeitung, die darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

„Besondere Kategorien von personenbezogenen Daten“, „sensible Daten“ bezeichnen personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

„Aufsichtsbehörde“ oder „zuständige Aufsichtsbehörde“ bezeichnet eine in einer europäischen Gerichtsbarkeit eingerichtete unabhängige staatliche Stelle, die für die Überwachung der Anwendung der europäischen Datenschutzvorschriften verantwortlich ist, um die Grundrechte und Grundfreiheiten natürlicher Personen in Verbindung mit der Datenverarbeitung zu schützen.

„Drittpartei“ bezeichnet eine Einrichtung, die kein Gruppenmitglied ist.

Diese Richtlinie gilt für alle personenbezogenen Kundendaten, die von Gruppenmitgliedern in ihrer Eigenschaft als Datenverarbeiter bzw. Unterauftragsverarbeiter im Rahmen ihrer gewöhnlichen Geschäftstätigkeit bei der Erbringung von Dienstleistungen für einen Kunden verarbeitet werden.

Gruppenmitglieder und deren Mitarbeiter müssen diese Erklärung bei der Verarbeitung von personenbezogenen Kundendaten in ihrer Eigenschaft als Dienstleister (Datenverarbeiter oder Unterauftragsverarbeiter) für einen Kunden vollumfänglich einhalten und beachten.

Spezifische Datenschutzanforderungen oder Bestimmungen über die Vertraulichkeit, die für einen Geschäftsbereich oder eine Funktion innerhalb der Avature Group gelten können oder von geltendem Recht gefordert sind, werden durch diese Richtlinie ergänzt und weder ersetzt noch abgelöst.

Diese Richtlinie wird zusammen mit einer Liste der aktuellen Gruppenmitglieder und deren Kontaktdaten im Intranet des Unternehmens und auf der öffentlich zugänglichen Website hier veröffentlicht.

TEIL I: HINTERGRUND UND MASSNAHMEN

Was ist das Datenschutzrecht?

Das europäische Datenschutzrecht gewährt Personen das Recht, die Art und Weise zu kontrollieren, wie ihre personenbezogenen Daten verarbeitet werden. Im Rahmen der europäischen Datenschutzvorschriften gilt eine Organisation, die personenbezogene Daten für ihre eigenen Zwecke verarbeitet, als ein Verantwortlicher dieser Informationen und trägt somit die Hauptverantwortung dafür, die rechtlichen Anforderungen zu erfüllen. In Fällen, in denen wir als Arbeitgeber fungieren, sind wir beispielsweise der Verantwortliche für die personenbezogenen Daten, die wir über unsere Mitarbeiter verarbeiten.

Wenn eine Organisation wiederum Informationen im Auftrag einer anderen Stelle (eines Datenverantwortlichen) verarbeitet (zum Beispiel zur Erbringung einer Dienstleistung), gilt Erstere als Verarbeiter der Daten und: (i) der Datenverantwortliche trägt die Hauptverantwortung und Sorge dafür, dass die Vorschriften durch ihn und seine(n) Datenverarbeiter eingehalten werden; und (ii) der Datenverarbeiter ist unter anderem dafür verantwortlich, Verpflichtungen, wie sie in den Artikeln 28 und 30 DSGVO enthalten sind, einzuhalten.

Inwiefern wirkt sich das europäische Datenschutzrecht auf die Gruppenmitglieder auf internationaler Ebene aus?

Das europäische Datenschutzrecht lässt es nicht zu, dass personenbezogene Daten in Länder, Gebiete oder an internationale Organisationen außerhalb Europas übertragen werden, die kein angemessenes Schutzniveau der Datenschutzrechte von Einzelpersonen gewährleisten. Da einige der Länder, in denen die Gruppenmitglieder tätig sind, nach Ansicht der Europäischen Kommission kein angemessenes Schutzniveau bieten, müssen geeignete Schutzmechanismen eingerichtet werden, die den Anforderungen des europäischen Datenschutzrechts Rechnung tragen.

Was unternehmen die Gruppenmitglieder diesbezüglich?

Die Gruppenmitglieder sind verpflichtet, angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass sie personenbezogene Daten auf internationaler Ebene sicher bzw. rechtmäßig verarbeiten. Der Zweck dieser Richtlinie besteht folglich darin, einen Rahmen zur Erfüllung der im europäischen Datenschutzrecht verankerten Standards zu bieten und infolgedessen ein angemessenes Schutzniveau für alle personenbezogenen Kundendaten zu bieten, die an Gruppenmitglieder in ihrer Eigenschaft als Datenverarbeiter bzw. Unterauftragsverarbeiter übertragen oder von diesen verarbeitet werden.

Wie oben bereits dargelegt, müssen Datenverarbeiter im Rahmen der europäischen Datenschutzvorschriften eine Datenverarbeitungsvereinbarung mit Datenverantwortlichen abschließen, unter Einhaltung der Verpflichtungen, wie sie in Artikel 28 DSGVO enthalten sind. Eine solche Vereinbarung regelt unter anderem internationale Übermittlungen von Daten, die an den Datenverarbeiter erfolgen bzw. vom Datenverarbeiter ausgeführt werden. Sofern sich die Kunden der Gruppenmitglieder auf diese Richtlinie zur Bereitstellung geeigneter Schutzmechanismen stützen, wird in die Vereinbarung mit den jeweiligen Kunden ein Link zu dieser Richtlinie eingefügt. Ferner ist mindestens Folgendes mitaufzunehmen:

vertragliche Bestimmungen, die bewirken, dass diese Richtlinie von den entsprechenden Kunden als vollstreckbar erklärt wird
eine Verpflichtung der entsprechenden Kunden zur Inkenntnissetzung der betroffenen Personen über (i) internationale Übermittlungen, die besondere Kategorien von personenbezogenen Daten umfassen; (ii) die Existenz von Datenverarbeitern außerhalb Europas und (iii) das Vorliegen dieser Richtlinie (indem ihnen auf Anfrage eine Kopie dieser Richtlinie und der einschlägigen vorhandenen Vereinbarung bereitgestellt wird)
eine klare Beschreibung der (i) umgesetzten Vertraulichkeits- und Sicherheitsmaßnahmen und (ii) Anweisungen und Datenverarbeitung
nähere Angaben darüber, (i) ob die Daten innerhalb oder außerhalb der Avature Group unterverarbeitet werden können, und (i) ob es sich bei der vorherigen Zustimmung, die vom Kunden erteilt wurde, um eine allgemeine Zustimmung handelt, oder ob für jede neue Unterauftragsverarbeitung eine spezifische Genehmigung erteilt werden muss

Wenn ein Kunde nachweist, dass ihm ein Schaden erwachsen ist, und es wahrscheinlich ist, dass der Schaden aufgrund einer Verletzung dieser Richtlinie entstanden ist (die im Rahmen der oben dargelegten Datenverarbeitungsvereinbarung verbindlich gemacht wurde), ist das haftbare BCR-Mitglied in diesen Fällen verpflichtet aufzuzeigen, dass das Gruppenmitglied außerhalb Europas (bzw. ein externer Unterauftragsverarbeiter mit Sitz außerhalb Europas) für die Verletzung nicht verantwortlich ist bzw. dass eine solche Verletzung nicht stattgefunden hat. Darüber hinaus kann ein Kunde, der eine Datenverarbeitungsvereinbarung mit einem Gruppenmitglied abgeschlossen hat, die diese Richtlinie enthält, diese Richtlinie in europäischen Gerichten gegen (i) ein beliebiges Gruppenmitglied, das personenbezogene Kundendaten im Auftrag dieses Kunden verarbeitet, unter Geltendmachung einer Verletzung der Richtlinie durch dieses Gruppenunternehmen; und außerdem gegen (ii) das haftbare BCR-Mitglied gerichtlich durchsetzen, falls die Richtlinie durch ein Gruppenmitglied außerhalb Europas (oder einen externen Unterauftragsverarbeiter mit Sitz außerhalb Europas) verletzt wurde, sofern dies gesetzlich zulässig ist sowie vorbehaltlich der Bestimmungen der Datenverarbeitungsvereinbarung.

Diese Richtlinie ist rechtskräftig und gilt für alle Gruppenmitglieder und deren Mitarbeiter, sofern diese Gruppenmitglieder personenbezogene Kundendaten sowohl manuell als auch auf automatischem Wege verarbeiten. Die Richtlinie erfordert, dass Gruppenmitglieder, die personenbezogene Kundendaten als Datenverarbeiter bzw. Unterauftragsverarbeiter verarbeiten, die in Teil II dieser Richtlinie dargelegten Regeln sowie die Richtlinien und Verfahren einhalten, die im Anhang in Teil III dieser Richtlinie dargelegt sind.

Welche personenbezogenen Daten werden von dieser Richtlinie abgedeckt?

Die personenbezogenen Daten, die im Rahmen dieser Richtlinie verarbeitet werden, umfassen personenbezogene Kundendaten, insbesondere personenbezogene Daten hinsichtlich aktueller, ehemaliger und potenzieller Mitarbeiter oder anderer Beschäftigter (wie Praktikanten, entsendete Mitarbeiter oder unabhängige Auftragnehmer) von Kunden, die von Letzterem durch die vereinbarte Konfiguration/Vereinbarung übermittelt wurden. Dazu zählen in erster Linie folgende Daten: (a) Angaben zur Person und Kontaktdaten (z. B. Name, Alter, Geburtsdatum, Kontaktdaten, von Behörden ausgestellte Identifikationsnummern (wie Sozialversicherungsnummern, Führerscheinnummern oder nationale Identifikationsnummern); (b) Angaben zu Talenten, zum Recruiting und zu Bewerbungen, zur Ausbildung und zu Schulungen (z. B. Ausbildung, Berufserfahrung, Lebenslauf, Anmerkungen von Benutzern im Hinblick auf die Eigenschaften und Qualifikationen der Beschäftigten); und (c) finanzielle Informationen (z. B. Kontonummern, die von den Beschäftigten des Kunden ausschließlich zu dem Zweck bereitgestellt wurden, Gehaltszahlungen zu erhalten, sowie Angaben über Familienangehörige und Notfallkontakte).

Besondere Kategorien von personenbezogenen Daten können ebenfalls von den Gruppenmitgliedern verarbeitet werden, sofern dies für die im nachstehenden Absatz beschriebenen Zwecke notwendig und gemäß geltendem lokalen Recht erforderlich oder zulässig ist. Dies gilt insbesondere für gesundheitsbezogene und medizinische Informationen (darunter Krankenversicherungsnummern) oder sexuelle, rassische, politische, ethnische, ideologische oder religiöse Anschauungen von Einzelpersonen (nur zur Einhaltung der Gesetze zur Chancengleichheit bei der Beschäftigung oder wie durch die Gesetze vorgeschrieben und zulässig, die für den Datenverantwortlichen in den Rechtssystemen gelten, in denen der Datenverantwortliche die Daten erhebt).

Zu welchen Zwecken werden personenbezogene Daten im Rahmen dieser Richtlinie übermittelt?

Die Übermittlung von personenbezogenen Kundendaten im Rahmen dieser Richtlinie erfolgt zwischen den weltweiten Gruppenmitgliedern (siehe den Standort all dieser Gruppenmitglieder hier), unabhängig von der Herkunft der Daten, für die Zwecke der Erbringung der erforderlichen Dienstleistungen an Kunden (wie vertraglich vereinbart); dies beinhaltet unter anderem den Zugriff auf personenbezogene Kundendaten: (i) zum Speichern dieser Daten im Auftrag der Kunden; (ii) zur Bereitstellung technischer Supportleistungen für Kunden; (iii) zur Vornahme von Konfigurations- und Neukonfigurationsdiensten in den entsprechenden Instanzen, wie von den Kunden angewiesen, (iv) zur Durchführung der Verarbeitungsvorgänge, um die verschiedenen Funktionen der Dienste bereitzustellen, die den Kunden angeboten werden; und (v) zur Ermöglichung von Sicherheit und der Verfügbarkeit der Dienste.

Weitere Informationen

Die Avature Group verfügt über ein Team an Datenschutzexperten (mit einem Datenschutzbeauftragten der Gruppe [wie nachstehend definiert], der das Team leitet), das dafür verantwortlich ist, dafür Sorge zu tragen, dass alle Gruppenmitglieder die geltenden Datenschutzgesetze strikt einhalten („Datenschutzteam“). Sollten Sie Fragen zu den Bestimmungen dieser Richtlinie, Ihren Rechten im Rahmen dieser Richtlinie oder sonstigen Datenschutzanliegen haben, können Sie sich unter nachstehender Adresse an das Datenschutzteam wenden. Das Datenschutzteam wird sich der Angelegenheit entweder selbst annehmen, sie an die zuständige Person oder die zuständige Abteilung innerhalb der Avature Group weiterleiten oder die Angelegenheit ggf. an den Datenschutzbeauftragten („Datenschutzbeauftragten“) der Avature Group weitergeben.

Zu Händen: Datenschutzteam

Online-Formular: https://www.avature.net/de/datenschutzbeauftragten-kontaktieren/

Das Datenschutzteam ist dafür verantwortlich, zu gewährleisten, dass Änderungen dieser Richtlinie gemäß Anhang 5 aufgezeigt werden.

Sollten Sie mit der Art und Weise, wie ein Gruppenmitglied Ihre personenbezogenen Daten verarbeitet hat, unzufrieden sein, verfügt die Avature Group über ein gesondertes Beschwerdeverfahren, das in Teil III, Anhang 3 dargelegt ist.

TEIL II: PFLICHTEN DES DATENVERARBEITERS

Teil II dieser Richtlinie ist in drei Abschnitte unterteilt:

Abschnitt A befasst sich mit den Grundsätzen des europäischen Datenschutzrechts, die Gruppenmitglieder bei der Verarbeitung und Übermittlung personenbezogener Kundendaten als Datenverarbeiter bzw. Unterauftragsverarbeiter im Auftrag eines externen Datenverantwortlichen beachten müssen.
Abschnitt B beschäftigt sich mit den praktischen Verpflichtungen der Gruppenmitglieder gegenüber den zuständigen Aufsichtsbehörden bei der Verarbeitung von personenbezogenen Kundendaten als Datenverarbeiter im Auftrag von Kunden.
Abschnitt C beschreibt die Rechte als Drittbegünstigte, die Gruppenmitglieder betroffenen Personen in ihrer Eigenschaft als Datenverarbeiter im Rahmen dieser Richtlinie gewährt haben.

ABSCHNITT A: GRUNDSÄTZE

REGEL 1 – TRANSPARENZ, VERARBEITUNG NACH TREU UND GLAUBEN, RECHTMÄSSIGKEIT

Regel 1A – Die Gruppenmitglieder stellen sicher, dass die Einhaltung dieser Richtlinie nicht im Widerspruch zu Datenschutzgesetzen steht, soweit diese bestehen.

In Fällen, in denen diese Richtlinie gilt und:

geltendes lokales Recht ein höheres Schutzniveau erfordert als durch diese Richtlinie bereitgestellt, hat das höhere Schutzniveau Vorrang vor dieser Richtlinie
das geltende lokale Recht Gruppenmitgliedern die Einhaltung ihrer Pflichten im Rahmen dieser Richtlinie unmöglich macht oder sich sehr nachteilig auf ihre Fähigkeiten auswirkt, ihren Pflichten im Rahmen dieser Richtlinie nachzukommen, befolgen die Gruppenmitglieder das in Regel 12 dargelegte Verfahren.

Regel 1B – Die Gruppenmitglieder helfen und unterstützen die Kunden bei der Einhaltung ihrer Pflichten im Rahmen der europäischen Datenschutzvorschriften binnen angemessener Frist und im angemessenen Rahmen.

Die Gruppenmitglieder unterstützen Kunden auf Anfrage, unter Berücksichtigung der Art der Verarbeitung und der ihnen zur Verfügung stehenden Daten binnen angemessener Frist und im angemessenen Rahmen und wie es im Rahmen von Datenverarbeitungsvereinbarungen mit ihren Kunden bzw. nach geltendem lokalen Recht erforderlich sein kann, bei der Erfüllung ihrer Pflichten als Datenverantwortliche im Rahmen der europäischen Datenschutzvorschriften. Beispielsweise weisen die Gruppenmitglieder ihre Kunden auf transparente Weise auf Aktivitäten von Unterauftragsverarbeitern hin, damit die Kunden Einzelpersonen korrekt darüber informieren können.

REGEL 2 – GEWÄHRLEISTUNG, DASS PERSONENBEZOGENE DATEN NUR FÜR EINEN BEKANNTEN ZWECK VERARBEITET WERDEN

Regel 2 – Die Gruppenmitglieder verarbeiten personenbezogene Kundendaten ausschließlich im Auftrag und nach Maßgabe der Anweisungen ihrer Kunden.

Die Gruppenmitglieder und deren Mitarbeiter halten sich an diese Richtlinie und verarbeiten personenbezogene Kundendaten ausschließlich gemäß den Bedingungen der Datenverarbeitungsvereinbarung, die sie mit ihren Kunden im Hinblick auf eine solche Verarbeitung abgeschlossen haben, und welche die erforderlichen Bedingungen nach europäischen Datenschutzrecht beinhaltet; und zwar insoweit, als dass sie die Beauftragung eines Datenverarbeiters betrifft, auch in Bezug auf die Übermittlung von personenbezogenen Kundendaten außerhalb Europas, sofern die Gruppenmitglieder nicht durch europäisches Recht, dem sie unterliegen, hierzu verpflichtet sind. In diesen Fällen informieren die Gruppenmitglieder den Kunden vor der Verarbeitung über diese gesetzliche Verpflichtung, es sei denn, dass eine solche Inkenntnissetzung wegen eines wichtigen öffentlichen Interesses gesetzlich untersagt ist.

Sollten die Gruppenmitglieder aus irgendeinem Grund nicht in der Lage sein, diese Regel oder ihre Pflichten im Rahmen dieser Richtlinie in Bezug auf eine beliebige Datenverarbeitungsvereinbarung mit einem Kunden einzuhalten, setzen sie den Kunden hierüber unverzüglich in Kenntnis. Die Kunden der Gruppenmitglieder sind dann berechtigt, die Übermittlung der personenbezogenen Kundendaten an diese auszusetzen bzw. je nach den Bedingungen ihres Vertrags mit den Gruppenmitgliedern den Vertrag zu beenden.

Bei der Beendigung der Datenverarbeitungsdienste für einen Kunden, handeln die Gruppenmitglieder und deren Unterauftragsverarbeiter entsprechend den Anweisungen des Kunden und löschen die personenbezogenen Kundendaten oder Kopien davon oder geben diese zurück und bestätigen dem Kunden, das sie dies getan haben, sofern sie nicht zur Speicherung der personenbezogenen Kundendaten rechtlich verpflichtet sind. In diesem Fall setzen die Gruppenmitglieder den Kunden hierüber in Kenntnis und tragen dafür Sorge, dass diese Informationen vertraulich bleiben. Ferner verarbeiten sie die personenbezogenen Kundendaten nur gemäß den Anweisungen des Kunden oder wie vom geltenden lokalen Recht vorgeschrieben.

Die Gruppenmitglieder setzen ihre Kunden unverzüglich darüber in Kenntnis, falls sie der Ansicht sind, dass die europäischen Datenschutzvorschriften durch eine Anweisung verletzt werden.

REGEL 3 – GEWÄHRLEISTUNG VON DATENQUALITÄT

Regel 3 – Die Gruppenmitglieder helfen und unterstützen Kunden dabei, die sachliche Richtigkeit personenbezogener Kundendaten zu gewährleisten und die Daten auf dem neuesten Stand zu halten, soweit dies nach vernünftigem Ermessen möglich ist.

Die Gruppenmitglieder halten sich an alle Anweisungen ihrer Kunden, um diesen dabei zu helfen, ihre Verpflichtung zu erfüllen, dass personenbezogene Kundendaten sachlich richtig und auf dem neuesten Stand sind.

Wenn die Gruppenmitglieder auf Anweisungen ihrer Kunden dazu verpflichtet werden, nehmen sie eine Löschung, Anonymisierung, Aktualisierung oder Korrektur der personenbezogenen Kundendaten vor. Können personenbezogene Kundendaten aus technischen Gründen nicht gelöscht werden, setzen die Gruppenmitglieder ihre Kunden darüber in Kenntnis und ergreifen Maßnahmen, um diese personenbezogenen Kundendaten nicht zu verwenden.

Die Gruppenmitglieder benachrichtigen andere Gruppenmitglieder oder externe Unterauftragsverarbeiter, denen personenbezogene Kundendaten offengelegt wurden, damit sie ihre Datensätze entsprechend aktualisieren können.

REGEL 4 – WAHRUNG DER RECHTE VON EINZELPERSONEN

Regel 4 – Die Gruppenmitglieder helfen Kunden dabei, die Rechte von Einzelpersonen zu erfüllen.

Die Gruppenmitglieder handeln entsprechend den Anweisungen ihrer Kunden und ergreifen angemessene technische und organisatorische Schritte, um es ihren Kunden zu ermöglichen, ihrer Pflicht zur Wahrung der Rechte von Einzelpersonen nachzukommen. Diese beinhalten die folgenden Rechte:

das Auskunftsrecht, wonach die betroffene Person das Recht hat, eine Bestätigung darüber zu erhalten, ob personenbezogene Daten über ihre Person verarbeitet werden oder nicht; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und Informationen über diese Verarbeitung
Recht auf Berichtigung, wonach die betroffene Person das Recht auf Berichtigung der personenbezogenen Daten hat, die unrichtig oder unvollständig sein könnten
Recht auf Löschung oder „Recht auf Vergessenwerden“, wonach die betroffene Person das Recht hat, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft: (i) die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig; (ii) die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung; (iii) die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor; (iv) die personenbezogenen Daten wurden unrechtmäßig verarbeitet; (v) die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich; oder (vi) die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft an ein Kind erhoben
Recht auf Einschränkung der Verarbeitung, wonach die betroffene Person das Recht hat, die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: (i) die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die erforderlich ist, um die Richtigkeit der personenbezogenen Daten zu überprüfen; (ii) die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten; (iii) der Datenverantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; oder (iv) die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Datenverantwortlichen gegenüber denen der betroffenen Person überwiegen
Mitteilungspflicht gegenüber allen Empfängern, denen die personenbezogenen Daten offengelegt wurden, im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Die betroffene Person kann zudem verlangen, über diese Empfänger unterrichtet zu werden
Recht auf Datenübertragbarkeit, wonach die betroffene Person das Recht hat, die sie betreffenden personenbezogenen Daten, die sie einem Datenverantwortlichen bereitgestellt hat, in einem strukturierten Format zu erhalten, und sie berechtigt ist, diese Daten einem anderen Datenverantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung beruht oder für die Erfüllung eines Vertrags erforderlich ist und die Verarbeitung mithilfe automatisierter Verfahren erfolgt
Widerspruchsrecht, wonach die betroffene Person das Recht hat, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, die sich auf ein öffentliches oder berechtigtes Interesse stützt, einschließlich Profiling. Der Datenverantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht, wie in Regel 7 dargelegt
Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu sein, die eine rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder diese erheblich beeinträchtigt (wo zutreffend, wie in Regel 8 dargelegt)
Recht, die erteilte Einwilligung für eine spezifische Verarbeitung jederzeit zu widerrufen. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein

Insbesondere gilt, dass wenn ein Gruppenmitglied ein Ersuchen einer Einzelperson auf Ausübung ihrer Rechte erhält, das Gruppenmitglied dieses Ersuchen unverzüglich an den jeweiligen Kunden übermittelt und dieses Ersuchen nicht beantwortet, es sei denn, es wurde dazu berechtigt. Die Gruppenmitglieder befolgen die Schritte, die im Verfahren für die Ausübung der Rechte der betroffenen Personen dargelegt sind (siehe Anhang 1).

REGEL 5 – SICHERHEIT UND VERTRAULICHKEIT

Regel 5A – Die Gruppenmitglieder implementieren angemessene technische und organisatorische Sicherheitsvorkehrungen, wie vom geltenden lokalen Recht vorgeschrieben und in einem Vertrag mit einem Kunden festgelegt.

Erbringen die Gruppenmitglieder ihren Kunden eine Dienstleistung, die die Verarbeitung personenbezogener Kundendaten beinhaltet, sieht der Vertrag zwischen den Gruppenmitgliedern und ihren Kunden klare Verpflichtungen bezüglich der Sicherheit dieser Informationen vor, die mindestens die Anforderungen des europäischen Datenschutzrechts umfassen, um sicherzustellen, dass die Gruppenmitglieder über angemessene technische und organisatorische Sicherheitsvorkehrungen verfügen, damit ein angemessenes Schutzniveau der personenbezogenen Kundendaten gegenüber dem Risiko gewährleistet ist, das mit der Verarbeitung verbundenen ist.

Die Gruppenmitglieder halten sich an die Sicherheitsvorkehrungen und organisatorischen Maßnahmen, die in den Verträgen mit ihren Kunden dargelegt sind, und helfen Kunden bei der Implementierung angemessener technischer und organisatorischer Sicherheitsvorkehrungen, um die Einhaltung dieser Richtlinie in der Praxis zu erleichtern (wie zum Beispiel Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen), sofern dies unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Risiken für Einzelpersonen, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung angemessen ist.

Regel 5B – Die Gruppenmitglieder melden Kunden Verletzungen des Schutzes personenbezogener Daten.

Im Falle einer Verletzung des Schutzes, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Kundendaten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (eine „Verletzung des Schutzes personenbezogener Daten“), hat die Person, denen eine Verletzung des Schutzes personenbezogener Daten bei dem jeweiligen Gruppenmitglied bekannt wird, unverzüglich und in jedem Fall binnen vierundzwanzig (24) Stunden, nachdem ihr die Verletzung bekannt wurde, den Datenschutzbeauftragten und das Datenschutzteam von Avature zu unterrichten und dabei die Schritte zu befolgen, die in der Richtlinie zu Datenschutzverletzungen von Avature dargelegt sind.

Sobald der Datenschutzbeauftragte von Avature die Information bezüglich der Verletzung des Schutzes personenbezogener Daten erhalten hat, wird er zusammen mit dem Rechtsteam prüfen, ob dieser Vorfall als Verletzung des Schutzes personenbezogener Daten oder vielmehr als Sicherheitsvorfall betrachtet werden kann, der keine personenbezogenen Daten betroffen hat. Der Datenschutzbeauftragte von Avature analysiert gemeinsam mit dem Rechtsteam die Details der Verletzung des Schutzes personenbezogener Daten und setzt den Kunden unverzüglich und entsprechend den Bestimmungen des Vertrags mit diesem Kunden (in jedem Fall spätestens binnen 72 Stunden nach Kenntniserlangung) darüber in Kenntnis.

Werden Unterauftragsverarbeiter gemäß der nachstehenden Regel 5C eingesetzt, setzen die Unterauftragsverarbeiter den Kunden und das datenverarbeitende Gruppenmitglied unverzüglich (in jedem Fall spätestens binnen 72 Stunden nach Kenntniserlangung) über die Verletzung des Schutzes personenbezogener Daten in Kenntnis.

Verletzungen des Schutzes personenbezogener Daten, die von Gruppenmitgliedern und externen Unterauftragsverarbeitern erlitten wurden, einschließlich aller damit in Verbindung stehenden Fakten, die Auswirkungen dieser Vorfälle und die ergriffenen Abhilfemaßnahmen, sind in einem Bericht über die Verletzung des Schutzes personenbezogener Daten zu dokumentieren, der dem Kunden auf Anfrage zur Verfügung gestellt wird.

Regel 5C – Die Gruppenmitglieder halten die Anforderungen von Kunden hinsichtlich der Ernennung eines internen und externen Unterauftragsverarbeiters ein.

Die Gruppenmitglieder informieren ihre Kunden, wenn die im ihrem Auftrag vorgenommene Verarbeitung durch einen internen und externen Unterauftragsverarbeiter erfolgt, und halten die besonderen Anforderungen von Kunden im Hinblick auf die Ernennung von Unterauftragsverarbeitern ein, wie sie in den Bestimmungen ihres Vertrags mit diesen festgelegt sind, und holen insbesondere die vorherige spezifische oder allgemeine schriftliche Zustimmung der Kunden ein, nachdem diese über die Ernennung eines Unterauftragsverarbeiters in Kenntnis gesetzt wurden.

Haben die Kunden eine allgemeine schriftliche Zustimmung erteilt, stellen die Gruppenmitglieder sicher, dass diesen Kunden jederzeit aktuelle Informationen hinsichtlich der Ernennung von Unterauftragsverarbeitern zur Verfügung stehen, damit diese Kunden die Möglichkeit haben, Widerspruch einzulegen, bevor die Daten an einen neuen Unterauftragsverarbeiter übermittelt werden. Wenn ein Kunde bei der Prüfung dieser Informationen Widerspruch gegen die Ernennung eines Unterauftragsverarbeiters zur Verarbeitung personenbezogener Kundendaten in seinem Auftrag einlegt, ist dieser Kunde berechtigt, entsprechende Maßnahmen zu ergreifen, die mit den Bestimmungen seines Vertrags mit den Gruppenmitgliedern im Einklang stehen und in Regel 2 von Teil II dieser Richtlinie dargelegt sind (d. h. die Kunden der Gruppenmitglieder sind in diesem Fall berechtigt, die Übermittlung der personenbezogenen Kundendaten an die Gruppenmitglieder auszusetzen bzw. je nach den Bestimmungen ihres Vertrags mit den Gruppenmitgliedern den Vertrag zu beenden).

Regel 5D – Die Gruppenmitglieder stellen sicher, dass die internen und externen Unterauftragsverarbeiter sich zur Einhaltung der Bestimmungen verpflichten, die im Einklang stehen mit (i) den Bestimmungen ihrer Verträge mit ihren Kunden und (ii) dieser Richtlinie, und insbesondere, dass die Unterauftragsverarbeiter angemessene und gleichwertige Sicherheitsvorkehrungen treffen.

Die Gruppenmitglieder dürfen ausschließlich interne und externe Unterauftragsverarbeiter beauftragen, die hinreichende Garantien im Hinblick auf die Pflichten bereitstellen, die von den Gruppenmitgliedern in dieser Richtlinie eingegangen wurden. Insbesondere müssen diese Unterauftragsverarbeiter in der Lage sein, hinreichende technische und organisatorische Maßnahmen bereitzustellen, welche ihre Verarbeitung der personenbezogenen Kundendaten regeln, auf die sie gemäß den Bestimmungen der Verträge zwischen den Gruppenmitgliedern und ihren Kunden Zugriff haben.

Zur Einhaltung dieser Regel ergreifen Gruppenmitglieder, sofern ein Unterauftragsverarbeiter Zugriff auf personenbezogene Kundendaten hat, die unter diese Richtlinie fallen, Maßnahmen, um sicherzustellen, dass dieser Unterauftragsverarbeiter über angemessene technische und organisatorische Sicherheitsvorkehrungen zum Schutz der personenbezogenen Kundendaten verfügt und erlegen dem Unterauftragsverarbeiter strenge schriftliche Vertragspflichten auf, die sich mit dem europäischen Datenschutzrecht im Einklang befinden. Diese Anforderungen beinhalten:

Verpflichtungen seitens des Unterauftragsverarbeiters im Hinblick auf seine Unterstützung bei der Einhaltung des geltenden Rechts, der Gewährleistung von Datenqualität, Transparenz und des Zweckbindungsgrundsatzes, der Rechte von Personen und der Sicherheit dieser Informationen, die mit den in dieser Richtlinie enthaltenen Verpflichtungen (insbesondere Regel 1, 2, 3, 4, 5A und 5B oben) und den Bestimmungen der Verträge, die Gruppenmitglieder mit ihren Kunden bezüglich der betreffenden Verarbeitung unterhalten, im Einklang stehen
die Verpflichtung, dass der Unterauftragsverarbeiter bei der Verarbeitung personenbezogener Kundendaten nur auf Weisung der Gruppenmitglieder handelt
angemessene Schutzmechanismen (im Sinne des europäischen Datenschutzrechts) im Hinblick auf die Übermittlung von personenbezogenen Kundendaten an einen externen Unterauftragsverarbeiter mit Sitz in einem Land außerhalb Europas, das nach Ansicht der Aufsichtsbehörden kein angemessenes Schutzniveau der Datenschutzrechte von Einzelpersonen gewährleistet
Verpflichtungen, die erforderlich sein können, um zu gewährleisten, dass die Verpflichtungen seitens des Unterauftragsverarbeiters die Verpflichtungen der Gruppenmitglieder im Rahmen dieser Richtlinie widerspiegeln, die für Unterauftragsverarbeiter gelten können

ABSCHNITT B: KONKRETE VERPFLICHTUNGEN

REGEL 6 – COMPLIANCE UND RECHENSCHAFTSPFLICHT

Regel 6A – Die Gruppenmitglieder verfügen über geeignetes Personal und angemessene Unterstützung, um die Einhaltung der Datenschutzbestimmungen dieser Richtlinie im gesamten Geschäft zu gewährleisten und zu überwachen und stellen dem Kunden alle notwendigen Informationen zur Verfügung, um die Einhaltung der Bestimmungen nachzuweisen.

Die Avature Group hat ein Team von Datenschutzexperten ernannt (mit einem Datenschutzbeauftragten der Gruppe als Teamleiter), das dafür verantwortlich ist, sicherzustellen und zu überwachen, dass alle Gruppenmitglieder diese Richtlinie auf tagtäglicher Basis strikt einhalten. Darüber hinaus verfügt die Avature Group über ein Risikoteam und ein Sicherheitsteam, die dem Datenschutzteam bei technischen Aspekten im Zusammenhang mit der Einhaltung der Datenschutzbestimmungen behilflich sind.

Der Datenschutzbeauftragte erhält zur Erfüllung seiner Aufgaben Unterstützung durch die oberste Führungsebene (an die er unmittelbar berichtet und darüber unterrichtet, falls bei der Wahrnehmung seiner Pflichten Fragen oder Probleme entstehen, wie nachstehend näher dargelegt) und hat folgende Verantwortlichkeiten:

Leitung des Datenschutzteams, einschließlich Koordinierung des Risikoteams und Sicherheitsteams bei technischen Aspekten im Zusammenhang mit der Einhaltung der Datenschutzbestimmungen
Implementierung/Unterrichtung über und Überwachung von Verfahren, Richtlinien und Problemen in Verbindung mit dem Datenschutz innerhalb der Avature Group, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung von Mitarbeitern, die an Verarbeitungsprozessen beteiligt sind, und der damit verbundenen Prüfungen
Eskalation von Problemen an das Senior-Management zur angemessenen Berücksichtigung entsprechend der annehmbaren gängigen Praxis
Kooperation und Koordination mit zuständigen Aufsichtsbehörden
Ansprechpartner für zuständige Aufsichtsbehörden und betroffene Personen bei Problemen oder Fragen in Verbindung mit der Verarbeitung personenbezogener Daten

Das Team der Datenschutzexperten unterstützt den Datenschutzbeauftragten bei der Einhaltung der oben genannten Verpflichtungen und insbesondere bei der Kontrolle und Steuerung der Einhaltung der Datenschutzbestimmungen auf tagtäglicher Basis (einschließlich der Bearbeitung von lokalen Beschwerden von betroffenen Personen, der Überwachung der Einhaltung von Unternehmensrichtlinien auf lokaler Ebene und der Meldung schwerwiegender Datenschutzprobleme an den Datenschutzbeauftragten).

Die Gruppenmitglieder stellen sicher, dass die Kontaktdaten des Datenschutzbeauftragten (oder des Datenschutzteams) stets gemeinsam mit der Richtlinie veröffentlicht werden.

Falls es aus Gründen der Komplexität und des Umfangs der spezifischen Aufgabe erforderlich sein sollte, wird das Datenschutzteam durch externe Berater unterstützt.

Regel 6B – Die Gruppenmitglieder, die personenbezogene Daten verarbeiten, führen schriftliche Aufzeichnungen (darunter in elektronischer Form) über ihre Verarbeitungstätigkeiten und stellen diese Aufzeichnungen den zuständigen Aufsichtsbehörden auf Anfrage zur Verfügung.

Die Aufzeichnungen über die Datenverarbeitungsvorgänge, die von Gruppenmitgliedern in ihrer Eigenschaft als Datenverarbeiter für einen Kunden geführt werden, der als Datenverantwortlicher agiert, beinhalten:

den Namen und die Kontaktdaten des Gruppenmitglieds und ggf. des Vertreters des Gruppenmitglieds und des Datenschutzbeauftragten
den Namen und die Kontaktdetails jedes Kunden, in dessen Auftrag die Gruppenmitglieder personenbezogene Kundendaten verarbeiten, und ggf. des Vertreters des Kunden und des Datenschutzbeauftragten
die Verarbeitungskategorien, die im Auftrag eines jeden Kunden ausgeführt werden
Details über das Drittland bzw. die Drittländer, an das bzw. an die personenbezogene Daten übermittelt werden, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, und die Dokumentation geeigneter Schutzmechanismen
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die zum Schutz der personenbezogenen Daten ergriffen werden

Die Aufzeichnungen über die Datenverarbeitungsvorgänge sind von den Gruppenmitgliedern schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann, und werden den zuständigen Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.

REGEL 7 – SCHULUNGEN

Regel 7 – Die Gruppenmitglieder stellen Mitarbeitern mit ständigem oder regelmäßigem Zugang zu personenbezogenen Kundendaten, die an der Verarbeitung von personenbezogenen Kundendaten oder an der Entwicklung von Tools zur Verarbeitung dieser personenbezogenen Daten beteiligt sind, angemessene Schulungen bereit.

Die Gruppenmitglieder stellen allen Mitarbeitern, insbesondere solchen mit ständigem oder regelmäßigem Zugang zu personenbezogenen Kundendaten, bzw. Mitarbeitern, die an der Verarbeitung dieser personenbezogenen Daten oder an der Entwicklung von Tools zur Verarbeitung dieser personenbezogenen Daten beteiligt sind, angemessene und aktuelle Schulungen bereit. Diese Schulungen finden mindestens einmal jährlich statt und decken unter anderem Verfahren zur Bearbeitung von Zugriffsanfragen auf personenbezogene Daten von Behörden ab.

REGEL 8 – ÜBERPRÜFUNGEN

Regel 8 – Die Gruppenmitglieder halten das in Anhang 2 dargelegte Prüfprotokoll ein.

Die Gruppenmitglieder halten das Prüfprotokoll ein, indem sie regelmäßige interne Überprüfungen durchführen und bei Bedarf externe Überprüfungen entsprechend dem formalen Prüfungsprozess, wie im Prüfprotokoll festgelegt, ermöglichen. Das Ergebnis dieser Überprüfungen wird gemäß Anhang 2 kommuniziert.

REGEL 9 – UMGANG MIT BESCHWERDEN

Regel 9 – Die Gruppenmitglieder halten das in Anhang 3 dargelegte Verfahren zur Bearbeitung von Beschwerden ein.

Die Gruppenmitglieder halten das in Anhang 3 dargelegte Verfahren zur Bearbeitung von Beschwerden ein, um Beschwerden von betroffenen Personen nachzugehen und die Verarbeitung von personenbezogenen Daten durch Gruppenmitglieder zu schützen. Die Gruppenmitglieder ermöglichen zudem die Ausübung von Rechten als Drittbegünstigte, wie in Abschnitt C dieser Richtlinie dargelegt.

REGEL 10 – ZUSAMMENARBEIT MIT AUFSICHTSBEHÖRDEN

Regel 10 – Die Gruppenmitglieder halten das in Anhang 4 dargelegte Verfahren zur Zusammenarbeit ein.

Die Gruppenmitglieder halten das Verfahren zur Zusammenarbeit ein, das in Anhang 4 dargelegt ist. Ferner arbeiten sie in Verbindung mit dieser Richtlinie mit den Aufsichtsbehörden zusammen und erklären sich damit einverstanden, von den Aufsichtsbehörden geprüft und kontrolliert zu werden, sowie ihre Empfehlungen zu beachten und ihren Entscheidungen zu Sachverhalten in Verbindung mit dieser Richtlinie Folge zu leisten.

REGEL 11 – AKTUALISIERUNG DER REGELN

Regel 11 – Die Gruppenmitglieder halten das in Anhang 5 dargelegte Verfahren zur Aktualisierung ein.

Die Gruppenmitglieder halten das in Anhang 5 dargelegte Verfahren zur Aktualisierung ein und informieren die zuständigen Aufsichtsbehörden, die betroffenen Kunden und die Gruppenmitglieder unverzüglich über sämtliche Aktualisierungen dieser Richtlinie und der Liste an Gruppenmitgliedern.

REGEL 12 – MASSNAHMEN FÜR DEN FALL, DASS SICH NATIONALE RECHTSVORSCHRIFTEN AUF DIE EINHALTUNG DIESER RICHTLINIE AUSWIRKEN

Regel 12A – Die Gruppenmitglieder verpflichten sich dazu, diese Richtlinie nur dann als Instrument für Datenübermittlungen einzusetzen, wenn sie ordnungsgemäß geprüft haben, dass die Rechtsvorschriften und Verfahrensweisen des Bestimmungsdrittlands, die für die Verarbeitung personenbezogener Daten durch die Datenimporteure gelten, darunter jedwede Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die Behörden zum Zugriff auf diese Daten berechtigen, sie nicht daran hindern, ihre Pflichten im Rahmen dieser Richtlinie zu erfüllen.

Die Gruppenmitglieder nutzen diese Richtlinie nur dann als Instrument zum Schutz internationaler Datenübermittlungen, wenn sie geprüft haben, dass die Rechtsvorschriften und Verfahrensweisen der Bestimmungsdrittländer, die für die Verarbeitung personenbezogener Daten durch die Datenimporteure gelten, darunter jedwede Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die Behörden zum Zugriff auf diese Daten berechtigen, sie nicht daran hindern, ihre Pflichten im Rahmen dieser Richtlinie zu erfüllen. Dem liegt die Vorstellung zugrunde, dass Rechtsvorschriften und Verfahrensweisen, die den Wesensgehalt der Grundrechte und Grundfreiheiten wahren und beim Schutz eines der in Artikel 23(1) DSGVO aufgeführten Ziele nicht über das erforderliche Maß hinausgehen, das in einer demokratischen Gesellschaft notwendig und angemessen ist, nicht im Widerspruch zu dieser Richtlinie stehen.

Bei der Bewertung der Rechtsvorschriften und Verfahrensweisen der Drittländer, die die Einhaltung der in dieser Richtlinie enthaltenen Verpflichtungen betreffen können, haben die Gruppenmitglieder insbesondere folgende Elemente angemessen zu berücksichtigen:

die besonderen Umstände der Datenübermittlungen oder Reihe von Datenübermittlungen und beabsichtigter zukünftiger Datenübermittlungen innerhalb desselben Drittlandes oder an ein anderes Drittland, darunter:
die Zwecke, für die die Daten übermittelt und verarbeitet werden
die Arten von Einrichtungen, die an der Verarbeitung beteiligt sind (der Datenimporteur und jeder weitere Empfänger zukünftiger Datenübermittlungen)
die Branche, in die die Datenübermittlung oder Reihe von Datenübermittlungen erfolgt
die Kategorien und Formate der übermittelten personenbezogenen Daten
der Ort der Verarbeitung einschließlich Speicherung
die verwendeten Übermittlungskanäle
die relevanten Rechtsvorschriften und Verfahrensweisen der Bestimmungsdrittländer unter Berücksichtigung aller Umstände der Datenübermittlung, einschließlich der Umstände, die die Offenlegung von Daten an Behörden erfordern oder die diese Behörden zum Zugriff berechtigen, darunter Umstände, die einen Datenzugriff während des Transits zwischen den Ländern der Datenexporteure und den Ländern der Datenimporteure vorsehen, sowie die geltenden Beschränkungen und Schutzmechanismen
jedwede relevante vertragliche, technische oder organisatorische Schutzmechanismen, die eingerichtet wurden, um die Schutzmechanismen dieser Richtlinie zu ergänzen, darunter ergriffene Maßnahmen während der Übermittlung und der Verarbeitung der personenbezogenen Daten in den Bestimmungsländern

Sollten neben den Schutzmechanismen im Rahmen dieser Richtlinie weitere Schutzmechanismen eingerichtet werden, sind das haftbare BCR-Mitglied und der Datenschutzbeauftragte darüber in Kenntnis zu setzen und in die Beurteilung einzubeziehen.

Die Gruppenmitglieder haben eine solche Beurteilung sowie die ausgewählten und implementierten zusätzlichen Maßnahmen angemessen zu dokumentieren und der zuständigen Aufsichtsbehörde diese Dokumentation auf Anfrage zur Verfügung zu stellen.

Gruppenmitglieder, die als Datenimporteure agieren, benachrichtigen unverzüglich die jeweiligen Datenexporteure und den Kunden (sofern dieser kein Datenexporteur ist), wenn sie bei Nutzung dieser Richtlinie als Instrument zur Datenübermittlung und für die Dauer der Mitgliedschaft Gründe zu der Annahme haben, dass sie Rechtsvorschriften oder Verfahrensweisen unterliegen, die sie an der Erfüllung ihrer Pflichten im Rahmen dieser Richtlinie, an der Einhaltung der von dem jeweiligen Kunden erhaltenen Anweisungen bzw. der Erfüllung ihrer Pflichten aus dem vorhandenen Vertrag mit dem jeweiligen Kunden hindern würden; dies gilt auch infolge einer Gesetzesänderung oder einer Maßnahme in dem einschlägigen Drittland (wie eine Offenlegungsanforderung). Diese Information ist dem haftbaren BCR-Mitglied und dem Datenschutzbeauftragten ebenfalls vorzulegen.

Nach der Prüfung dieser Mitteilung verpflichtet sich der entsprechende Datenexporteur (sofern er ein Gruppenmitglied ist) zusammen mit dem haftbaren BCR-Mitglied und dem Datenschutzbeauftragten zur unverzüglichen Identifizierung zusätzlicher Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur bzw. vom Datenimporteur zu ergreifen sind (sofern nach Absprache mit dem Kunden angemessen und relevant), um es ihnen zu ermöglichen, ihren Verpflichtungen im Rahmen dieser Richtlinie nachzukommen. Dasselbe gilt, wenn ein Datenexporteur Gründe zu der Annahme hat, dass ein Datenimporteur seinen Verpflichtungen im Rahmen dieser Richtlinie nicht mehr nachkommen kann.

Kann die Richtlinie – selbst zusammen mit zusätzlichen Maßnahmen – nach Einschätzung des jeweiligen Datenexporteurs, die dieser zusammen mit dem haftbaren BCR-Mitglied und dem Datenschutzbeauftragten getroffen hat, bei einer Datenübermittlung oder einer Reihe von Datenübermittlungen, bzw. wie vom Kunden (falls zutreffend) oder der zuständigen Aufsichtsbehörde angewiesen, nicht eingehalten werden, verpflichtet sich der Datenexporteur die gefährdete Datenübermittlung oder Reihe von Datenübermittlungen sowie alle Datenübermittlungen, bei denen die gleiche Beurteilung und Begründung zu einem ähnlichen Ergebnis führen würde, auszusetzen, bis die Einhaltung der Richtlinie erneut sichergestellt werden kann oder die Datenübermittlung abgeschlossen ist.

Nach einer solchen Aussetzung muss der Datenexporteur die Datenübermittlung oder Reihe von Datenübermittlungen beenden, wenn diese Richtlinie nicht eingehalten werden kann und die Einhaltung dieser Richtlinie innerhalb einer einmonatigen Aussetzung nicht hergestellt wurde. In diesem Fall sollten personenbezogene Daten, die vor der Aussetzung übermittelt wurden, und sämtliche Kopien davon, auf Wahl des Datenexporteurs an diesen zurückgegeben oder vollständig vernichtet werden.

Das haftbare BCR-Mitglied und der Datenschutzbeauftragte setzen alle anderen Gruppenmitglieder über die durchgeführte Beurteilung und deren Ergebnisse in Kenntnis, damit die identifizierten zusätzlichen Maßnahmen ergriffen werden, wenn gleichartige Datenübermittlungen von einem anderen Gruppenmitglied vorgenommen werden oder, falls keine effektiven zusätzlichen Maßnahmen eingerichtet werden konnten, die gefährdeten Datenübermittlungen ausgesetzt oder beendet werden.

Datenexporteure beobachten fortlaufend und gegebenenfalls in Zusammenarbeit mit den Datenimporteuren die Entwicklungen in den Drittländern, in die Datenexporteure personenbezogene Daten übermittelt haben, soweit sich diese auf die erste Bewertung des Schutzniveaus und die entsprechend getroffenen Entscheidungen bei diesen Datenübermittlungen auswirken könnten.

Regel 12B – Gruppenmitglieder, die als Datenimporteure agieren, tragen dafür Sorge, dass sie in Fällen, in denen sie ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhalten, die gemäß der Richtlinie übermittelt wurden, oder sie davon Kenntnis erlangen, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß der Richtlinie übermittelt wurden, unverzüglich den jeweiligen Datenexporteur, den Kunden (sofern er nicht der Datenexporteur ist), die einschlägigen Aufsichtsbehörden und, sofern möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) informieren.

Gruppenmitglieder, die als Datenimporteure agieren, informieren unverzüglich den jeweiligen Datenexporteur, den Kunden (sofern er nicht der Datenexporteur ist), die einschlägigen Aufsichtsbehörden (d. h. darunter, soweit erforderlich, die Aufsichtsbehörde des Datenexporteurs und, soweit nicht identisch, die Aufsichtsbehörde des Kunden) und, sofern möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs), falls sie:

von einer Behörde ein nach den Rechtsvorschriften des Bestimmungslandes oder anderen Drittlandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhalten, die gemäß der Richtlinie übermittelt wurden; diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten
Kenntnis davon erlangen, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß der Richtlinie nach den Rechtsvorschriften des Bestimmungslandes übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten

Ist es untersagt, den entsprechenden Datenexporteur, den Kunden (sofern er nicht der Datenexporteur ist), die einschlägigen Aufsichtsbehörden bzw. die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) zu benachrichtigen, bemühen sich die Gruppenmitglieder, die als Datenimporteure agieren, nach besten Kräften um eine Aufhebung des Verbots, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Die Gruppenmitglieder verpflichten sich zudem dazu, ihre angemessenen Anstrengungen zu dokumentieren, um diese auf Anfrage nachweisen zu können. Falls der Datenimporteur in den obigen Fällen trotz angemessener Anstrengungen nicht in der Lage ist, die zuständigen Aufsichtsbehörden zu informieren, stellt er ihnen jährlich allgemeine Informationen über die eingegangenen Ersuchen bereit.

Die Gruppenmitglieder, die als Datenimporteure agieren, stellen dem jeweiligen Datenexporteur und dem Kunden (sofern er nicht der Datenexporteur ist) in regelmäßigen Abständen und mindestens einmal jährlich möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). Ist die Bereitstellung der oben genannten Informationen an den zuständigen Datenexporteur oder den Kunden (sofern er nicht der Datenexporteur ist) ganz oder teilweise untersagt oder wird sie es in Zukunft sein, sind diese darüber unverzüglich entsprechend zu informieren.

Die Gruppenmitglieder, die als Datenimporteure agieren, speichern die oben genannten Informationen, solange die Daten den Schutzmechanismen der Richtlinie unterliegen, und stellen sie den zuständigen Aufsichtsbehörden auf Anfrage zur Verfügung.

Die Gruppenmitglieder, die als Datenimporteure agieren, überprüfen die Rechtmäßigkeit des Offenlegungsersuchens, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und fechten das Ersuchen an, wenn sie nach sorgfältiger Beurteilung zu dem Schluss kommen, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Die Gruppenmitglieder, die als Datenimporteure agieren, legen unter denselben Bedingungen mögliche Rechtsmittel ein. Bei der Anfechtung eines Ersuchens erwirken die Gruppenmitglieder, die als Datenimporteure agieren, einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Die angeforderten personenbezogenen Daten sind von ihnen erst offenzulegen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist.

Die Gruppenmitglieder, die als Datenimporteure agieren, dokumentieren ihre rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens, und stellen diese Unterlagen dem jeweiligen Datenexporteur, dem Kunden (sofern er nicht der Datenexporteur ist) und den einschlägigen Aufsichtsbehörden zur Verfügung, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist.

Die Gruppenmitglieder, die als Datenimporteure agieren, stellen bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereit.

Die Gruppenmitglieder stellen in jedem Fall sicher, dass die Übermittlungen personenbezogener Daten im Rahmen dieser Richtlinie gegenüber einer Behörde nicht auf eine Weise übermäßig, unverhältnismäßig oder willkürlich sind, die über das notwendige Maß in einer demokratischen Gesellschaft hinausgehen würde.

REGEL 13 – NICHTEINHALTUNG DER RICHTLINIE UND BEENDIGUNG

Regel 13A – Die Gruppenmitglieder sind effektiv an die Richtlinie gebunden und müssen in der Lage sein, deren Einhaltung zu gewährleisten.

Ist ein Gruppenmitglied, das als Datenimporteur agiert, aus beliebigem Grund nicht in der Lage, die Richtlinie einzuhalten, hat es den jeweiligen Datenexporteur bzw. den Kunden (sofern er nicht der Datenexporteur ist) unverzüglich darüber in Kenntnis zu setzen. Falls das Gruppenmitglied die Richtlinie verletzt oder außerstande ist, die Richtlinie einzuhalten, ist der jeweilige Datenexporteur bzw. Kunde (sofern er nicht der Datenexporteur ist) berechtigt, die Datenübermittlung auszusetzen.

Das Gruppenmitglied muss nach Wahl des Datenexporteurs bzw. des Kunden (sofern er nicht der Datenexporteur ist) die personenbezogenen Daten, die im Rahmen der Richtlinie übermittelt wurden, unverzüglich an diesen zurückgegeben oder vollständig vernichten, wenn:

der Datenexporteur bzw. der Kunde (sofern er nicht der Datenexporteur ist) die Datenübermittlung ausgesetzt hat und die Einhaltung dieser Richtlinie nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde
das Gruppenmitglied die Richtlinie in erheblichem Umfang oder fortdauernd verletzt oder es versäumt, einen rechtskräftigen Beschluss eines zuständigen Gerichts oder einer Aufsichtsbehörde hinsichtlich seiner Pflichten im Rahmen der Richtlinie einzuhalten

Dies gilt gleichermaßen für alle Kopien der Daten. Das Gruppenmitglied bescheinigt dem Datenexporteur bzw. dem Kunden (sofern er nicht der Datenexporteur ist) die Löschung der Daten. Bis zur Löschung oder Rückgabe der Daten stellt das Gruppenmitglied die Einhaltung dieser Richtlinie weiterhin sicher. Falls geltende lokale Rechtsvorschriften dem Gruppenmitglied die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert das Gruppenmitglied zu, dass es die Einhaltung dieser Richtlinie weiterhin gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies rechtlich erforderlich ist.

Regel 13B – Gruppenmitglieder, die nicht mehr an die Richtlinie gebunden sind, stellen sicher, dass personenbezogene Daten, je nach Fall, angemessen aufbewahrt, zurückgegeben oder gelöscht werden.

Die Gruppenmitglieder, die als Datenimporteure agieren und nicht mehr an die Richtlinie gebunden sind, können die im Rahmen der Richtlinie erhaltenen personenbezogenen Daten weiter aufbewahren (sofern dies zur Einhaltung der geltenden lokalen Rechtsvorschriften erforderlich ist), zurückgeben oder löschen. Falls der Datenexporteur oder der Kunde (sofern er nicht der Datenexporteur ist) und das Gruppenmitglied, das als Datenimporteur agiert, vereinbaren, dass die Daten vom Letzteren aufbewahrt werden, muss der entsprechende Schutz im Rahmen dieser Richtlinie bestehen bleiben.

ABSCHNITT C: RECHTE ALS DRITTBEGÜNSTIGTE

Werden personenbezogene Kundendaten im Rahmen dieser Richtlinie von einem Gruppenmitglied verarbeitet, das im Rahmen einer Datenverarbeitungsvereinbarung mit einem Kunden als Datenverarbeiter agiert, hat die Person, deren personenbezogene Kundendaten nach den Bestimmungen dieser Datenverarbeitungsvereinbarung an ein Gruppenmitglied außerhalb Europas übermittelt werden, Rechte als Drittbegünstigter, um Folgendes direkt gegen den Datenverarbeiter durchsetzen:
- Regel 1B, 2, 3, 4, 5, 6B, 9, 10 und 12 der Richtlinie
- das Zugriffsrecht auf die Richtlinie unter net/legal oder über die interne Wiki, die hier verfügbar ist, bzw. das Recht auf Erhalt eines Ausdrucks der Richtlinie sowie einer Liste der Gruppenmitglieder, die an diese Richtlinie gebunden sind, über das Online-Formular der Avature Group, das hier verfügbar ist https://www.avature.net/de/datenschutzbeauftragten-kontaktieren/
- das Recht, die Bestimmungen in Abschnitt C (a), (c), (d), (e), (f) und (g) durchzusetzen, die Rechte als Drittbegünstigte gewähren und die Haftungsbestimmungen und Zuständigkeitsvorschriften im Rahmen dieser Richtlinie festlegen
Wenn personenbezogene Kundendaten im Rahmen dieser Richtlinie von einem Gruppenmitglied verarbeitet werden, das im Rahmen einer Datenverarbeitungsvereinbarung mit einem Kunden als Datenverarbeiter agiert, und die Person, deren personenbezogene Kundendaten wie oben unter (a) dargelegt übermittelt werden, außerstande sein, eine Forderung gegen den Kunden geltend zu machen, weil (i) der Kunde faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist; und (ii) kein Rechtsnachfolger durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Kunden übernommen hat, hat diese Person die Rechte als Drittbegünstigter, Folgendes direkt gegen den Datenverarbeiter geltend zu machen:
- Regel 1B, 2, 3, 4, 5, 6A, 9, 10 und 12 der Richtlinie
- das Zugriffsrecht auf die Richtlinie unter net/legal oder über die interne Wiki, die hier verfügbar ist, bzw. das Recht auf Erhalt eines Ausdrucks der Richtlinie sowie einer Liste der Gruppenmitglieder, die an diese Richtlinie gebunden sind, über das Online-Formular der Avature Group, das hier verfügbar ist https://www.avature.net/de/datenschutzbeauftragten-kontaktieren/
- das Recht, die Bestimmungen in Abschnitt C b), (c), (d), (e), (f), (g) und (h) durchzusetzen, die Rechte als Drittbegünstigte gewähren und die Haftungsbestimmungen und Zuständigkeitsvorschriften im Rahmen dieser Richtlinie festlegen
Diese Richtlinie gewährleistet, dass die oben in Abschnitt C (a) und (b) genannten Personen in der Lage sind, die in diesen Absätzen dargelegten Rechte geltend zu machen, indem sie:
- Beschwerde einreichen: betroffene Personen können bei einem Gruppenmitglied (gemäß dem in Anhang 3 dargelegten Verfahren zur Bearbeitung von Beschwerden) und bei der zuständigen Aufsichtsbehörde in dem Mitgliedsstaat, in dem die vermeintliche Verletzung stattgefunden hat, oder in dem die Person arbeitet oder sich gewöhnlich aufhält, Beschwerde einreichen
- Verfahren einleiten: betroffene Personen können gegen Gruppenmitglieder Rechtsverfahren in einem Mitgliedsstaat einleiten, in dem das Gruppenmitglied eine Niederlassung unterhält, oder in dem Mitgliedsstaat, in dem sich die jeweilige Person gewöhnlich aufhält
Werden das Gruppenmitglied und der Kunde, die an derselben Verarbeitung beteiligt sind, für Schäden verantwortlich gemacht, die durch eine solche Verarbeitung entstehen, sind die oben unter Abschnitt C (a) und (b) genannten Personen berechtigt, Schadensersatz für den gesamten Schaden direkt von dem Gruppenmitglied zu erhalten.
Die oben unter Abschnitt C (a) und (b) genannten Personen können auch eine angemessene Entschädigung von dem haftbaren BCR-Mitglied verlangen, darunter Rechtsmittel gegen Verletzungen der Bestimmungen in diesen Absätzen einlegen, und, sofern angemessen, Schadensersatz von dem haftbaren BCR-Mitglied für sämtliche Schäden erhalten, ob materieller oder immaterieller Art, die ihnen infolge einer Verletzung dieser Bestimmung durch folgende Personen entstanden sind:
- ein Gruppenmitglied außerhalb Europas, das als Datenverarbeiter agiert
- einen externen Unterauftragsverarbeiter mit Sitz außerhalb Europas, der im Auftrag der Gruppenmitglieder handelt, entsprechend dem Beschluss eines Gerichts oder einer anderen zuständigen Behörde
Das haftbare BCR-Mitglied stellt sicher, dass alle erforderlichen Maßnahmen ergriffen werden, um etwaige Verstöße gegen diese Richtlinie durch ein Gruppenmitglied außerhalb Europas oder einen externen Unterauftragsverarbeiter mit Sitz außerhalb Europas, die personenbezogene Kundendaten im Auftrag eines Kunden verarbeiten, zu beseitigen.
Zur Klarstellung: Einzelpersonen stehen die in diesem Abschnitt C dargelegten Rechte als Drittbegünstigte zu und die Gerichtsbarkeit liegt bei den europäischen Gerichten oder zuständigen Aufsichtsbehörden, als wäre die Verletzung der in diesem Abschnitt C dargelegten Bestimmungen oder einer beliebigen dieser Bestimmungen durch das haftbare BCR-Mitglied verursacht worden. Das haftbare BCR-Mitglied kann sich seiner Haftung nicht entziehen, indem es sich auf die Verantwortung eines (internen oder externen) Unterauftragsverarbeiters für eine Verletzung beruft.
Für den Fall, dass ein Schadensersatzanspruch gemäß diesem Abschnitt C geltend gemacht wird, wonach eine Person einen wie oben beschriebenen Schaden erlitten hat und sofern diese Person nachweisen kann, dass der Schaden voraussichtlich aufgrund einer Verletzung dieser Richtlinie entstanden ist, haben die Gruppenmitglieder vereinbart, dass dem haftbaren BCR-Mitglied die Beweislast obliegt, aufzuzeigen, dass ein Gruppenmitglied außerhalb Europas (oder ein externer Unterauftragsverarbeiter mit Sitz außerhalb Europas, der im Auftrag eines Gruppenmitglieds agiert) nicht für die Verletzung verantwortlich ist und dass keine solche Verletzung stattgefunden hat. Wenn das haftbare BCR-Mitglied nachweisen kann, dass das Gruppenmitglied außerhalb Europas nicht für die Tat verantwortlich ist, kann es sich von jedweder Verantwortung/Haftung befreien.

TEIL III: ANHÄNGE

Anhang 1

Verfahren für die Ausübung der Rechte der betroffenen Personen

Anträge gegenüber dem Gruppenmitglied, wenn das Gruppenmitglied ein Datenverarbeiter ist
1. Wenn ein Gruppenmitglied Informationen im Auftrag eines Datenverantwortlichen (h. eines Kunden, dem es eine Dienstleistung erbringt) verarbeitet, gilt das vorgenannte Gruppenmitglied als ein Verarbeiter personenbezogener Daten und der Kunde trägt als Datenverantwortlicher die Hauptverantwortung dafür, die rechtlichen Anforderungen im Rahmen der europäischen Datenschutzvorschriften einzuhalten.
2. Bestimmte Datenschutzpflichten werden auf die Gruppenmitglieder, die als Datenverarbeiter agieren, auf der Grundlage der vertraglichen Verpflichtungen, die mit Kunden in ihrer Rolle als Datenverantwortliche abgeschlossen wurden, übertragen. Insbesondere muss das Gruppenmitglied, das als Datenverarbeiter agiert, den Anweisungen des Kunden, der als Datenverantwortlicher agiert, Folge leisten und sämtliche Maßnahmen ergreifen, die vernünftigerweise notwendig sind, um es dem Datenverantwortlichen zu ermöglichen, seiner Pflicht zur Wahrung der Rechte von betroffenen Personen nachzukommen. Das bedeutet, dass, wenn ein Gruppenmitglied einen Antrag von einer betroffenen Person zur Ausübung ihrer Rechte im Rahmen der europäischen Datenschutzvorschriften in seiner Eigenschaft als Datenverarbeiter im Auftrag eines Kunden erhält (der als Datenverantwortlicher agiert), es diesen Antrag unverzüglich an den jeweiligen Kunden weiterleiten muss, der als Datenverantwortlicher agiert, und diesen Antrag nicht beantworten darf, es sei denn, das Gruppenmitglied wurde entsprechend dem Vertrag zwischen dem Gruppenmitglied und dem Kunden und im Einklang mit der Richtlinie zum Umgang mit den Rechten betroffener Personen von Avature ausdrücklich dazu ermächtigt.
3. Wird das Gruppenmitglied (das als Datenverarbeiter agiert) vom Kunden (der als Datenverantwortlicher agiert) über einen Antrag auf Löschung, Berichtigung oder Einschränkung in Verbindung mit personenbezogenen Daten informiert, die von dem besagten Kunden zuvor offengelegt wurden, hat das Gruppenmitglied (das als Datenverarbeiter agiert) seine Unterlagen entsprechend zu aktualisieren.

Anhang 2

Prüfprotokoll

Hintergrund
1. Die Gruppenmitglieder sind verpflichtet, ihre Einhaltung der Richtlinie zu überprüfen und dabei bestimmte Bedingungen einzuhalten. In diesem Dokument wird dargelegt, wie die Gruppenmitglieder diesen Anforderungen nachkommen.
2. Die Rolle des Datenschutzbeauftragten und des Datenschutzteams von Avature besteht darin, Hilfestellung bei der Verarbeitung personenbezogener Daten entsprechend der Richtlinie zu bieten und die Verarbeitung personenbezogener Daten durch Gruppenmitglieder im täglichen Geschäft auf mögliche datenschutzbezogene Risiken zu prüfen. Die Verarbeitung personenbezogener Daten wird daher laufend detailliert überprüft und bewertet. Auch wenn dieses Prüfprotokoll das formelle Bewertungsverfahren darlegt, das von den Gruppenmitgliedern zur Gewährleistung der Einhaltung der Richtlinie eingeführt wurde, wie es von den zuständigen Aufsichtsbehörden verlangt wird, stellt dies nur eine Art und Weise dar, mit der die Gruppenmitglieder sicherstellen, dass die Bestimmungen der Richtlinie beachtet und bei Bedarf Abhilfemaßnahmen ergriffen werden.
Ansatz
1. Überblick über die Überprüfung
  1. Die Einhaltung der Richtlinie wird auf täglicher Basis vom Datenschutzbeauftragten und dem Datenschutzteam überwacht.
  2. Die Stelle, die für die Durchführung der Überprüfung der Einhaltung der Richtlinie und die Gewährleistung, dass diese Überprüfungen alle Aspekte der Richtlinie abdecken, zuständig ist, kann je nach den spezifischen Umständen des entsprechenden Gruppenmitglieds variieren. In der Regel werden die Überprüfungen vom Datenschutzbeauftragten von Avature (der bei der Wahrnehmung seiner Pflichten in Verbindung mit diesen Überprüfungen garantiert unabhängig ist) sowie gegebenenfalls von internen oder externen Prüfern vorgenommen. Der jeweilige Prüfer ist dafür verantwortlich, sicherzustellen, dass etwaige Probleme oder Fälle, in denen die Richtlinie nicht eingehalten wird, dem Datenschutzbeauftragten zur Kenntnis gebracht und dass Abhilfemaßnahmen ergriffen werden, um zu gewährleisten, dass die Richtlinie innerhalb eines angemessenen Zeitraums eingehalten wird.
  3. Sofern ein Gruppenmitglied als Datenverarbeiter eines Kunden agiert, können Überprüfungen der Einhaltung der in der Richtlinie eingegangenen Verpflichtungen gemäß den Bestimmungen eines Vertrags, den ein Gruppenmitglied mit einem Kunden in Bezug auf diese Datenverarbeitung abgeschlossen hat, auch von oder im Auftrag der Kunden eines Gruppenmitglieds ausgeführt werden, wobei sich diese Überprüfungen auch auf Unterauftragsverarbeiter erstrecken können, die in Bezug auf eine solche Datenverarbeitung im Auftrag eines Gruppenmitglieds agieren; die Fähigkeit zur Überprüfung eines solchen Unterauftragsverarbeiters ist dabei entsprechend den Bestimmungen des Vertrags zwischen dem Gruppenmitglied und den Unterauftragsverarbeitern auszuführen.
    Soweit sich eine Überprüfung auf personenbezogene Daten bezieht, die von einem Gruppenmitglied im Auftrag dieses Datenverantwortlichen verarbeitet werden, stellt das Gruppenmitglied den Teil der Ergebnisse dieser Überprüfung der Einhaltung dieser Richtline, der sich auf den jeweiligen Datenverantwortlichen bezieht, diesem Datenverantwortlichen auf Anfrage zur Verfügung.
2. Zeitpunkt und Umfang der Überprüfung
  1. Wie oben dargelegt, legt der Datenschutzbeauftragte den Zeitpunkt der Überprüfungen fest. Die Überprüfung der Richtlinie findet statt:
    - alle vierundzwanzig (24) Monate entsprechend den Prüfverfahren der Avature Group
    - häufiger, wenn dies vom Datenschutzbeauftragten verlangt bzw. als notwendig erachtet wird
  2. Soweit ein Gruppenmitglied personenbezogene Daten im Auftrag eines Kunden verarbeitet, erfolgt die Überprüfung der Richtlinie wie im bestehenden Vertrag zwischen diesem Gruppenmitglied und dem Kunden vorgeschrieben (sofern die angegebene Frist der oben unter 2.2.1. (a) angegebenen Frist entspricht oder kürzer ist).
  3. In diesem gleichen Sinne sind der Umfang und der Geltungsbereich der durchzuführenden Überprüfung vom Datenschutzbeauftragten auf Grundlage einer risikobasierten Analyse unter Berücksichtigung einschlägiger Kriterien festzulegen. Dazu zählen zum Beispiel Bereiche, in denen bekanntermaßen eine Nichteinhaltung der Richtlinie vorliegt; Bereiche, die aktuell im Fokus von Aufsichtsbehörden liegen; Bereiche mit spezifischen oder neuen Risiken für das Geschäft; Bereiche mit geänderten Systemen oder Prozessen zum Schutz von Informationen; Bereiche mit vorangegangenen Prüfungsfeststellungen oder Beschwerden; der Zeitraum seit der letzten Überprüfung; die Art, die Methode und der Ort der verarbeiteten personenbezogenen Daten; IT-Systeme, Anwendungen und Datenbanken; Weiterübermittlungen; und kollisionsrechtliche Probleme oder Probleme, die durch das Lieferantenmanagement entstehen.
  4. Wenn der Kunde, in dessen Auftrag das Gruppenmitglied personenbezogene Daten verarbeitet, sein Recht ausübt, das Gruppenmitglied auf Einhaltung der Richtlinie zu überprüfen, ist der Umfang der Überprüfung auf die Datenverarbeitungseinrichtungen, Dateien, Dokumente (sofern angemessen) und Aktivitäten in Verbindung mit diesem Datenverantwortlichen zu beschränken. Das Gruppenmitglied gewährt einem Datenverantwortlichen keinen Zugriff auf Systeme, die personenbezogene Daten anderer Datenverantwortlicher verarbeiten.
3. Prüfer
  1. Die Überprüfung der vorhandenen Verfahren und Kontrollen zur Umsetzung der im Rahmen der Richtlinie eingegangenen Verpflichtungen erfolgt durch den Datenschutzbeauftragten und das Datenschutzteam sowie gegebenenfalls durch interne oder externe Prüfer. Werden Überprüfungen von externen Prüfer vorgenommen, müssen folgende Mindestbedingungen erfüllt sein:
    - Durchführung einer angemessenen Sorgfaltsprüfung vor Auswahl der Prüfer zur Gewährleistung, dass die entsprechenden Prüfer über die erforderlichen Qualifikationen und den erforderlichen Status verfügen, um diese Aufgabe zu unterstützen
    - Abschluss einer Vereinbarung mit diesen Prüfern, um die Bereitstellung ihrer Dienstleistungen gemäß den geltenden Vorschriften zu regeln
  2. Wenn ein Kunde, in dessen Auftrag das Gruppenmitglied personenbezogene Daten verarbeitet, sein Recht ausübt, das Gruppenmitglied auf Einhaltung der Richtlinie zu überprüfen, kann diese Überprüfung von diesem Datenverantwortlichen oder von unabhängigen, akkreditierten Prüfern vorgenommen werden, die von diesem Datenverantwortlichen gemäß dem Vertrag zwischen dem Gruppenmitglied und diesem Datenverantwortlichen bzw. gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählt wurden.
4. Bericht
  1. Nach Abschluss der Überprüfung sind die Feststellungen dem Datenschutzbeauftragten, dem Vorstand des haftbaren BCR-Mitglieds und in jedem Fall den verschiedenen Gruppenmitgliedern zur Verfügung zu stellen, bei denen die Überprüfung Datenverarbeitungsaktivitäten aufgedeckt hat, denen in Anbetracht der Ergebnisse der Überprüfung nachgegangen werden muss. Der Prüfbericht enthält zudem Einzelheiten über etwaige erforderliche Abhilfemaßnahmen, Empfehlungen und Fristen für die Durchführung von Abhilfemaßnahmen. Die Ergebnisse können gegebenenfalls auch an den Vorstand der obersten Muttergesellschaft der Avature Group kommuniziert werden.
  2. Die Gruppenmitglieder haben vereinbart:
    - die Ergebnisse einer Überprüfung der Richtlinie einer zuständigen Aufsichtsbehörde auf Anfrage in Kopie bereitzustellen, wobei die Aufsichtsbehörde bei Erhalt der Prüfungsergebnisse an ihre Verschwiegenheitspflicht gemäß Artikel 54(2) DSGVO erinnert wird
    - die Ergebnisse einer Überprüfung der Richtlinie einem Datenverantwortlichen auf Anfrage bereitzustellen, sofern sich eine Überprüfung auf personenbezogene Daten bezieht, die von Gruppenmitgliedern im Auftrag eines Kunden verarbeitet werden
  3. Die Zusammenarbeit mit den zuständigen Aufsichtsbehörden zwecks der Bereitstellung der in Absatz 4.2 dargelegten Informationen obliegt dem Datenschutzbeauftragten.

Anhang 3

Verfahren zur Bearbeitung von Beschwerden

Einleitung
1. Das Verfahren zur Bearbeitung von Beschwerden dient dazu, zu erläutern, wie Beschwerden zu bearbeiten sind, die von betroffenen Personen, deren personenbezogene Daten von Gruppenmitgliedern im Rahmen der Richtlinie verarbeitet werden, eingereicht werden.
Wie betroffene Personen Beschwerde einreichen können
1. Sämtliche Beschwerden von betroffenen Personen im Rahmen der Richtlinie, wenn ein Gruppenmitglied als Datenverarbeiter im Auftrag eines Kunden, der als Datenverantwortlicher agiert, personenbezogene Daten erhebt bzw. nutzt, können schriftlich (auch per E-Mail) beim Datenschutzbeauftragten eingereicht werden. Der Datenschutzbeauftragte kann über das Online-Formular der Avature Group kontaktiert werden, das hier https://www.avature.net/de/datenschutzbeauftragten-kontaktieren/ verfügbar ist.
Pflicht, dem Datenverantwortlichen die Beschwerde zu melden
1. Das Gruppenmitglied teilt dem Datenverantwortlichen die Details der Beschwerde unverzüglich mit und befolgt strikt die Bestimmungen des Vertrags zwischen dem Kunden und dem Gruppenmitglied, wenn der Kunde von dem Gruppenmitglied verlangt, die Beschwerde gemäß dem nachstehend beschriebenen Verfahren zu bearbeiten.
2. Wenn ein Kunde nicht mehr existiert
3. In Fällen, in denen ein Kunde nicht mehr auffindbar ist, nicht mehr besteht oder zahlungsunfähig ist, haben Personen, deren personenbezogene Daten entsprechend den europäischen Datenschutzvorschriften erhoben bzw. verarbeitet wurden und zwischen Gruppenmitgliedern im Auftrag dieses Kunden im Rahmen der Richtlinie übermittelt wurden, das Recht, bei Gruppenmitgliedern Beschwerde einzureichen und die Gruppenmitglieder bearbeiten diese Beschwerden entsprechend Absatz 4 des vorliegenden Verfahrens zur Bearbeitung von Beschwerden. In diesen Fällen haben Einzelpersonen ebenfalls das Recht, Beschwerde bei einer europäischen Aufsichtsbehörde in dem Rechtssystem einzureichen, in dem die vermeintliche Verletzung stattgefunden hat, oder in dem die Person arbeitet oder sich gewöhnlich aufhält; bzw. Beschwerde bei einem zuständigen Gericht einzureichen, wie in Abschnitt C dieser Richtlinie beschrieben; dies gilt ungeachtet dessen, ob sie zuerst eine Beschwerde bei dem Gruppenmitglied eingereicht haben oder nicht.
Wer Beschwerden bearbeitet
1. Unbeschadet Absatz 3 oben bearbeitet der Datenschutzbeauftragte mit Unterstützung des Datenschutzteams sämtliche Beschwerden, die sich im Rahmen der Richtlinie aus der Verarbeitung personenbezogener Daten ergeben, wenn das jeweilige Gruppenmitglied der Verarbeiter dieser Informationen ist. Der Datenschutzbeauftragte arbeitet mit den entsprechenden Geschäftsbereichen zusammen, um der Beschwerde nachzugehen und koordiniert eine Antwort (die Informationen über die ergriffenen Maßnahmen für den Beschwerdeführer zu enthalten hat).
2. In welcher Frist muss die Antwort erfolgen?
  Der Datenschutzbeauftragte bestätigt der betroffenen Person, mit Unterstützung des Datenschutzteams, innerhalb von zehn (10) Arbeitstagen den Eingang der Beschwerde, untersucht die Beschwerde und legt binnen eines (1) Kalendermonats eine ausführliche Antwort vor. Falls aufgrund der Komplexität der Beschwerde oder des Vorhandenseins mehrerer Beschwerden innerhalb dieses Zeitraums keine ausführliche Antwort gegeben werden kann, unterrichtet der Datenschutzbeauftragte den Beschwerdeführer, mit Unterstützung des Datenschutzteams, binnen eines (1) Monats nach Eingang der Beschwerde über den Grund für die Verzögerung und legt eine angemessene Schätzung des Zeitrahmens vor (der zwei (2) weitere Kalendermonate nach dem Datum, an dem die betroffene Person über die Verlängerung benachrichtigt wurde, nicht überschreiten darf), innerhalb dessen eine Antwort vorgelegt wird.
  Ist die Frist für die Antwort verstrichen und wird die Antwort auf die Beschwerde verzögert, ohne dass ein Grund mitgeteilt wird, kann die betroffene Person dem Datenschutzbeauftragten diesen Umstand melden; dieser erläutert unverzüglich und in jedem Fall innerhalb von zehn (10) Arbeitstagen die Gründe für diese Verzögerung und informiert die betroffene Person über die bislang erfolgten Maßnahmen. Die Angelegenheit wird an den Leiter der Rechtsabteilung von Avature weitergeleitet (zusammen mit einem begründeten Bericht, der die zu ergreifenden Maßnahmen festlegt), der den Fall prüft und dem Datenschutzbeauftragten nahelegt, wie die Probleme, die Gegenstand der Beschwerde sind, so schnell wie möglich und in jedem Fall innerhalb von zehn (10) Arbeitstagen zu beheben sind. Die betroffene Person ist in jedem Fall berechtigt, die im nachstehenden Absatz 4.4 dargelegten Rechte auszuüben.
3. Wenn ein Beschwerdeführer eine Feststellung oder Ablehnung einer Beschwerde anfechtet
  Wenn eine Beschwerde als gerechtfertigt betrachtet wird, ergreift der Datenschutzbeauftragte die erforderlichen Maßnahmen, um das von der betroffenen Person aufgeworfene Problem zu beheben und setzt diese darüber entsprechend in Kenntnis.
  Wenn der Beschwerdeführer die Antwort des Datenschutzbeauftragten (auch wenn diese Antwort eine Weigerung ist, der Beschwerde nachzugehen) oder einen Aspekt einer Feststellung anfechtet, wird die Angelegenheit an den Leiter der Rechtsabteilung von Avature übertragen, der den Fall prüft und den Beschwerdeführer über seine Entscheidung informiert, die ursprüngliche Feststellung zu akzeptieren oder durch eine neue Feststellung zu ersetzen. Der Leiter der Rechtsabteilung von Avature antwortet dem Beschwerdeführer innerhalb von einem (1) Kalendermonat nach dem Zeitpunkt, an dem ihm der Fall übertragen wurde. Falls aufgrund der Komplexität der Beschwerde innerhalb dieses Zeitraums keine ausführliche Antwort gegeben werden kann, unterrichtet der Leiter der Rechtsabteilung von Avature den Beschwerdeführer innerhalb von einem (1) Monat nach dem Zeitpunkt, an dem ihm der Fall übertragen wurde, über den Grund für die Verzögerung und legt eine angemessene Schätzung des Zeitrahmens vor (der zwei (2) weitere Kalendermonate nicht überschreiten darf), innerhalb dessen eine Antwort vorgelegt wird. Falls der Beschwerde stattgegeben wird, veranlasst der Leiter der Rechtsabteilung von Avature sämtliche notwendigen Schritte, die in der Folge zu ergreifen sind.
4. Betroffene Personen, deren personenbezogene Daten entsprechend den europäischen Datenschutzvorschriften verarbeitet werden, sind zudem berechtigt: (i) Beschwerde bei einer zuständigen Aufsichtsbehörde in dem Mitgliedsstaat einzureichen, in dem die vermeintliche Verletzung stattgefunden hat, oder in dem die betroffene Person arbeitet oder sich gewöhnlich aufhält; (ii) bzw. Beschwerde bei einem zuständigen Gericht einzureichen, das heißt, bei einem Gericht in dem europäischen Land, in dem das Gruppenmitglied ansässig ist, oder in dem europäischen Land, in dem die Person wohnhaft ist. Diese Rechte gelten unabhängig davon, ob die Person zuerst eine Beschwerde bei einem Gruppenmitglied eingereicht hat oder nicht.
  Falls sich die Angelegenheit auf personenbezogene Daten bezieht, die den europäischen Datenschutzvorschriften unterliegen oder unterlegen haben und von einem Gruppenmitglied in Europa verarbeitet und an ein Gruppenmitglied außerhalb Europas übermittelt wurden, kann der Anspruch gegenüber das Gruppenmitglied in Europa geltend gemacht werden, das für die Übermittlung der personenbezogenen Daten verantwortlich ist.

Anhang 4

Verfahren zur Zusammenarbeit

Einleitung
1. Das vorliegende Verfahren zur Zusammenarbeit erläutert, auf welche Art und Weise die Gruppenmitglieder mit den zuständigen Aufsichtsbehörden in Verbindung mit dieser Richtlinie zusammenarbeiten, wie sie sich damit einverstanden erklären, von den zuständigen Aufsichtsbehörden, darunter auch sofern notwendig vor Ort, geprüft und kontrolliert zu werden, sowie deren Empfehlungen zu beachten und ihren Entscheidungen zu Sachverhalten in Verbindung mit dieser Richtlinie Folge zu leisten.
Verfahren zur Zusammenarbeit
1. Soweit erforderlich stellen die Gruppenmitglieder das notwendige Personal für den Dialog mit einer Aufsichtsbehörde in Verbindung mit der Richtlinie zur Verfügung.
2. Auf Anfrage stellt der Datenschutzbeauftragte einer zuständigen Aufsichtsbehörde die Ergebnisse einer Überprüfung der Richtlinie gemäß Anhang 2 in Kopie bereit, darunter auch sämtliche Informationen über die Verarbeitungsprozesse, die von der Richtlinie abgedeckt werden. Die Aufsichtsbehörde wird bei Erhalt dieser Informationen an ihre Verschwiegenheitspflicht gemäß Artikel 54(2) DSGVO erinnert.
3. Die Gruppenmitglieder erklären sich damit einverstanden, dass Aufsichtsbehörden nach dem geltenden Recht des Landes, aus dem die Daten übermittelt wurden, Datenschutzprüfungen oder Datenschutzkontrollen, darunter gegebenenfalls auch vor Ort, dieses Gruppenmitglieds durchführen dürfen.
4. Ist ein Gruppenmitglied in einem Zuständigkeitsbereich einer Aufsichtsbehörde in Europa ansässig, erkennen die Gruppenmitglieder an, dass dieses Gruppenmitglied nach dem geltenden Recht des Landes, in dem das Gruppenmitglied ansässig ist, von einer beliebigen Aufsichtsbehörde geprüft werden kann, um die Einhaltung dieser Richtlinie zu überprüfen.
5. Alle Gruppenmitglieder erklären sich damit einverstanden, von den Aufsichtsbehörden entsprechend den anwendbaren Prüfverfahren dieser Aufsichtsbehörden geprüft zu werden.
6. Die Gruppenmitglieder verständigen sich darauf, die Empfehlungen einer zuständigen Aufsichtsbehörde zu berücksichtigen und den formellen Entscheidungen einer zuständigen Aufsichtsbehörde in Verbindung mit der Auslegung und Anwendung dieser Richtlinie nachzukommen, unbeschadet des Rechts, gegen eine solche formelle Entscheidung Rechtsbehelfe einzulegen.

Anhang 5

Aktualisierungsverfahren

Einleitung
1. Das vorliegende Aktualisierungsverfahren legt die Art und Weise dar, wie das haftbare BCR-Mitglied den zuständigen Aufsichtsbehörden, Kunden und den Gruppenmitgliedern, die an die Richtlinie gebunden sind, Änderungen der Richtlinie kommuniziert.
Wesentliche Änderungen der Richtlinie
1. Das haftbare BCR-Mitglied kommuniziert wesentliche Änderungen der Richtlinie (d. h. jedwede Modifizierungen mit möglichen nachteiligen Auswirkungen auf das von der Richtlinie gebotene Schutzniveau oder wesentlichen Auswirkungen auf die Richtlinie, z. B. Änderungen an ihrem verbindlichen Charakter usw.) unverzüglich der spanischen Datenschutzbehörde (die „federführende Aufsichtsbehörde der verbindlichen internen Datenschutzvorschriften“) und über die federführende Aufsichtsbehörde an weitere einschlägige Aufsichtsbehörden. Diese Mitteilung hat eine kurze Erläuterung der Gründe zu beinhalten, warum die Aktualisierung erfolgt ist. Die zuständige Aufsichtsbehörde beurteilt darüber hinaus, ob die Änderungen eine neue Genehmigung erfordern.
2. Wenn eine Änderung der Richtlinie die Bedingungen, unter denen ein Gruppenmitglied personenbezogene Daten im Auftrag eines Kunden gemäß den Bestimmungen des Vertrags zwischen ihnen, wesentlich beeinflusst (zum Beispiel Änderungen, die vorgesehen sind, um Unterauftragsverarbeiter hinzuzufügen oder zu ersetzen), setzt das Gruppenmitglied jeden betroffenen Datenverantwortlichen darüber in Kenntnis. Falls eine solche Änderung einer Bestimmung des Vertrags entgegensteht, der zwischen dem Gruppenmitglied und dem Datenverantwortlichen geschlossen wurde, teilt das Gruppenmitglied die vorgesehene Änderung vor deren Implementierung mit und zwar mit ausreichendem Zeitvorlauf, damit die betroffenen Kunden Widerspruch einlegen können. Der Datenverantwortliche ist in diesem Fall gemäß den Bestimmungen seines Vertrags mit dem Gruppenmitglied berechtigt, die Übermittlung dieser personenbezogenen Daten an das Gruppenmitglied auszusetzen bzw. den jeweiligen Vertrag zu beenden.
Administrative Änderungen der Richtlinie
1. Das haftbare BCR-Mitglied teilt der federführenden Aufsichtsbehörde und über die federführende Aufsichtsbehörde den anderen betroffenen Aufsichtsbehörden auf Anfrage bzw. mindestens einmal pro Jahr Änderungen an der Richtlinie mit. Beispiele für derartige Änderungen sind Änderungen administrativer Art (darunter Änderungen der Liste der Gruppenmitglieder); Änderungen, die sich infolge einer Änderung der geltenden europäischen Datenschutzvorschriften ergeben haben; oder Änderungen infolge einer gesetzgeberischen, gerichtlichen oder aufsichtsrechtlichen Maßnahme. Das haftbare BCR-Mitglied legt der federführenden Aufsichtsbehörde und den anderen zuständigen Aufsichtsbehörden zudem kurz die Gründe für die mitgeteilten Änderungen der Richtlinie dar.
Kommunikation und Protokollierung von Änderungen der Richtlinie
1. Die Richtlinie beinhaltet ein Änderungsprotokoll, das das Datum von Überarbeitungen der Richtlinie und die Details etwaiger Überarbeitungen darlegt. Der Datenschutzbeauftragte führt (zusammen mit dem Datenschutzteam) eine aktuelle Liste mit Änderungen, die an der Richtlinie vorgenommen wurden, und stellt dem Kunden und den Aufsichtsbehörden die notwendigen Informationen auf Anfrage systematisch zur Verfügung.
2. Das haftbare BCR-Mitglied teilt alle Änderungen der Richtlinie, ob administrativer oder wesentlicher Art:
  - unverzüglich den Gruppenmitgliedern mit, die an die Richtlinie gebunden sind, und veröffentlicht eine aktualisierte Version dieser Richtlinie auf der Wiki-Website von Avature https://wiki.xcade.net/wiki/Policies,_Guidelines,_Agreements_%26_Certifications
  - auf systematische Weise Kunden mit, in deren Auftrag Gruppenmitglieder personenbezogene Daten verarbeiten, sowie betroffenen Personen, denen die Richtlinie zugutekommt, wobei diese Inkenntnissetzung über die Avature-Website avature.net/legal erfolgt
  - den Aufsichtsbehörden auf Anfrage oder gegebenenfalls über die zuständigen Aufsichtsbehörden mit
3. Der Datenschutzbeauftragte pflegt (zusammen mit dem Datenschutzteam) eine aktuelle Liste mit Änderungen, die an der Richtlinie vorgenommen wurden, und die Liste der Gruppenmitglieder, die an die Richtlinie gebunden sind, sowie eine Liste der Unterauftragsverarbeiter, die von Gruppenmitgliedern zur Verarbeitung personenbezogener Daten im Auftrag ihrer Kunden ernannt wurden. Die Liste der Gruppenmitglieder, Unterauftragsverarbeiter und jedweder Änderungen der Richtlinie wird den betroffenen Personen, Kunden und zuständigen Aufsichtsbehörden auf Anfrage von den Gruppenmitgliedern zur Verfügung gestellt und ist diesen zugänglich.
Neue Gruppenmitglieder
1. Der Datenschutzbeauftragte stellt (zusammen mit dem Datenschutzteam) sicher, dass alle neuen Gruppenmitglieder wirksam an die Richtlinie gebunden sind und die Richtlinie einhalten können, bevor eine Übermittlung personenbezogener Daten an sie stattfindet.

Suchen, Gewinnen und Binden

Nachverfolgen und Einstellen

Verwalten und Halten

Nach Branche

Über uns

Neueste

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) – Richtlinie für Datenverarbeiter

Avature Produkte

Avature Kunden

Avature Leistungen

Technologie

Insights

Über

HR Topics

Kontaktiere Uns