Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) – Richtlinie für Datenverantwortliche

EINLEITUNG

Die vorliegende Richtlinie zu den verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR) für Datenverantwortliche (zusammen die „Richtlinie“) legt dar, welchen Ansatz die Avature Group (wie nachstehend definiert) hinsichtlich des Schutzes und der Verwaltung personenbezogener Daten von Mitgliedern der Avature Group verfolgt, die an diese Richtlinie gebunden sind, wenn die Verarbeitung besagter personenbezogener Daten entweder für ihre eigenen Zwecke erfolgt oder sie als Datenverarbeiter im Auftrag eines anderen Gruppenmitglieds agieren.

Die Avature-Unternehmensgruppe („Avature Group“) ist eine Unternehmensorganisation, die in mehreren Ländern tätig ist. Die Avature Group beschäftigt über 1.400 Fachkräfte, die bestrebt sind, neue Technologie, neue Ideen und neue Lösungen für die Herausforderungen von Kunden bereitzustellen. Die Avature Group bietet insbesondere modernste Softwarelösungen für die Talentgewinnung und das Talentmanagement an, die an die spezifischen Anforderungen der Kunden angepasst sind, ihren besonderen Transformationszielen entgegenkommen und einen Wettbewerbsvorteil bieten, wenn sie im Unternehmen der Kunden bereitgestellt werden.

Neben den anderen im Rahmen dieser Richtlinie bereitgestellten Definitionen gelten für die nachstehenden Begriffe folgende Begriffsbestimmungen:

„Geltendes lokales Recht“ bezeichnet jedwedes nationales/lokales Datenschutzgesetz (einschließlich, je nach Fall, europäische Datenschutzvorschriften), das für das entsprechende Gruppenmitglied anwendbar ist.

„Datenverantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

„Europa“ bezeichnet die Länder im europäischen Wirtschaftsraum („EWR“).

„Europäische Datenschutzvorschriften“ bezeichnen die Datenschutz-Grundverordnung (DSGVO) und jedes Datenschutzgesetz eines europäischen Mitgliedstaats, darunter lokale Rechtsvorschriften zur Umsetzung der Anforderungen der DSGVO, einschließlich abgeleiteter Rechtsvorschriften, in der jeweils gültigen Fassung.

„Datenexporteur“ bezeichnet ein Gruppenmitglied, das als Datenverantwortlicher oder Datenverarbeiter agiert und seinen Sitz in Europa hat oder anderweitig den europäischen Datenschutzvorschriften unterliegt und das personenbezogene Daten an einen Datenimporteur im Rahmen dieser Richtlinie übermittelt oder anderweitig zur Verfügung stellt.

„DSGVO“ bezeichnet die Verordnung 2016/679 der Europäischen Union (EU) (die Datenschutz-Grundverordnung).

„Gruppenmitglied“ bezeichnet die Mitglieder der Avature Group, die diese Richtlinie einhalten.

„Datenimporteur“ bezeichnet ein Gruppenmitglied, das als Datenverantwortlicher oder Datenverarbeiter agiert, seinen Sitz außerhalb Europas hat und personenbezogene Daten von einem Datenexporteur erhält.

„Haftendes BCR-Mitglied“ bezeichnet Avature Spain, S.L.U.

„Personenbezogene Daten“ bezeichnen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (im Folgenden in dieser Richtlinie als „betroffene Person“ bezeichnet). Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder personenbezogenen Datensätzen wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

„Datenverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

„Profiling“ bezeichnet jede Art der automatisierten Verarbeitung, die darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

„Besondere Kategorien von personenbezogenen Daten“, „sensible Daten“ bezeichnen personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

„Aufsichtsbehörde“ oder „zuständige Aufsichtsbehörde“ bezeichnet eine in einer europäischen Gerichtsbarkeit eingerichtete unabhängige staatliche Stelle, die für die Überwachung der Anwendung der europäischen Datenschutzvorschriften verantwortlich ist, um die Grundrechte und Grundfreiheiten natürlicher Personen in Verbindung mit der Datenverarbeitung zu schützen.

Diese Richtlinie gilt für alle personenbezogenen Daten, die den europäischen Datenschutzvorschriften unterliegen, die anschließend von Datenexporteuren an Datenimporteure übermittelt und von Datenimporteuren an andere Datenimporteure weiterübermittelt werden.

Folglich finden sämtliche Verpflichtungen und Anforderungen, die Gruppenmitgliedern im Rahmen dieser Richtlinie zugewiesen werden, nur dann Anwendung, wenn sie sich auf personenbezogene Daten in diesem Geltungsbereich beziehen.

Diese Richtlinie gilt für alle personenbezogenen Daten, die von Gruppenmitgliedern verarbeitet werden, wie in den Abschnitten „Welche personenbezogenen Daten werden von dieser Richtlinie abgedeckt?“ und „Zu welchen Zwecken werden personenbezogene Daten im Rahmen dieser Richtlinie weitergegeben?“ dargelegt.

Die Gruppenmitglieder und deren Mitarbeiter müssen diese Richtlinie bei der Verarbeitung von personenbezogenen Daten sowohl für ihre eigenen Zwecke als Datenverantwortliche als auch in ihrer Eigenschaft als Datenverarbeiter im Auftrag eines anderen Gruppenmitglieds, das als Datenverantwortlicher agiert, vollständig einhalten und dieser nachkommen.

Spezifische Anforderungen oder Bestimmungen im Hinblick auf Vertraulichkeit und Geheimhaltung, die für einen Geschäftsbereich oder eine Funktion innerhalb der Avature Group gelten können oder von geltendem Recht gefordert sind, werden durch diese Richtlinie ergänzt und von dieser weder ersetzt noch abgelöst.

Diese Richtlinie wird zusammen mit einer Liste der aktuellen Gruppenmitglieder und deren Kontaktdetails auf der öffentlich zugänglichen Website hier veröffentlicht.

Anwendung auf Übermittlungen, die von Gruppenmitgliedern durchgeführt werden, die den europäischen Datenschutzvorschriften nicht unterliegen

Wenn ein Gruppenmitglied, das den europäischen Datenschutzvorschriften nicht unterliegt, durch das jeweilige in seinem Land geltende lokale Recht ebenfalls Beschränkungen bei der internationalen Übermittlung personenbezogener Daten unterworfen ist und die zuständigen Behörden dieser Länder diese Richtlinie (ganz oder in Teilen, wie vom geltenden lokalen Recht vorgeschrieben) als gültigen Mechanismus zur Legitimierung internationaler Übermittlungen von personenbezogenen Daten anerkennen, kann diese Richtlinie auch für personenbezogene Daten gelten, die aus diesen Ländern an die Datenimporteure übermittelt werden. Der Klarheit halber sei darauf hingewiesen, dass dies nicht die Anwendbarkeit des geltenden lokalen Rechts für das Gruppenmitglied außerhalb Europas berührt.

In diesen Fällen sind die obigen Definitionen so auszulegen, als würde das Gruppenmitglied, das die personenbezogenen Daten übermittelt und den europäischen Datenschutzvorschriften nicht unterliegt, als Datenexporteur angesehen.

Demgemäß sollte die Richtlinie sinngemäß ausgelegt und angewandt werden (beispielsweise sind die europäischen Datenschutzvorschriften als geltendes lokales Recht, die Aufsichtsbehörde als zuständige lokale Behörde in der jeweiligen Gerichtsbarkeit oder der Mitgliedsstaat als das betroffene Land auszulegen).

In diesem Kontext agiert das Gruppenmitglied, das personenbezogene Daten übermittelt und den europäischen Datenschutzvorschriften nicht unterliegt, in Verbindung mit dieser bzw. diesen internationalen Übermittlung(en) von Daten als haftbares BCR-Mitglied.

TEIL I: HINTERGRUND UND MASSNAHMEN

Was ist das Datenschutzrecht?

Das europäische Datenschutzrecht gewährt Personen das Recht, die Art und Weise zu kontrollieren, wie ihre personenbezogenen Daten verarbeitet werden.
Im Rahmen der europäischen Datenschutzvorschriften gilt eine Organisation, die personenbezogene Daten für ihre eigenen Zwecke verarbeitet, als ein Verantwortlicher dieser Informationen und trägt somit die Hauptverantwortung dafür, die rechtlichen Anforderungen zu erfüllen. In Fällen, in denen wir als Arbeitgeber fungieren, sind wir zum Beispiel der Verantwortliche für die personenbezogenen Daten, die wir über unsere Mitarbeiter verarbeiten.
Wenn auf der anderen Seite ein Unternehmen Informationen im Auftrag einer anderen Einrichtung verarbeitet (zum Beispiel zur Erbringung einer Dienstleistung), gilt Ersteres als ein Verarbeiter dieser Daten.

Wie wirken sich die europäischen Datenschutzvorschriften auf Übermittlungen von personenbezogenen Daten zwischen Gruppenmitgliedern aus?

Das europäische Datenschutzrecht lässt es nicht zu, dass personenbezogene Daten in Länder, Gebiete oder an internationale Organisationen außerhalb Europas übertragen werden, die kein angemessenes Schutzniveau der Datenschutzrechte von Einzelpersonen gewährleisten. Da einige der Länder, in denen die Gruppenmitglieder tätig sind, nach Ansicht der Europäischen Kommission kein angemessenes Schutzniveau bieten, müssen geeignete Schutzmechanismen eingerichtet werden, die den Anforderungen des europäischen Datenschutzrechts Rechnung tragen.

Was unternehmen die Gruppenmitglieder diesbezüglich?

Die Gruppenmitglieder sind verpflichtet, angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass sie personenbezogene Daten auf internationaler Ebene sicher bzw. rechtmäßig verarbeiten. Der Zweck dieser Richtlinie besteht folglich darin, einen Rahmen zur Erfüllung der im europäischen Datenschutzrecht verankerten Standards zu bieten und infolgedessen ein angemessenes Schutzniveau für alle personenbezogenen Daten zu bieten, die im Rahmen dieser Richtlinie von Datenexporteuren an Datenimporteure übermittelt werden.
Diese Richtlinie ist rechtskräftig und gilt für alle Gruppenmitglieder und deren Mitarbeiter, wenn diese Gruppenmitglieder personenbezogene Daten sowohl manuell als auch auf automatischem Wege verarbeiten. Die Richtlinie erfordert, dass Gruppenmitglieder, die personenbezogene Daten als Datenverantwortliche oder als Datenverarbeiter im Auftrag eines Gruppenmitglieds verarbeiten, die in Teil II dieser Richtlinie dargelegten Regeln (sofern anwendbar) sowie die Richtlinien und Verfahren einhalten, die im Anhang in Teil III dieser Richtlinie dargelegt sind. Übermittlungen, die von dieser Richtlinie abgedeckt sind, umfassen Übermittlungen von Datenverantwortlichen an Datenverantwortliche; von Datenverantwortlichen an Datenverarbeiter; von Datenverarbeitern an Datenverarbeiter; und von Datenverarbeitern and Datenverantwortliche.

Was passiert mit Gruppenmitgliedern, die den europäischen Datenschutzvorschriften nicht unterliegen und Daten exportieren?

Wie in der Einleitung dargelegt, und zum Zwecke der Ausgestaltung eines weltweiten Datenschutzrahmens für die Avature Group, gilt, dass wenn ein Gruppenmitglied, das den europäischen Datenschutzvorschriften nicht unterliegt, durch das jeweilige in seinem Land geltende lokale Recht ebenfalls Beschränkungen bei der internationalen Übermittlung personenbezogener Daten unterworfen ist und die zuständigen Behörden dieses Landes diese Richtlinie (ganz oder in Teilen, wie vom geltenden lokalen Recht vorgeschrieben) als gültigen Mechanismus zur Legitimierung internationaler Übermittlungen von personenbezogenen Daten anerkennen, diese Richtlinie auch für personenbezogene Daten gelten kann, die aus einem solchen Land an die Datenimporteure übermittelt werden. Der Klarheit halber sei darauf hingewiesen, dass dies nicht die Anwendbarkeit des für das Gruppenmitglied außerhalb Europas geltenden lokalen Rechts berührt.

Welche personenbezogenen Daten werden von dieser Richtlinie abgedeckt?

Die personenbezogenen Daten, die von dieser Richtlinie verarbeitet werden, umfassen:

• in Verbindung mit den personenbezogenen Daten aktueller und ehemaliger Mitarbeiter, Auftragnehmer und vorübergehend Beschäftigter: (a) Angaben zur Person und Kontaktdetails (z. B. Vorname, zweiter Vorname, Nachname, Mädchenname der Mutter, Anrede, Geschlecht, Geburtstag, Nationalität, nationale Identifikationsnummern (z. B. Personalausweisnummer, Sozialversicherungsnummer, Reisepassnummer, Führerscheinnummer bzw. staatlich ausgegebene Identifikationsnummern), E-Mail-Adresse, Privatadresse, private und mobile Telefonnummern, Nationalität, Hobbys usw.); (b) Beschäftigtendaten einschließlich beruflicher Werdegang und Kontaktdetails (z. B. berufliche E-Mail-Adresse, Durchwahlnummer und Mobilfunknummer, Skype-Benutzername, Beschreibung der aktuellen Position, Stellenbezeichnung, Gehaltsplan, Gehaltsgruppe oder -stufe, Bereich/Abteilung, Standort, Vorgesetzte und unterstellte Mitarbeiter, Identifikationsnummer des Mitarbeiters, Beschäftigungsstatus und -art, Anstellungsbedingungen, Arbeitsvertrag, beruflicher Werdegang, Neueinstellungs- und Kündigungsdatum, Dienstzeit, Pensionsanspruch, Leistungsbeurteilungen und -bewertungen (einschließlich Feedback von Vorgesetzten, Akteuren und anderen Personen, die mit dem Mitarbeiter arbeiten), Beförderungen und Disziplinareinträge, Daten zu Arbeitsberechtigungen/Einwanderungsdaten wie Arbeitsgenehmigungen oder Visa usw.); (c) Details zu Talenten, zum Recruiting und zur Bewerbung, zur Ausbildung und zu Schulungen (z. B. Angaben aus Bewerbungsanschreiben und Lebenslauf/CV, persönlicher Website oder LinkedIn-Profil, die direkt vom Stellenbewerber bereitgestellt wurden, vorheriger Beschäftigungshintergrund und Referenzen, Ausbildungsverlauf, berufliche Qualifikationen, Sprachkompetenzen und andere wichtige Skills, Details zu Leistungsmanagementbewertungen, Entwicklungsplan und Umzugsbereitschaft, personenbezogene Daten, die aus der Teilnahme des Mitarbeiters am Recruiting-Prozess der Avature Group abgeleitet wurden, wie zum Beispiel während persönlicher Interviews oder beim E-Mail-Austausch im Rahmen von Bewerbungen oder Gesprächen erhaltene Daten usw.); (d) Audio-Informationen und visuelle Informationen (z. B. Stimme und Aussehen, wie von Fotos, Videos oder Audioaufzeichnungen im Kontext von Interviews oder Telefonmeetings oder Videokonferenzen aufgenommen usw.); (e) finanzielle Informationen einschließlich Gehalt und Vergütungsdetails (z. B. Bankverbindung, Grundgehalt, Boni, Zusatzleistungen, Gehaltszulagen für Familienangehörige, Besoldungsstufe innerhalb der zugewiesenen Gehaltsgruppe, Details zu Aktienoptionen, Aktienzusagen und anderen Zuteilungen, Währung, Zahlungshäufigkeit, Datum des Inkrafttretens der aktuellen Vergütung, Gehaltsprüfungen, Steueridentifikationsnummern und Sozialversicherungsnummer und Steuerklasse usw.); (f) Daten zu Arbeitszeiten (z. B. Aufzeichnungen über geleistete Arbeitsstunden (sofern rechtlich erforderlich/zulässig), Aufzeichnungen über Urlaubstage, Freitage, Krankheitstage und andere Freistellungstage, die vom Arbeitnehmer genommen wurden, und entsprechende Nachweise (sofern erforderlich), Überstunden, Schichtarbeit und Kündigungsdatum usw.); (g) reisebezogene Daten (z. B. Vielfliegerinformationen (wie Treueprogramm der Fluggesellschaften und Vielflieger-Nummer), gewöhnlicher Abholort usw.); (h) Sicherheits- und IT-Details (z. B. erfasste Informationen über Eingangssysteme und Sicherheitskameras, erfasste Informationen über IT-Nutzung einschließlich Zugriffs- und Authentifizierungsdaten, Internet-Browserverlauf, Anrufverzeichnis, auf Unternehmenssystemen oder -netzwerken (einschließlich Laptops) gespeicherte Dokumente und Dateien, gesendete und erhaltene E-Mails von den E-Mail-Konten des Unternehmens (sofern rechtlich zulässig), Protokolle, IP-Adresse, erfolgreiche und fehlgeschlagene Anmeldeversuche, über Cookies oder andere ähnliche Tracking-Technologien erhobene Informationen usw.); and (i) sämtliche weiteren Informationen, die von betroffenen Personen freiwillig bereitgestellt wurden (z. B. mittels Beschwerden, Umfragen, Interessen usw.).
  Besondere Kategorien an personenbezogenen Daten können ebenfalls von den Gruppenmitgliedern verarbeitet werden, sofern dies für die im nachstehenden Absatz beschriebenen Zwecke notwendig und gemäß geltendem lokalen Recht erforderlich oder zulässig ist.
• in Verbindung mit den personenbezogenen Daten der Angehörigen von Mitarbeitern: (a) persönliche Angaben und Kontaktdetails (z. B. Name, Nachname, Kontaktdetails wie Notfallkontaktnummern usw.); (b) weitere Informationen über die Mitarbeiter in Verbindung mit ihrer Familie, sofern rechtlich erforderlich/zulässig (z. B. Familiengruppe, Name und andere einschlägige Informationen über Kinder und andere Angehörige (darunter Geburtsurkunden dieser oder ihrer Kinder), Familienstand, Ehepartner oder Lebensgefährte, Eheurkunde usw.).
• in Verbindung mit den personenbezogenen Daten aktueller und ehemaliger Stellenbewerber: (a) Angaben zur Person und Kontaktdetails (z. B. Vorname, zweiter Vorname, Nachname, Land, Staat und Wohnort, E-Mail-Adresse, Privatadresse, private und mobile Telefonnummern, Nationalität usw.); (b) Beschäftigtendaten einschließlich beruflicher Werdegang (z. B. aktuelle Position, Stellenbezeichnung, Standort und Unternehmen und beruflicher Werdegang, Gehaltsplan, Gehaltsgruppe oder -stufe, Daten zu Arbeitsberechtigungen/Einwanderungsdaten wie Arbeitsgenehmigungen oder Visa usw.); (c) Angaben zu Talenten, zum Recruiting und zur Bewerbung, zur Ausbildung und zu Schulungen (z. B. Angaben aus Bewerbungsanschreiben und Lebenslauf/CV, persönlicher Website oder LinkedIn-Profil, die direkt vom Stellenbewerber bereitgestellt wurden, vorheriger Beschäftigungshintergrund und Referenzen, Ausbildungsverlauf, berufliche Qualifikationen, Sprachkompetenzen und weitere wichtige Skills, Angaben zu Leistungsmanagementbewertungen, Entwicklungsplan und Umzugsbereitschaft, personenbezogene Daten, die aus der Teilnahme des Stellenbewerbers am Recruiting-Prozess der Avature Group abgeleitet wurden, wie zum Beispiel während persönlicher Interviews oder beim E-Mail-Austausch im Rahmen von Bewerbungen oder Gesprächen erhaltene Daten usw.); (d) Audio-Informationen und visuelle Informationen (z. B. Stimme und Aussehen, wie von Fotos, Videos oder Audioaufzeichnungen im Kontext von Interviews oder Telefonmeetings oder Videokonferenzen aufgenommen usw.).
• in Verbindung mit personenbezogenen Daten von Kunden, potenziellen Kunden, Lieferanten, Anbietern, Partnern, Geschäftspartnern und Beratern (einschließlich deren Mitarbeitern, Vertretern bzw. Vermittlern): (a) persönliche Angaben und Kontaktdetails (z. B. Name, Nachname, Telefonnummer, E-Mail-Adresse, Postanschrift usw.); (b) berufliche Details (z. B. Position/Stellenbezeichnung, Unternehmensdetails, berufliche Kontaktdetails usw.); (c) vertragliche Daten (z. B. Bestellungen, Rechnungen, Verträge und andere Vereinbarungen, die personenbezogene Daten über diese betroffenen Personen enthalten können usw.); (d) finanzielle Informationen und Zahlungsinformationen (z. B. Bankverbindungen, Kreditkartendetails usw.); (e) Audio-Informationen und visuelle Informationen (z. B. Stimme und Aussehen, wie von Fotos, Videos oder Audioaufzeichnungen im Kontext von Interviews oder Telefonmeetings oder Videokonferenzen oder zu Sicherheitszwecken (einschließlich erfasster Informationen über Eingangssysteme und Sicherheitskameras) aufgenommen usw.); (f) IT-Informationen (z. B. IP-Adresse, Benutzerkennung, Passwörter, Protokolle (einschließlich Profildetails) von Websites oder Portalen der Avature Group usw.); und (g) sonstige Details über die berufliche Beziehung zur Avature Group (z. B. Beschwerdedaten, Nachrichtenaustausch usw.).
• in Verbindung mit den personenbezogenen Daten der Website-Benutzer: (a) persönliche Angaben und Kontaktdetails (z. B. Name, Nachname, Telefonnummer, E-Mail-Adresse, Postanschrift usw.); (b) berufliche Details (z. B. Position/Stellenbezeichnung, Unternehmensdetails, berufliche Kontaktdetails usw.); (c) IT-Informationen (z. B. IP-Adresse, Benutzerkennung, Passwörter, Protokolle über die Nutzung (einschließlich Profildetails) von Websites oder Portalen der Avature Group, erfasste Daten über die Avature-Applikation einschließlich Daten, die aus dem Zugriff auf die Kamera bzw. die Fotosammlung des Benutzers stammen (sofern dieser Zugriff ausdrücklich autorisiert wurde) und sonstige Informationen, die Benutzer bereitstellen können, die für die zukünftige Entwicklung der App und für Support-Zwecke nützlich sind, usw.); (d) Daten zur Navigation und Nutzung (z. B. automatisch erfasste Informationen über betroffene Personen (d. h. durch Cookies oder andere ähnliche Technologien) im Hinblick auf ihre Nutzung der Websites, IP-Adresse usw.); und (e) weitere Details über ihre Beziehung zur Avature Group (z. B. Anfragen, Interessen, Nachrichtenaustausch usw.).

Zu welchen Zwecken werden personenbezogene Daten im Rahmen dieser Richtlinie übermittelt?

Personenbezogene Daten werden im Rahmen dieser Richtlinie zu folgenden Zwecken übermittelt:

• Übermittlungen der personenbezogenen Daten von aktuellen und ehemaligen Mitarbeitern, Auftragnehmern und vorübergehend Beschäftigten finden zwischen Gruppenmitgliedern weltweit statt (siehe Standorte all dieser Gruppenmitglieder hier), unabhängig von der Herkunft der Daten, für die Zwecke der (a) Verwaltung von Arbeitsaktivitäten und des Personals allgemein (z. B. Recruiting, Bewertungen, Leistungsmanagement, Beförderungen, Nachfolgeplanung und Karriereentwicklung, Gehaltsmanagement, Verwaltung der internen Mobilität, Fehlzeiten/Abwesenheiten, Versetzungen und Entsendungen, Zusammenstellung und Verwaltung bestehender Mitarbeiterverzeichnisse, Planung und Überwachung von Schulungsanforderungen und Karriereentwicklungsaktivitäten und Skills, Verwaltung und Berichterstattung über Disziplinarangelegenheiten und Kündigungen, Prüfung von Beschäftigungsentscheidungen, Feststellung und Entscheidung über die Eignung von Mitarbeitern und Arbeitsplatzanpassungen, Vornahme von Vorkehrungen für Geschäftsreisen, Verwaltung von Geschäftsausgaben und Rückerstattungen, Vereinfachung von Geschäftskommunikation, Verhandlungen, Transaktionen und Konferenzen, Überwachung der Einhaltung interner Richtlinien und Verfahren und sonstiger Überwachungsmaßnahmen, wie nach geltenden Rechtsvorschriften erforderlich/zulässig (z. B. interne Berichtssysteme), Durchführung von Personalanalysen und Personaleinsatzplanung, Durchführung von Hintergrundchecks, wie nach geltenden Rechtsvorschriften erforderlich/zulässig; (b) Vornahme aggregierter Segmentierungen, Statistiken und Analysen im Hinblick auf die Tätigkeitsdaten des Mitarbeiters (d. h. zur Vorausplanung der Interview-Prozesse, Kandidatenquellen, Leistung usw.) zum besseren Verständnis und als Grundlage für Entscheidungen über die Arbeitnehmerschaft unter anderem im Hinblick auf Talent-Recruiting, Karriereplanung und Nachfolgeplanung; (c) Unterstützung des Managements der Dienstleistungen, die von der Avature Group und ihren Niederlassungen bereitgestellt werden (z. B. Verwaltung und Zuweisung von Betriebsvermögen und Personal, Betrieb, Steuerung und Schutz von IT- und Kommunikationssystemen und Infrastruktur, Büroausstattung und sonstiges Eigentum, strategische Planung, Projektmanagement, Geschäftskontinuität, Zusammenstellung von Prüfpfaden und sonstigen Berichtstools, Führung von Aufzeichnungen über die Herstellung und sonstige Geschäftsaktivitäten, Budgetierung, Finanzmanagement und Finanzberichterstattung, Kommunikation, Verwaltung von Fusionen, Übernahmen und Neuorganisationen oder Veräußerungen usw.); (d) Einhaltung geltender rechtlicher Verpflichtungen und sonstiger Anforderungen (z. B. Arbeits- und Sozialversicherungspflichten, Aufzeichnungs- und Berichtspflichten, Durchführung von Überprüfungen, Gewährleistung der Einhaltung der Vorschriften bei Inspektionen seitens Behörden und anderen Ersuchen von Regierungen oder sonstigen Behörden, Reaktion auf rechtliche Verfahren wie Vorladungen, Verfolgung von Rechtsmitteln und Rechtsbehelfen, Verteidigung bei Rechtsstreitigkeiten und Verwaltung interner Beschwerden oder Schadensersatzansprüche usw.); und (e) Bereitstellung verschiedenster Dienstleistungen für andere Gruppenmitglieder (z. B. IT-Technologie und -Systeme, Gehalt, Personalauswahl und Personalmanagement, interne Revision und Compliance, Aktenvernichtung, Dokumententransport sowie rechtliche Verwaltungs- und Koordinationsleistungen in bestimmten Bereichen wie Datenschutz usw.).
  In Verbindung mit den besonderen Kategorien von personenbezogenen Daten von Mitarbeitern können diese Daten von den Gruppenmitgliedern verarbeitet werden, wenn dies zur ordnungsgemäßen Erfüllung ihrer Zwecke erforderlich ist (z. B. Schaffung geeigneter Bedingungen im Fall von körperlichen Einschränkungen oder besonderen Bedürfnissen, Abwesenheitsverwaltung und -administration, Zugangskontrollen auf Firmenareal, Bereitstellung von arbeitsplatzbezogenen Gesundheitsdienstleistungen usw.) und nur wie für die Zwecke der Erfüllung dieser Verpflichtungen und Ausübung der besonderen Rechte von Gruppenmitgliedern oder der betroffenen Person im Beschäftigungs- und Sozialversicherungsbereich und Sozialschutzrecht (Artikel 9.2(bb)) erforderlich, sowie für die Gesundheitsvorsorge oder Arbeitsmedizin, die Beurteilung der Arbeitsfähigkeit des Mitarbeiters, die medizinische Diagnostik, die Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitssystemen und -diensten erforderlich (Artikel 9.2(h)). Darüber hinaus können besondere Kategorien von personenbezogenen Daten verarbeitet werden, um verschiedenste Dienstleistungen für andere Gruppenmitglieder zu erbringen (z. B. Rechtsberatung, Leistungen bei arbeitsrechtlichen Streitigkeiten, Whistleblowing, Archivierung und Dokumentation von Verwahrungsdiensten, Versicherungsleistungen, interne Berichtsmanagementleistungen, Unternehmenssicherheit und allgemeine Dienstleistungen, Finanzdienstleistungen usw.).
• Übermittlungen der personenbezogenen Daten von Angehörigen der Mitarbeiter finden zwischen Gruppenmitgliedern weltweit statt (siehe Standorte all dieser Gruppenmitglieder hier), unabhängig von der Herkunft der Daten, um Gehaltsleistungen zu verwalten, die die Angehörigen der Mitarbeiter betreffen.
• Übermittlungen der personenbezogenen Daten von aktuellen und ehemaligen Stellenbewerbern finden zwischen Gruppenmitgliedern weltweit statt (siehe Standorte all dieser Gruppenmitglieder hier), unabhängig von der Herkunft der Daten, zum Zwecke der (a) Verwaltung der Recruiting-Aktivitäten generell (z. B. Beurteilung von Bewerbungen und Treffen von Einstellungsentscheidungen, Kommunikation mit Bewerbern im Zusammenhang mit dem Recruiting-Prozess bzw. ihren Bewerbungen usw.); (b) Vornahme von aggregierten Segmentierungen, Statistiken und Analysen im Hinblick auf die Tätigkeitsdaten von Kandidaten (z. B. bei der Vorbereitung der Interviewprozesse, Kandidatenquellen usw.); (c) Verwaltung der Mitgliedschaft in der Talent-Community (z. B. Angebot der Möglichkeit, der Talent-Community freiwillig beizutreten und Versenden von Stellenempfehlungen oder sonstigen damit verbundenen Informationen); (d) Einhaltung geltender gesetzlicher Verpflichtungen und sonstiger Anforderungen (z. B. Durchführung von Prüfungen, Gewährleistung der Einhaltung der Vorschriften bei Inspektionen seitens Behörden und anderen Ersuchen von Regierungen oder sonstigen Behörden, Reaktion auf rechtliche Verfahren wie Vorladungen, Verfolgung von Rechtsmitteln und Rechtsbehelfen, Verteidigung bei Rechtsstreitigkeiten und Verwaltung interner Beschwerden oder Schadensersatzansprüche usw.); und (e) Bereitstellung verschiedenster Dienstleistungen für andere Gruppenmitglieder (z. B. IT-Technologie und -Systeme, Personalauswahl und Personalmanagement, interne Revision und Compliance, Aktenvernichtung, Dokumententransport sowie rechtliche Verwaltungs- und Koordinationsleistungen in bestimmten Bereichen wie Datenschutz usw.).
• Übermittlungen der personenbezogenen Daten von Kunden, potenziellen Kunden, Lieferanten, Anbietern, Partnern, Geschäftspartnern und Beratern (einschließlich deren Mitarbeitern, Vertretern bzw. Vermittlern) finden zwischen Gruppenmitgliedern weltweit statt (siehe Standorte all dieser Gruppenmitglieder hier), unabhängig von der Herkunft der Daten, zum Zwecke der (a) Verwaltung der vertraglichen Beziehung zu ihnen allgemein (z. B. zur Erfüllung vorhandener Vereinbarungen bzw. zur Ergreifung von Maßnahmen zum Abschluss solcher Vereinbarungen, zu geschäftlichen Zwecken und zur Kommunikation, zum Aufbau, zur Erneuerung, zur Pflege oder zur Beendigung der Geschäftsbeziehungen, zur Gewährung von Zugriff auf internetbasierte Aktivitäten und Zugang zu unseren Räumlichkeiten, zur Durchführung von Prüfungen, zur Buchführung, für Finanz- und Wirtschaftsanalysen, zur Vornahme von Zahlungen und Ausführung damit verbundener Buchhaltungsfunktionen usw.); (b) Steuerung und Wahrung der Sicherheit (z. B. zum Schutz der IT-Infrastruktur, Büroausstattung und sonstigem Eigentum usw.); (c) Steuerung der Geschäftsabläufe (z. B. Betrieb und Steuerung der IT- und Kommunikationssysteme, Verwaltung der Produkt- und Serviceentwicklung, Verbesserung von Produkten und Dienstleistungen, Verwaltung des Unternehmensvermögens, Zuweisung von Unternehmensvermögen und Personal, strategische Planung, Projektmanagement, Geschäftskontinuität, Zusammenstellung von Prüfpfaden und sonstigen Berichtstools, Führung von Aufzeichnungen über die Herstellung und sonstige Geschäftsaktivitäten, Budgetierung, Finanzmanagement und Finanzberichterstattung, Kommunikation, Verwaltung von Fusionen, Übernahmen und Neuorganisationen oder Veräußerungen usw.); (d) Planung und Ausführung von Marketingstrategien allgemein (z. B. Marktforschung, Planung von Kampagnen und Entwicklung von Marktstrategien, Überwachung und Berichterstattung über den Erfolg von Kampagnen usw.); (e) Einhaltung geltender Rechtsvorschriften (z. B. Handelsrecht, Steuerrecht, Durchführung von Prüfungen, Einhaltung der Vorschriften bei Inspektionen seitens Behörden und anderen Ersuchen von Regierungen oder sonstigen Behörden, Reaktion auf rechtliche Verfahren wie Vorladungen, Verfolgung von Rechtsmitteln und Rechtsbehelfen, Verteidigung bei Rechtsstreitigkeiten und Verwaltung interner Beschwerden oder Schadensersatzansprüche usw.); (f) Bereitstellung verschiedenster Dienstleistungen für andere Gruppenmitglieder (z. B. IT-Technologie und -Systeme, interne Revision und Compliance, Aktenvernichtung, Dokumententransport, Risikomanagement, Beschaffung von Produkten bzw. Dienstleistungen, elektronische Rechnungsstellung, Management von Marketing- und Kommunikationskampagnen sowie rechtliche Verwaltungs- und Koordinationsleistungen in bestimmten Bereichen wie Datenschutz usw.).
• Übermittlungen der personenbezogenen Daten von Website-Benutzern finden zwischen Gruppenmitgliedern weltweit statt (siehe Standorte all dieser Gruppenmitglieder hier), unabhängig von der Herkunft der Daten, zum Zwecke der (a) Verwaltung der Bereitstellung von Dienstleistungen allgemein (z. B. Entwicklung und Bereitstellung von Online-Funktionen und Inhalt, Verwaltung von Websites, Bereitstellung von Support usw.); (b) Steuerung und Wahrung der Sicherheit (z. B. Schutz der IT-Infrastruktur, Gewährleistung der Sicherheit und Integrität von Systemen, Servern und Websites usw.); (c) Vornahme von aggregierten Segmentierungen, Statistiken und Analysen (z. B. für ein Verständnis, wie die Dienste genutzt werden, zur Verbesserung und Entwicklung von Website- und Dienstfunktionen, zur Verbesserung der Leistung und des verfügbaren Supports usw.); (d) Planung und Ausführung von Marketingstrategien allgemein (z. B. Marktforschung, Planung von Kampagnen und Entwicklung von Marktstrategien, Überwachung und Berichterstattung über den Erfolg von Kampagnen usw.); (e) Einhaltung geltender Rechtsvorschriften (z. B. Handelsrecht, Durchführung von Prüfungen, Einhaltung der Vorschriften bei Inspektionen seitens Behörden und anderen Ersuchen von Regierungen oder sonstigen Behörden, Reaktion auf rechtliche Verfahren wie Vorladungen, Verfolgung von Rechtsmitteln und Rechtsbehelfen, Verteidigung bei Rechtsstreitigkeiten und Verwaltung interner Beschwerden oder Schadensersatzansprüche usw.); (f) Bereitstellung verschiedenster Dienstleistungen für andere Gruppenmitglieder (z. B. IT-Technologie und -Systeme, interne Revision und Compliance, Steuerung von Marketing- und Kommunikationskampagnen sowie Verwaltungs- und Koordinationsleistungen in bestimmten Bereichen wie Datenschutz usw.).

Weitere Informationen

Die Avature Group verfügt über ein Team an Datenschutzexperten (mit einem Datenschutzbeauftragten der Gruppe [wie nachstehend definiert], der das Team leitet), das dafür verantwortlich ist, dafür Sorge zu tragen, dass alle Gruppenmitglieder die geltenden Datenschutzgesetze strikt einhalten („Datenschutzteam“). Sollten Sie Fragen zu den Bestimmungen dieser Richtlinie, Ihren Rechten im Rahmen dieser Richtlinie oder sonstigen Datenschutzanliegen haben, können Sie sich unter nachstehender Adresse an das Datenschutzteam wenden. Das Datenschutzteam wird sich der Angelegenheit entweder selbst annehmen, sie an die zuständige Person oder die zuständige Abteilung innerhalb der Avature Group weiterleiten oder die Angelegenheit ggf. an den Datenschutzbeauftragten („Datenschutzbeauftragten“) der Avature Group weitergeben.

Zu Händen: Datenschutzteam
Online-Formular: https://www.avature.net/de/datenschutzbeauftragten-kontaktieren/

Das Datenschutzteam ist dafür zuständig, zu gewährleisten, dass Änderungen dieser Richtlinie gemäß Anhang 5 zur Kenntnis gebracht werden.
Sollten Sie mit der Art und Weise, wie ein Gruppenmitglied Ihre personenbezogenen Daten verarbeitet hat, unzufrieden sein, verfügt die Avature Group über ein gesondertes Beschwerdeverfahren, das in Teil III, Anhang 3 dargelegt ist.

TEIL II: VERPFLICHTUNGEN VON GRUPPENMITGLIEDERN ALS DATENVERANTWORTLICHE ODER DATENVERARBEITER

Teil II dieser Richtlinie ist in drei Abschnitte unterteilt:

• Abschnitt A befasst sich mit den Grundsätzen im Rahmen der europäischen Datenschutzvorschriften, die ein Gruppenmitglied beachten muss.
• Abschnitt B legt die praktischen Verpflichtungen dar, die von Gruppenmitgliedern gegenüber den zuständigen Aufsichtsbehörden in Verbindung mit dieser Richtlinie eingegangen werden.
• Abschnitt C beschreibt die Rechte als Drittbegünstigte, die Gruppenmitglieder betroffenen Personen im Rahmen von Teil II dieser Richtlinie gewährt haben.

ABSCHNITT A: GRUNDSÄTZE

REGEL 1 – RECHTMÄSSIGKEIT UND VERARBEITUNG NACH TREU UND GLAUBEN

Regel 1A – Die Gruppenmitglieder halten diese Richtlinie und sämtliche geltenden lokalen Datenschutzvorschriften in erster Linie auf harmonisierte Weise ein.

Als Organisationen halten die Gruppenmitglieder, die den nachstehenden Bestimmungen unterliegen, alle geltenden Rechtsvorschriften in Verbindung mit personenbezogenen Daten (z. B. in Europa, die europäischen Datenschutzvorschriften) ein und tragen dafür Sorge, dass eine Verarbeitung personenbezogener Daten in jedem Fall entsprechend dieser Richtlinie und nach geltendem lokalen Recht erfolgt.

In Fällen, in denen diese Richtlinie gilt und:

• es kein geltendes lokales Recht gibt oder die Rechtsvorschriften nicht den Standards entsprechen, die von den Regeln in dieser Richtlinie festgelegt wurden, verarbeiten die Gruppenmitglieder personenbezogene Daten, indem sie sich an die in dieser Richtlinie dargelegten Regeln halten
• geltendes lokales Recht ein höheres Schutzniveau erfordert als durch diese Richtlinie bereitgestellt, hat das höhere Schutzniveau Vorrang vor dieser Richtlinie
• das geltende lokale Recht Gruppenmitgliedern die Einhaltung ihrer Pflichten im Rahmen dieser Richtlinie unmöglich macht oder sich sehr nachteilig auf ihre Fähigkeiten auswirkt, ihren Pflichten im Rahmen dieser Richtlinie nachzukommen, befolgen die Gruppenmitglieder das in Regel 15 dargelegte Verfahren

Regel 1B – Die Gruppenmitglieder stellen sicher, dass ihre Verarbeitung von personenbezogenen Daten nach Treu und Glauben und rechtmäßig erfolgt und dass für die Verarbeitung von personenbezogenen Daten gegebenenfalls eine Rechtsgrundlage besteht.

Die Gruppenmitglieder stellen sicher, dass ihre Verarbeitung von personenbezogenen Daten nach Treu und Glauben und rechtmäßig erfolgt und dass für die Verarbeitung von personenbezogenen Daten gegebenenfalls eine Rechtsgrundlage besteht. Die Gruppenmitglieder verarbeiten nur dann personenbezogene Daten, wenn:

• die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat und diese Einwilligung die Standards im Rahmen der europäischen Datenschutzvorschriften erfüllt (d. h. sie wurde freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich erteilt und ein Widerruf ist so einfach wie die Erteilung der Einwilligung)
• dies für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen
• dies für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der das Gruppenmitglied unterliegt, und das Recht ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck steht
• dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist
• dies zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die einem Gruppenmitglied übertragen wurde, sofern die Rechtsgrundlage für die Verarbeitung rechtlich festgeschrieben ist und dieses Recht ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck steht
• dies zur Wahrung der berechtigten Interessen eines Gruppenmitglieds oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln darf von den Gruppenmitgliedern nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem geltenden lokalen Recht, das geeignete Schutzmechanismen für die Rechte und Freiheiten der betroffenen Personen vorsieht, entsprechend den oben dargelegten Rechtsgrundlagen zulässig ist.

Regel 1C – Unbeschadet von Regel 1B oben ist die Verarbeitung besonderer Kategorien von personenbezogenen Daten untersagt, sofern keine Ausnahmeregel wie jene im Rahmen der europäischen Datenschutzvorschriften besteht.

Die Verarbeitung besonderer Kategorien von personenbezogenen Daten ist in bestimmten Fällen gestattet, darunter:

• wenn ein Gruppenmitglied die ausdrückliche Einwilligung in die Verarbeitung einer besonderen Kategorie von personenbezogenen Daten in Verbindung mit der betroffenen Person für einen oder mehrere festgelegte Zwecke erhalten hat, es sei denn, dass das Verbot zur Verarbeitung besonderer Kategorien von personenbezogenen Daten nach geltendem lokalen Recht durch die Einwilligung der betroffenen Person nicht aufgehoben wird
• wenn die Verarbeitung erforderlich ist, damit das Gruppenmitglied oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach geltendem lokalen Recht oder einer Kollektivvereinbarung nach geltendem lokalen Recht, das geeignete Schutzmechanismen für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist
• wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben
• wenn die Verarbeitung auf der Grundlage geeigneter Schutzmechanismen durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung erfolgt, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden
• wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat
• wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist
• wenn die Verarbeitung auf der Grundlage des geltenden lokalen Rechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist
• wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des geltenden lokalen Rechts erforderlich ist, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach geltendem lokalen Recht oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt
• wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des geltenden lokalen Rechts erforderlich ist, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht
• wenn die Verarbeitung auf der Grundlage des geltenden lokalen Rechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich ist

Regel 1D – Die Gruppenmitglieder schätzen die Folgen einer Verarbeitung personenbezogener Daten ab, die mit hohen Risiken für die Rechte und Freiheiten der betroffenen Personen einhergeht.

Die Gruppenmitglieder führen, wenn sie als Datenverantwortliche agieren, eine Abschätzung der Notwendigkeit und Verhältnismäßigkeit einer neuen Verarbeitung von personenbezogenen Daten durch und führen eine Datenschutz-Folgenabschätzung entsprechend den europäischen Datenschutzvorschriften durch, wenn die Verarbeitung mit hohen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Sollte die Datenschutz-Folgenabschätzung darauf hindeuten, dass die Verarbeitung ein hohes Risiko für betroffene Personen zur Folge hat, sind die Gruppenmitglieder verpflichtet, die zuständigen Aufsichtsbehörden vor der Verarbeitung zu konsultieren, sofern keine Maßnahmen zur Eindämmung des Risikos ergriffen wurden.

Gruppenmitglieder, die als Datenverarbeiter im Auftrag anderer Gruppenmitglieder agieren, sind dazu verpflichtet, angemessen zu kooperieren, um die Datenverantwortlichen bei der Gewährleistung der Einhaltung ihrer Verpflichtungen gemäß der vorliegenden Regel 1D zu unterstützen.

REGEL 2 – GEWÄHRLEISTUNG VON TRANSPARENZ UND DER VERARBEITUNG PERSONENBEZOGENER DATEN NUR FÜR EINEN BEKANNTEN ZWECK

Regel 2A – Die Gruppenmitglieder setzen betroffene Personen darüber in Kenntnis, wie ihre personenbezogenen Daten verarbeitet werden.

Die Gruppenmitglieder tragen dafür Sorge, dass die betroffenen Personen immer auf klare und verständliche Weise (in der Regel mittels einer Erklärung zu einer nach Treu und Glauben erfolgenden Verarbeitung) darüber informiert werden, wie ihre personenbezogenen Daten verarbeitet werden. Das jeweilige Gruppenmitglied stellt die von den europäischen Datenschutzvorschriften geforderten Informationen bereit, die mindestens Folgendes beinhalten:

• die Identität und die Kontaktdaten des Datenverantwortlichen, einschließlich der Kontaktdaten des Datenschutzbeauftragten und gegebenenfalls seines Vertreters
• den Zweck und die Rechtsgrundlage für die Verarbeitung, darunter eine Erklärung, ob sich eine Verarbeitung auf rechtmäßige Interessen stützt, und etwaige neue oder verschiedene vereinbare Zwecke
• die Empfänger oder Kategorien von Empfängern, an die personenbezogene Daten übermittelt werden können
• Informationen über die vorhandenen Sicherheitsmechanismen zum Schutz personenbezogener Daten bei deren internationalen Übermittlung und darüber, wie auf eine Kopie dieser Sicherheitsmechanismen zugegriffen werden bzw. diese erhalten werden kann. Im Falle von Übermittlungen personenbezogener Daten zwischen einem Datenexporteur und einem Datenimporteur auf Grundlage dieser Richtlinie umfassen die bereitgestellten Informationen einen Verweis auf diese Richtlinie und geben Auskunft darüber, wie auf diese zugegriffen werden kann
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder die Kriterien für die Festlegung dieser Dauer
• Einzelheiten über die Rechte der betroffenen Personen, darunter das Auskunftsrecht, das Recht auf Berichtigung, auf Löschung, zur Einschränkung der Verarbeitung, auf Widerspruch, auf Datenübertragbarkeit, das Recht, die Einwilligung zu widerrufen (wenn die Verarbeitung auf einer Einwilligung beruht) und das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen
• Informationen darüber, ob die Bereitstellung der Informationen gesetzlich oder vertraglich vorgeschrieben ist und welche möglichen Folgen die Nichtbereitstellung von personenbezogenen Daten unter diesen Umständen hätte
• Informationen über das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling, und, zumindest in Fällen, in denen diese Entscheidungen der betroffenen Person gegenüber rechtliche Wirkung entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen, oder sich auf besondere Kategorien personenbezogener Daten stützen, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Die Anforderungen des geltenden lokalen Rechts, nach dem die personenbezogenen Daten erfasst werden, legen fest, ob den betroffenen Personen weitere zusätzliche Informationen bereitzustellen sind.

Diese Informationen werden bereitgestellt, wenn personenbezogene Daten von Gruppenmitgliedern von der betroffenen Person erhalten werden bzw. innerhalb eines Zeitrahmens, der im Rahmen der europäischen Datenschutzvorschriften zulässig ist.

Erhalten Gruppenmitglieder personenbezogene Daten einer betroffenen Person nicht von der Person selbst, sondern aus einer anderen Quelle, teilt das jeweilige Gruppenmitglied der betroffenen Person diese Information mit, wobei sie ihr gleichzeitig Informationen über die Quelle und die Kategorien personenbezogener Daten mitteilt, die sie von Dritten erhalten hat. Diese Mitteilung erfolgt:

• innerhalb eines angemessenen Zeitraums, nachdem die personenbezogenen Daten erfasst wurden, aber spätestens innerhalb eines (1) Monats
• wenn die personenbezogenen Daten zwecks Kommunikation mit der betroffenen Person verarbeitet werden, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person
• wenn sie einem Dritten offengelegt werden sollen, spätestens zu dem Zeitpunkt, an dem die Daten erstmals offengelegt werden

Die Gruppenmitglieder halten sich an diese Regel 2A, es sei denn, dass es im Rahmen der europäischen Datenschutzvorschriften ausdrücklich erlaubt ist, keine Informationen bereitzustellen.

Regel 2B – Die Gruppenmitglieder erhalten und verarbeiten personenbezogene Daten nur für die Zwecke, die der betroffenen Person bekannt sind, oder die mit ihren Erwartungen vereinbar sind und für die Gruppenmitglieder relevant sind.

Regel 1A sieht vor, dass die Gruppenmitglieder sämtliche geltenden Rechtsvorschriften in Verbindung mit der Verarbeitung personenbezogener Daten einhalten. Das bedeutet, dass Gruppenmitglieder personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke, wie oben im Abschnitt „Zu welchen Zwecken werden personenbezogene Daten im Rahmen dieser Richtlinie übermittelt?“ dargelegt, verarbeiten und personenbezogene Daten nicht in einer Art und Weise bearbeiten, die mit diesen Zwecken nicht vereinbar ist.

Die Gruppenmitglieder identifizieren die Zwecke, für die personenbezogene Daten verarbeitet werden (darunter sekundäre Verwendungen und Offenlegungen der Daten) gemäß Regel 2A und teilen diese mit.

Regel 2C – Die Gruppenmitglieder dürfen personenbezogene Daten nur dann für einen anderen oder neuen Zweck verarbeiten, wenn dieser mit dem Zweck vereinbar ist, für den die Daten erhoben wurden.

Wenn ein Gruppenmitglied personenbezogene Daten für einen bestimmten Zweck gemäß Regel 2A (wie es der betroffenen Person mittels der jeweiligen Erklärung zur Verarbeitung nach Treu und Glauben mitgeteilt wurde), und wie in Regel 2B dargelegt, erhoben hat, und das Gruppenmitglied die personenbezogenen Daten anschließend für einen anderen oder neuen Zweck verarbeiten möchte, darf es diese personenbezogenen Daten nicht in einer mit dem Zweck, für den sie erhoben wurden, nicht zu vereinbarenden Weise weiterverarbeiten, es sei denn, eine solche Weiterverarbeitung basiert auf der Einwilligung der betroffenen Person oder ist rechtlich erforderlich.

REGEL 3 – GEWÄHRLEISTUNG VON DATENQUALITÄT

Regel 3A – Die Gruppenmitglieder sorgen dafür, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind.

Um zu gewährleisten, dass die personenbezogenen Daten, die von Gruppenmitgliedern verwahrt werden, sachlich richtig und auf dem neuesten Stand sind, fordern die Gruppenmitglieder die betroffenen Personen aktiv auf, Änderungen ihrer personenbezogenen Daten mitzuteilen. Die Gruppenmitglieder ergreifen angemessene Maßnahmen, um sicherzustellen, dass unrichtige personenbezogene Daten unter Berücksichtigung der Zwecke, für die sie verarbeitet werden, unverzüglich gelöscht oder berichtigt werden.

Regel 3B – Die Gruppenmitglieder bewahren personenbezogene Daten nur solange es für die Zwecke, für die sie verarbeitet werden, notwendig ist.

Die Gruppenmitglieder halten sich an die Richtlinien und Verfahrensweisen der Avature Group zur Aufbewahrung von Aufzeichnungen in der jeweils überarbeiteten und aktualisierten Fassung. Das bedeutet unter anderem, dass die Gruppenmitglieder personenbezogene Daten je nach Fall löschen oder sperren, wenn sie für den Zweck, für den sie erhoben oder weiterverarbeitet wurden, nicht mehr erforderlich sind.

Regel 3C – Die Gruppenmitglieder verarbeiten nur personenbezogene Daten, die für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sind.

Die Gruppenmitglieder verarbeiten nur personenbezogene Daten, die zur ordnungsgemäßen Erfüllung ihrer Zwecke erforderlich sind.

REGEL 4 – VORNAHME ANGEMESSENER SICHERHEITSVORKEHRUNGEN

Regel 4A – Die Gruppenmitglieder halten sich an die IT-Sicherheitsrichtlinien der Avature Group.

Die Gruppenmitglieder implementieren angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung oder Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übermittlung personenbezogener Daten über ein Netzwerk beinhaltet, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung. Zu diesem Zweck halten sich die Gruppenmitglieder an die Anforderungen in den bestehenden Sicherheitsrichtlinien der Avature Group in der jeweils überarbeiteten und aktualisierten Fassung sowie an alle weiteren Sicherheitsverfahren, die für einen Geschäftsbereich oder eine Funktion relevant sind. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

Die Gruppenmitglieder implementieren Richtlinien für die Meldung von Datenschutzverletzungen, wie vom geltenden lokalen Recht vorgeschrieben und in nachfolgender Regel beschrieben.

Regel 4A – Die Gruppenmitglieder haben eine Richtlinie für die Meldung von Datenschutzverletzungen implementiert.

Die Gruppenmitglieder haben eine Richtlinie zu Datenschutzverletzungen implementiert (in einer von Zeit zu Zeit überarbeiteten und aktualisierten Fassung), die den Prozess darlegt, der im Falle einer Sicherheitsverletzung einzuhalten ist, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugriff auf personenbezogene Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (eine „Verletzung des Schutzes personenbezogener Daten“).

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat die Person, der eine Verletzung bei dem jeweiligen Gruppenmitglied bekannt wird, unverzüglich und in jedem Fall binnen vierundzwanzig (24) Stunden, nachdem ihr die Verletzung bekannt wurde, den Datenschutzbeauftragten und das Datenschutzteam von Avature zu unterrichten und dabei die Schritte zu befolgen, die in der Richtlinie zu Datenschutzverletzungen von Avature dargelegt sind.

Sobald der Datenschutzbeauftragte von Avature die Information bezüglich der Verletzung des Schutzes personenbezogener Daten erhalten hat, wird er zusammen mit dem Rechtsteam prüfen, ob dieser Vorfall als Verletzung des Schutzes personenbezogener Daten oder vielmehr als Sicherheitsvorfall betrachtet werden kann, der keine personenbezogenen Daten betroffen hat.

Sobald festgestellt wurde, dass der Sicherheitsvorfall personenbezogene Daten betrifft, prüfen das Rechtsteam bzw. der Datenschutzbeauftragte, ob der Vorfall der zuständigen Aufsichtsbehörde innerhalb der vorgegebenen Frist gemeldet werden sollte (entsprechend den europäischen Datenschutzvorschriften, unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem die Verletzung bekannt wurde), es sei denn,

dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten betroffener Personen führt. In jedem Fall tragen das Rechtsteam bzw. der Datenschutzbeauftragte dafür Sorge, dass die Verletzung des Schutzes personenbezogener Daten unverzüglich dem Gruppenmitglied aufgezeigt wird, das als Datenverantwortlicher agiert, sowie gegebenenfalls dem haftbarem BCR-Mitglied bzw. den haftbaren BCR-Mitgliedern.

Betroffene Personen werden unverzüglich benachrichtigt, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für ihre persönlichen Rechte und Freiheiten führt, es sei denn, eine solche Benachrichtigung ist gemäß den europäischen Datenschutzvorschriften nicht erforderlich.

Verletzungen des Schutzes personenbezogener Daten, die von Gruppenmitgliedern erlitten wurden, einschließlich aller damit in Verbindung stehenden Fakten, die Auswirkungen dieser Vorfälle und die ergriffenen Abhilfemaßnahmen, sind in einem Bericht über die Verletzung des Schutzes personenbezogener Daten zu dokumentieren, der der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt wird.

Regel 4C – Die Gruppenmitglieder tragen dafür Sorge, dass die Dienstleister und sonstigen Einrichtungen, die personenbezogene Daten in ihrem Auftrag verarbeiten, ebenfalls angemessene und gleichwertige Sicherheitsvorkehrungen treffen.

Gruppenmitglieder, die Dienstleister (die als Datenverarbeiter agieren) einsetzen, die Zugriff auf die personenbezogenen Daten von betroffenen Personen haben (z. B. Gehaltsabrechnungsanbieter), oder sonstige Einrichtungen beauftragen, die personenbezogene Daten in ihrem Auftrag verarbeiten, befolgen bei der Auswahl des Datenverarbeiters ihre jeweiligen Sorgfaltspflichtprozesse, um dafür Sorge zu tragen, dass der Datenverarbeiter über angemessene technische und organisatorische Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten verfügt. Die Gruppenmitglieder legen den Datenverarbeitern schriftliche vertragliche Verpflichtungen in Form einer Datenverarbeitungsvereinbarung auf, die den Anforderungen der europäischen Datenschutzvorschriften genügt. Diese Vereinbarung hat mindestens Folgendes festzulegen:

• den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen
• die Pflichten und Rechte des Datenverantwortlichen
• folgende Pflichten für die Einrichtung, die als Datenverarbeiter agiert:
  • Die Verarbeitung personenbezogenen Daten erfolgt nur auf dokumentierte Weisung des Datenverantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch ein Gesetz, dem der Datenverarbeiter unterliegt, hierzu verpflichtet ist (in einem solchen Fall teilt der Datenverarbeiter dem Datenverantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet)
  • Gewährleistung, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines Schutzniveaus, das für das Risiko in Verbindung mit der Verarbeitung der personenbezogenen Daten angemessen ist
  • Keine Beauftragung eines weiteren Datenverarbeiters in Verbindung mit den personenbezogenen Daten ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Datenverantwortlichen sowie ohne Abschluss einer schriftlichen Vereinbarung mit dem weiteren Datenverarbeiter mit denselben Datenschutzverpflichtungen, wie in dem Vertrag oder dem Rechtsakt zwischen dem Datenverantwortlichen und Datenverarbeiter vorgesehen (insbesondere hinsichtlich der Bereitstellung ausreichender Garantien zur Implementierung geeigneter technischer und organisatorischer Maßnahmen, damit die Verarbeitung den europäischen Datenschutzvorschriften Rechnung trägt)
  • Unterstützung des Datenverantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen (sofern möglich), um seiner Pflicht zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person nachzukommen (wie nachstehend in Regel 5 näher dargelegt)
  • Unterstützung des Datenverantwortlichen bei der Gewährleistung, dass die Pflichten in Verbindung mit der Implementierung angemessener Sicherheitsvorkehrungen, der Durchführung von Datenschutz-Folgenabschätzungen und damit verbundener Konsultationen bei den Aufsichtsbehörden sowie die Meldepflichten von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und (gegebenenfalls) betroffene Personen eingehalten werden
  • Auf Wahl des Datenverantwortlichen Löschung oder Rückgabe sämtlicher personenbezogener Daten an den Datenverantwortlichen nach Abschluss der Erbringung von Dienstleistungen in Verbindung mit der Verarbeitung sowie Löschung vorhandener Kopien, sofern keine rechtliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht
  • Bereitstellung aller erforderlichen Informationen für den Datenverantwortlichen zum Nachweis der Einhaltung der Pflichten als Datenverarbeiter und Ermöglichung und Mitwirkung an Überprüfungen, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden
  • Unverzügliche Inkenntnissetzung des Datenverantwortlichen, falls die europäischen Datenschutzvorschriften seiner Ansicht nach durch eine Anweisung verletzt werden

Wenn ein Gruppenmitglied (Einrichtung A) personenbezogene Daten als Datenverarbeiter im Auftrag eines Gruppenmitglieds verarbeitet, das personenbezogene Daten als Datenverantwortlicher verarbeitet (Einrichtung B), handelt Einrichtung A nur auf dokumentierte Weisung von Einrichtung B und kommt den Pflichten nach, die in der einschlägigen Datenverarbeitungsvereinbarung festgelegt sind.

REGEL 5 – WAHRUNG DER RECHTE BETROFFENER PERSONEN

Regel 5 – Die Gruppenmitglieder gehen mit den Ersuchen der betroffenen Personen zum Schutz ihrer Daten (darunter das Recht auf Auskunft, Berichtigung, Löschung, Beschränkung der Verarbeitung oder Übermittlung personenbezogener Daten oder Einwände gegen die Verarbeitung personenbezogener Daten sowie Widerruf der Einwilligung) gemäß dem Verfahren zum Umgang mit den Rechten betroffener Personen um, wie in Anhang 1 dargelegt.

Auf Anfrage sind betroffene Personen unter bestimmten Umständen, wie von den europäischen Datenschutzvorschriften vorgeschrieben, berechtigt, die folgenden Rechte zu ersuchen:

• Auskunftsrecht, wonach die betroffene Person das Recht hat, eine Bestätigung darüber zu erhalten, ob personenbezogene Daten über ihre Person verarbeitet werden oder nicht; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und Informationen über diese Verarbeitung, die dieselben Elemente zu beinhalten hat, wie oben unter Regel 2A aufgeführt
• Recht auf Berichtigung, wonach die betroffene Person das Recht auf Berichtigung der personenbezogenen Daten hat, die unrichtig oder unvollständig sein könnten
• Recht auf Löschung oder „Recht auf Vergessenwerden“, wonach die betroffene Person das Recht hat, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft: (i) die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig; (ii) die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung; (iii) die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor; (iv) die personenbezogenen Daten wurden unrechtmäßig verarbeitet; (v) die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich; oder (vi) die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft an ein Kind erhoben
• Recht auf Einschränkung der Verarbeitung, wonach die betroffene Person das Recht hat, die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: (i) die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die erforderlich ist, um die Richtigkeit der personenbezogenen Daten zu überprüfen; (ii) die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten; (iii) der Datenverantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; oder (iv) die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Datenverantwortlichen gegenüber denen der betroffenen Person überwiegen
• Mitteilungspflicht gegenüber allen Empfängern, denen die personenbezogenen Daten offengelegt wurden, im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Die betroffene Person kann zudem verlangen, über diese Empfänger unterrichtet zu werden
• Recht auf Datenübertragbarkeit, wonach die betroffene Person das Recht hat, die sie betreffenden personenbezogenen Daten, die sie einem Datenverantwortlichen bereitgestellt hat, in einem strukturierten Format zu erhalten, und sie berechtigt ist, diese Daten einem anderen Datenverantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung beruht oder für die Erfüllung eines Vertrags erforderlich ist und die Verarbeitung mithilfe automatisierter Verfahren erfolgt
• Widerspruchsrecht, wonach die betroffene Person das Recht hat, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, die sich auf ein öffentliches oder berechtigtes Interesse stützt, einschließlich Profiling. Der Datenverantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht (in diesem Fall dürfen die personenbezogenen Daten nicht mehr für solche Zwecke verarbeitet werden)
• Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu sein, die eine rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder diese erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung (i) für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist; (2) gesetzlich zulässig ist; oder (iii) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. In den unter (i) und (iii) genannten Fällen implementiert der Datenverantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Datenverantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört
• Recht, die erteilte Einwilligung für eine spezifische Verarbeitung jederzeit zu widerrufen. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein

Darüber hinaus haben betroffene Personen das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzulegen, falls die jeweilige betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten die europäischen Datenschutzvorschriften verletzt.

Die Gruppenmitglieder befolgen beim Umgang mit derartigen Ersuchen die Schritte, die im Verfahren zum Umgang mit den Rechten betroffener Personen dargelegt sind (siehe Anhang 1).

REGEL 6 – GEWÄHRLEISTUNG EINES ANGEMESSENEN SCHUTZES BEI ÜBERMITTLUNGEN UND WEITERÜBERMITTLUNGEN

Regel 6 – Die Gruppenmitglieder übermitteln personenbezogene Daten nicht an Dritte außerhalb Europas, ohne für den angemessenen Schutz der personenbezogenen Daten gemäß den in dieser Richtlinie dargelegten Standards und den europäischen Datenschutzvorschriften Sorge zu tragen.

Übermittlungen und Weiterübermittlungen personenbezogener Daten von Gruppenmitgliedern, die den europäischen Datenschutzvorschriften unterliegen, an Dritte außerhalb Europas, sind nicht erlaubt, wenn keine angemessenen Maßnahmen gemäß den europäischen Datenschutzvorschriften ergriffen werden.

Zu diesen Maßnahmen zählen unter anderem:

• Bestätigung, dass der Dritte in einem Land ansässig ist, das nach Ansicht der Europäischen Kommission ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten bietet
• Unterzeichnung angemessener Standardvertragsklauseln, die von der Europäischen Kommission verabschiedet wurden, oder anderer Mechanismen, die denen im Rahmen der europäischen Datenschutzvorschriften weitgehend ähnlich sind
• Gewährleistung, dass die Übermittlung erforderlich ist: (i) für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem übermittelnden Gruppenmitglied oder zur Durchführung von vorvertraglichen Maßnahmen auf Ersuchen der betroffenen Person; (ii) zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Datenverantwortlichen mit einer anderen Partei geschlossenen Vertrags; (iii) aus wichtigen Gründen des öffentlichen Interesses; (iv) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; (v) zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen und die betroffene Person außerstande ist, ihre Einwilligung zu geben; oder (iv) die betroffene Person in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Sicherheitsmechanismen unterrichtet wurde

Diese Maßnahmen sind von Gruppenmitgliedern zu implementieren, wenn sie als Datenverantwortlicher oder Datenverarbeiter agieren. Allerdings und neben den oben dargelegten Bestimmungen übermitteln Gruppenmitglieder, die als Datenverarbeiter agieren, personenbezogene Daten außerhalb Europas nur entsprechend den Anweisungen des Datenverantwortlichen, wie in der jeweiligen Datenverarbeitungsvereinbarung festgelegt.

ABSCHNITT B: KONKRETE VERPFLICHTUNGEN

REGEL 7 – COMPLIANCE UND RECHENSCHAFTSPFLICHT

Regel 7A – Die Gruppenmitglieder sind verantwortlich für die Einhaltung dieser Richtlinie und in der Lage, die Einhaltung dieser Richtlinie nachzuweisen, sowie verfügen sie über geeignetes Personal und angemessene Unterstützung, um die Einhaltung der Datenschutzbestimmungen dieser Richtlinie im gesamten Geschäft zu gewährleisten.

Die Avature Group hat ein Team von Datenschutzexperten ernannt (mit einem Datenschutzbeauftragten der Gruppe als Teamleiter), das dafür verantwortlich ist, sicherzustellen und zu überwachen, dass alle Gruppenmitglieder diese Richtlinie auf tagtäglicher Basis strikt einhalten. Darüber hinaus verfügt die Avature Group über ein Risikoteam und ein Sicherheitsteam, die dem Datenschutzteam bei technischen Aspekten im Zusammenhang mit der Einhaltung der Datenschutzbestimmungen behilflich sind.

Der Datenschutzbeauftragte erhält zur Erfüllung seiner Aufgaben Unterstützung durch die oberste Führungsebene (an die er unmittelbar berichtet und darüber unterrichtet, falls bei der Wahrnehmung seiner Pflichten Fragen oder Probleme entstehen, wie nachstehend näher dargelegt) und hat folgende Verantwortlichkeiten:

1. Leitung des Datenschutzteams, einschließlich Koordinierung des Risikoteams und Sicherheitsteams bei technischen Aspekten im Zusammenhang mit der Einhaltung der Datenschutzbestimmungen
2. Implementierung/Unterrichtung über und Überwachung von Verfahren, Richtlinien und Problemen in Verbindung mit dem Datenschutz innerhalb der Avature Group, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung von Mitarbeitern, die an Verarbeitungsprozessen beteiligt sind, und der damit verbundenen Prüfungen
3. Eskalation von Problemen an das Senior-Management zur angemessenen Berücksichtigung entsprechend der annehmbaren gängigen Praxis
4. Kooperation und Koordination mit zuständigen Aufsichtsbehörden
5. Ansprechpartner für zuständige Aufsichtsbehörden und betroffene Personen bei Problemen oder Fragen in Verbindung mit der Verarbeitung personenbezogener Daten

Das Team der Datenschutzexperten unterstützt den Datenschutzbeauftragten bei der Einhaltung der oben genannten Verpflichtungen und insbesondere bei der Kontrolle und Steuerung der Einhaltung der Datenschutzbestimmungen auf tagtäglicher Basis (einschließlich der Bearbeitung von lokalen Beschwerden von betroffenen Personen, der Überwachung der Einhaltung von Unternehmensrichtlinien auf lokaler Ebene und der Meldung schwerwiegender Datenschutzprobleme an den Datenschutzbeauftragten).
Die Gruppenmitglieder stellen sicher, dass die Kontaktdaten des Datenschutzbeauftragten (oder des Datenschutzteams) stets gemeinsam mit der Richtlinie veröffentlicht werden.
Falls es aus Gründen der Komplexität und des Umfangs der spezifischen Aufgabe erforderlich sein sollte, wird das Datenschutzteam durch externe Berater unterstützt.

Regel 7B – Die Gruppenmitglieder implementieren geeignete technische und organisatorische Maßnahmen durch Technik und datenschutzfreundliche Voreinstellungen, um die praktische Einhaltung der Richtlinie zu ermöglichen und zu vereinfachen.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung implementieren die Gruppenmitglieder geeignete technische und organisatorische Maßnahmen, die den Datenschutzgrundsätzen wie Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß den europäischen Datenschutzvorschriften genügen. Die Gruppenmitglieder integrieren diese Maßnahmen in die Verarbeitung, wenn über die Mittel der Verarbeitung und den Zeitpunkt der Verarbeitung selbst entschieden wird, um den Schutz der verarbeiteten personenbezogenen Daten zu vereinfachen und dafür Sorge zu tragen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen spezifischen Zweck der Verarbeitung erforderlich sind.

Regel 7C – Die Gruppenmitglieder, die personenbezogene Daten verarbeiten, führen schriftliche Aufzeichnungen (darunter in elektronischer Form) über ihre Verarbeitungstätigkeiten und stellen diese Aufzeichnungen den zuständigen Aufsichtsbehörden auf Anfrage zur Verfügung.

Die Aufzeichnungen über die Datenverarbeitungsvorgänge, die von Gruppenmitgliedern geführt werden, die als Datenverantwortliche innerhalb der Avature Group agieren, beinhalten:

• den Namen und die Kontaktdaten des Gruppenmitglieds und gegebenenfalls des gemeinsamen Datenverantwortlichen, des Vertreters des Datenverantwortlichen und des Datenschutzbeauftragten
• die Zwecke, zu denen personenbezogene Daten verarbeitet werden
• eine Beschreibung der Kategorien betroffener Personen, über die personenbezogene Daten verarbeitet werden, und der verarbeiteten personenbezogenen Daten
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen
• Details über das Drittland bzw. die Drittländer, an das bzw. an die personenbezogene Daten übermittelt werden, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, und die Dokumentation geeigneter Schutzmechanismen, die implementiert wurden, um solche Datenübermittlungen zu legitimieren (sofern das Land nach den europäischen Datenschutzvorschriften für angemessen erklärt wurde)
• wenn möglich, den Zeitraum, über den personenbezogene Daten aufbewahrt werden
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die zum Schutz der personenbezogenen Daten ergriffen werden

Die Aufzeichnungen über die Datenverarbeitungsvorgänge, die von Gruppenmitgliedern in ihrer Funktion als Datenverarbeiter für ein Gruppenmitglied geführt werden, der als Datenverantwortlicher agiert, beinhalten:

• den Namen und die Kontaktdaten des Gruppenmitglieds und jeden Datenverantwortlichen, in dessen Auftrag der Datenverarbeiter agiert, und gegebenenfalls des Vertreters des Datenverantwortlichen oder des Datenverarbeiters und des Datenschutzbeauftragten
• die Verarbeitungskategorien, die im Auftrag eines jeden Datenverantwortlichen ausgeführt werden
• Details über das Drittland bzw. die Drittländer, an das bzw. an die personenbezogene Daten übermittelt werden, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, und die Dokumentation geeigneter Schutzmechanismen, die implementiert wurden, um solche Datenübermittlungen zu legitimieren (sofern das Land nach den europäischen Datenschutzvorschriften für angemessen erklärt wurde)
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die zum Schutz der personenbezogenen Daten ergriffen werden

Die Aufzeichnungen über die Datenverarbeitungsvorgänge sind von den Gruppenmitgliedern schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann, und werden den zuständigen Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.

REGEL 8 – SCHULUNGEN

Regel 8 – Die Gruppenmitglieder stellen Mitarbeitern mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten, die an der Verarbeitung personenbezogenen Daten oder an der Entwicklung von Tools zur Verarbeitung dieser personenbezogenen Daten beteiligt sind, angemessene Schulungen bereit.

Die Gruppenmitglieder stellen allen Mitarbeitern, insbesondere solchen mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten, bzw. Mitarbeitern, die an der Verarbeitung dieser personenbezogenen Daten oder an der Entwicklung von Tools zur Verarbeitung dieser personenbezogenen Daten beteiligt sind, angemessene und aktuelle Schulungen bereit. Diese Schulungen finden mindestens einmal jährlich statt und decken unter anderem Verfahren zur Bearbeitung von Zugriffsanfragen auf personenbezogene Daten von Behörden ab.

REGEL 9 – ÜBERPRÜFUNGEN

Regel 9 – Die Gruppenmitglieder halten das in Anhang 2 dargelegte Prüfprotokoll ein.

Die Gruppenmitglieder halten das Prüfprotokoll ein, indem sie regelmäßige interne Überprüfungen durchführen und bei Bedarf externe Überprüfungen entsprechend dem formalen Prüfungsprozess, wie im Prüfprotokoll festgelegt, ermöglichen. Das Ergebnis dieser Prüfungen wird gemäß Anhang 2 kommuniziert.

REGEL 10 – UMGANG MIT BESCHWERDEN

Regel 10 – Die Gruppenmitglieder halten das in Anhang 3 dargelegte Verfahren zur Bearbeitung von Beschwerden ein.

Die Gruppenmitglieder halten das in Anhang 3 dargelegte Verfahren zur Bearbeitung von Beschwerden ein, um Beschwerden von betroffenen Personen nachzugehen und die Verarbeitung von personenbezogenen Daten durch Gruppenmitglieder zu schützen. Die Gruppenmitglieder ermöglichen zudem die Ausübung von Rechten als Drittbegünstigter, wie in Abschnitt C dieser Richtlinie dargelegt.

REGEL 11 – ZUSAMMENARBEIT MIT AUFSICHTSBEHÖRDEN

Regel 11 – Die Gruppenmitglieder halten das in Anhang 4 dargelegte Verfahren zur Zusammenarbeit ein.

Die Gruppenmitglieder halten das Verfahren zur Zusammenarbeit ein, das in Anhang 4 dargelegt ist, und arbeiten mit den zuständigen Aufsichtsbehörden in Verbindung mit dieser Richtlinie zusammen, erklären sich damit einverstanden, von den zuständigen Aufsichtsbehörden, darunter auch sofern notwendig vor Ort, geprüft und kontrolliert zu werden, sowie deren Empfehlungen zu beachten und ihren Entscheidungen zu Sachverhalten in Verbindung mit dieser Richtlinie Folge zu leisten.

REGEL 12 – AKTUALISIERUNG DER REGELN

Regel 12 – Die Gruppenmitglieder halten das in Anhang 5 dargelegte Verfahren zur Aktualisierung ein.

Die Gruppenmitglieder halten das in Anhang 5 dargelegte Verfahren zur Aktualisierung ein und setzen die zuständigen Aufsichtsbehörden, die betroffenen Personen und gegebenenfalls die Gruppenmitglieder unverzüglich über sämtliche Aktualisierungen dieser Richtlinie und der Liste an Gruppenmitgliedern in Kenntnis.

REGEL 13 – MASSNAHMEN FÜR DEN FALL, DASS SICH NATIONALE RECHTSVORSCHRIFTEN AUF DIE EINHALTUNG DIESER RICHTLINIE AUSWIRKEN

Regel 13A – Die Gruppenmitglieder verpflichten sich dazu, diese Richtlinie nur dann als Instrument für Datenübermittlungen an Datenimporteure einzusetzen, wenn sie ordnungsgemäß geprüft haben, dass die Rechtsvorschriften und Verfahrensweisen des Bestimmungsdrittlands, die für die Verarbeitung personenbezogener Daten durch die Datenimporteure gelten, darunter jedwede Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die Behörden zum Zugriff auf diese Daten berechtigen, sie nicht daran hindern, ihre Pflichten im Rahmen dieser Richtlinie zu erfüllen.

Die Gruppenmitglieder nutzen diese Richtlinie nur dann als Instrument zum Schutz internationaler Datenübermittlungen, wenn sie geprüft haben, dass die Rechtsvorschriften und Verfahrensweisen der Bestimmungsdrittländer, die für die Verarbeitung personenbezogener Daten durch die importierenden Einrichtungen gelten, darunter jedwede Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die Behörden zum Zugriff auf diese Daten berechtigen, sie nicht daran hindern, ihre Pflichten im Rahmen dieser Richtlinie zu erfüllen. Dem liegt die Vorstellung zugrunde, dass Rechtsvorschriften und Verfahrensweisen, die den Wesensgehalt der Grundrechte und Grundfreiheiten wahren und nicht über das erforderliche Maß hinausgehen, das in einer demokratischen Gesellschaft notwendig und angemessen ist, nicht im Widerspruch zu dieser Richtlinie stehen.

Bei der Bewertung der Rechtsvorschriften und Verfahrensweisen der Drittländer, die die Einhaltung der in dieser Richtlinie enthaltenen Verpflichtungen betreffen können, haben die Gruppenmitglieder insbesondere Folgendes angemessen zu berücksichtigen:

1. die besonderen Umstände der Datenübermittlungen oder Reihe von Datenübermittlungen und beabsichtigter zukünftiger Datenübermittlungen innerhalb desselben Drittlandes oder an ein anderes Drittland, darunter:
   • die Zwecke, für die die Daten übermittelt und verarbeitet werden (z. B. Marketing, HR, Speicherung, IT-Support usw.)
   • die Arten von Einrichtungen, die an der Verarbeitung beteiligt sind (der Datenimporteur und jeder weitere Empfänger zukünftiger Datenübermittlungen)
   • die Branche, in die die Datenübermittlung oder Reihe von Datenübermittlungen erfolgt
   • die Kategorien und Formate der übermittelten personenbezogenen Daten
   • der Ort der Verarbeitung einschließlich Speicherung
   • die verwendeten Übermittlungskanäle
2. die relevanten Rechtsvorschriften und Verfahrensweisen der Bestimmungsdrittländer unter Berücksichtigung aller Umstände der Datenübermittlung, einschließlich der Umstände, die die Offenlegung von Daten an Behörden erfordern oder die diese Behörden zum Zugriff berechtigen, darunter Umstände, die einen Datenzugriff während des Transits zwischen den Ländern der Datenexporteure und den Ländern der Datenimporteure vorsehen, sowie die geltenden Beschränkungen und Schutzmechanismen
3. jedwede relevante vertragliche, technische oder organisatorische Schutzmechanismen, die eingerichtet wurden, um die Schutzmechanismen dieser Richtlinie zu ergänzen, darunter ergriffene Maßnahmen während der Übermittlung und der Verarbeitung der personenbezogenen Daten in den Bestimmungsländern
   Sollten neben den Schutzmechanismen im Rahmen dieser Richtlinie weitere Schutzmechanismen eingerichtet werden, sind das haftbare BCR-Mitglied und der Datenschutzbeauftragte darüber in Kenntnis zu setzen und in die Beurteilung einzubeziehen.

Diese Bewertung und die zusätzlichen ausgewählten und implementierten Maßnahmen sind von den Gruppenmitgliedern angemessen zu dokumentieren. Die Dokumentation ist der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Die Datenimporteure benachrichtigen unverzüglich die Datenexporteure, wenn sie bei der Verwendung dieser Richtlinie als Instrument zur Datenübermittlung und für die Dauer der Mitgliedschaft Gründe zu der Annahme haben, dass sie Rechtsvorschriften oder Verfahrensweisen unterliegen bzw. neuerdings unterliegen, die sie an der Erfüllung ihrer Pflichten im Rahmen dieser Richtlinie hindern würden; dies gilt auch infolge einer Gesetzesänderung oder einer Maßnahme in dem einschlägigen Drittland (wie eine Offenlegungsanforderung). Diese Information ist ebenfalls dem haftbaren BCR-Mitglied vorzulegen.

Nach der Prüfung dieser Mitteilung verpflichtet sich der entsprechende Datenexporteur zusammen mit dem haftbaren BCR-Mitglied und dem Datenschutzbeauftragten zur unverzüglichen Identifizierung zusätzlicher Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur bzw. vom Datenimporteur zu ergreifen sind, um es ihnen zu ermöglichen, ihren Verpflichtungen im Rahmen dieser Richtlinie nachzukommen. Dasselbe gilt, wenn ein Datenexporteur Gründe zu der Annahme hat, dass ein Datenimporteur seinen Verpflichtungen im Rahmen dieser Richtlinie nicht mehr nachkommen kann.

Kann die Richtlinie – selbst zusammen mit zusätzlichen Maßnahmen – nach Einschätzung des jeweiligen Datenexporteurs, die dieser zusammen mit dem haftbaren BCR-Mitglied und Datenschutzbeauftragten getroffen hat, bei einer Datenübermittlung oder einer Reihe von Datenübermittlungen, bzw. wie von der zuständigen Aufsichtsbehörde angewiesen, nicht eingehalten werden, verpflichtet sich der Datenexporteur die gefährdete Datenübermittlung oder Reihe von Datenübermittlungen sowie alle Datenübermittlungen, bei denen die gleiche Beurteilung und Begründung zu einem ähnlichen Ergebnis führen würde, auszusetzen, bis die Einhaltung der Richtlinie erneut sichergestellt werden kann oder die Datenübermittlung abgeschlossen ist.

Nach einer solchen Aussetzung muss der Datenexporteur die Datenübermittlung oder Reihe von Datenübermittlungen beenden, wenn diese Richtlinie nicht eingehalten werden kann und die Einhaltung dieser Richtlinie innerhalb einer einmonatigen Aussetzung nicht hergestellt wurde. In diesem Fall sollten personenbezogene Daten, die vor der Aussetzung übermittelt wurden, und sämtliche Kopien davon, auf Wahl des Datenexporteurs an diesen zurückgegeben oder vollständig vernichtet werden.

Das haftbare BCR-Mitglied und der Datenschutzbeauftragte setzen alle anderen Gruppenmitglieder über die durchgeführte Beurteilung und deren Ergebnisse in Kenntnis, sodass die identifizierten zusätzlichen Maßnahmen ergriffen werden, wenn gleichartige Datenübermittlungen von einem anderen Gruppenmitglied vorgenommen werden oder, falls keine effektiven zusätzlichen Maßnahmen eingerichtet werden konnten, die gefährdeten Datenübermittlungen ausgesetzt oder beendet werden.

Datenexporteure beobachten fortlaufend und gegebenenfalls in Zusammenarbeit mit den Datenimporteuren die Entwicklungen in den Drittländern, in die Datenexporteure personenbezogene Daten übermittelt haben, soweit sich diese auf die erste Bewertung des Schutzniveaus und die entsprechend getroffenen Entscheidungen bei diesen Datenübermittlungen auswirken könnten.

Regel 13B – Die Datenimporteure tragen dafür Sorge, dass sie in Fällen, in denen sie ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhalten, die gemäß der Richtlinie übermittelt wurden, oder sie davon Kenntnis erlangen, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß der Richtlinie übermittelt wurden, unverzüglich den Datenexporteur und, sofern möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) informieren.

Datenimporteure benachrichtigen unverzüglich den jeweiligen Datenexporteur und, wenn möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs), wenn sie:

• von einer Behörde ein nach den Rechtsvorschriften des Bestimmungslandes oder anderen Drittlandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhalten, die gemäß der Richtlinie übermittelt wurden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten)
• Kenntnis davon erlangen, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß der Richtlinie nach den Rechtsvorschriften des Bestimmungslandes übermittelt wurden (diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten)

Wenn es den Datenimporteuren untersagt ist, den Datenexporteur bzw. die betroffene Person zu benachrichtigen, bemühen sich die Datenimporteure nach besten Kräften um eine Aufhebung des Verbots, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können; dabei dokumentieren sie ihre Bemühungen, um diese dem Datenexporteur auf Anfrage nachweisen zu können.

Der Datenimporteur stellt dem Datenexporteur in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.). Ist oder wird es dem Datenimporteur ganz oder teilweise untersagt, dem Datenexporteur oben genannte Informationen bereitzustellen, hat der Datenimporteur den Datenexporteur darüber unverzüglich zu informieren.

Die Datenimporteure speichern die oben genannten Informationen, solange die Daten den Schutzmechanismen der Richtlinie unterliegen, und stellen sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

Die Datenimporteure überprüfen die Rechtmäßigkeit des Offenlegungsersuchens, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und fechten das Ersuchen an, wenn sie nach sorgfältiger Beurteilung zu dem Schluss kommen, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Der Datenimporteur legt unter denselben Bedingungen mögliche Rechtsmittel ein. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Die angeforderten personenbezogenen Daten sind von ihm erst offenzulegen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist.

Der Datenimporteur dokumentiert seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens, und stellt diese Unterlagen dem Datenexporteur zur Verfügung, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Der zuständigen Aufsichtsbehörde stellt er diese Unterlagen auf Anfrage ebenfalls zur Verfügung.

Der Datenimporteur stellt bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereit.
Die Gruppenmitglieder stellen in jedem Fall sicher, dass die Übermittlungen personenbezogener Daten im Rahmen dieser Richtlinie gegenüber einer Behörde nicht auf eine Weise übermäßig, unverhältnismäßig oder willkürlich sind, die über das notwendige Maß in einer demokratischen Gesellschaft hinausgehen würde.

Erfolgt die Verarbeitung von einem Gruppenmitglied, das im Rahmen dieser Richtlinie als Datenverarbeiter agiert, benachrichtigt dieses zudem unverzüglich das Gruppenmitglied, das als Datenverantwortlicher agiert.

REGEL 14 – NICHTEINHALTUNG DER RICHTLINIE UND BEENDIGUNG

Regel 14A – Die Gruppenmitglieder übermitteln personenbezogene Daten nur an andere Gruppenmitglieder, die wirksam an die Richtlinie gebunden sind und die Einhaltung der Vorschriften gewährleisten können.

Einem Gruppenmitglied dürfen personenbezogene Daten erst dann übermittelt werden, wenn dieses Gruppenmitglied wirksam an die Richtlinie gebunden ist und die Einhaltung der Vorschriften gewährleisten kann. Ist ein Datenimporteur, aus welchem Grund auch immer, außerstande, die Richtlinie einzuhalten, hat er den Datenexporteur unverzüglich darüber zu informieren. Sollte der Datenimporteur die Richtlinie verletzen oder außerstande sein, die Richtlinie einzuhalten, setzt der Datenexporteur die Übermittlung aus oder führt diese nicht aus.
Der Datenimporteur muss die personenbezogenen Daten, die im Rahmen der Richtlinie übermittelt wurden, nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig vernichten, wenn:

• der Datenexporteur die Datenübermittlung ausgesetzt hat und die Einhaltung dieser Richtlinie nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde
• der Datenimporteur die Richtlinie in erheblichem Umfang oder fortdauernd verletzt
• der Datenimporteur es versäumt, einen rechtskräftigen Beschluss eines zuständigen Gerichts oder einer Aufsichtsbehörde hinsichtlich seiner Pflichten im Rahmen der Richtlinie einzuhalten

Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur hat dem Datenexporteur die Löschung der Daten zu bestätigen. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur die Einhaltung dieser Richtlinie weiterhin sicher. Wenn es dem Datenimporteur gesetzlich verboten ist, die übermittelten personenbezogenen Daten zurückzugeben oder zu löschen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Richtlinie auch weiterhin gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies rechtlich erforderlich ist.

Regel 14B – Datenimporteure, die nicht mehr an die Richtlinie gebunden sind, stellen sicher, dass personenbezogene Daten, je nach Fall, angemessen aufbewahrt, zurückgegeben oder gelöscht werden.

Ein Datenimporteur, der nicht mehr an die Richtlinie gebunden ist, kann die im Rahmen dieser Richtlinie erhaltenen Daten aufbewahren, zurückgeben oder löschen. Vereinbaren der Datenexporteur und der Datenimporteur, dass die Daten vom Datenimporteur aufbewahrt werden können, ist ein ähnlicher Schutz aufrechtzuerhalten, wie in Kapitel V DSGVO gefordert.

ABSCHNITT C: RECHTE ALS DRITTBEGÜNSTIGTE

C.1 Betroffene Personen, deren personenbezogene Daten an einen Datenimporteur übermittelt werden, müssen bestimmte Rechte als Drittbegünstigte wahrnehmen können, um die Einhaltung von Folgendem durchzusetzen:

• Regel 1B und Regel 1C der Richtlinie (im Hinblick auf eine Verarbeitung nach Treu und Glauben, Rechtsmäßigkeit und die Verarbeitung besonderer Kategorien personenbezogener Daten)
• Regel 2 der Richtlinie (im Hinblick auf Transparenz und Zweckbindung)
• Regel 3 der Richtlinie (im Hinblick auf Datenminimierung und Datengenauigkeit sowie beschränkte Speicherungszeiträume)
• Regel 4 der Richtlinie (im Hinblick auf die Sicherheit der personenbezogenen Daten und Meldepflichten bei Datenschutzverletzungen)
• Regel 5 der Richtlinie (im Hinblick auf die Rechte der betroffenen Personen in Verbindung mit ihren personenbezogenen Daten)
• Regel 6 der Richtlinie (im Hinblick auf Übermittlungen und Weiterübermittlungen)
• Regel 10 der Richtlinie (im Hinblick auf die Bearbeitung von Beschwerden)
• Regel 11 der Richtlinie (im Hinblick auf die Zusammenarbeit mit Aufsichtsbehörden)
• Regel 12 der Richtlinie (im Hinblick auf das Aktualisierungsverfahren dieser Richtlinie)
• Regel 13 der Richtlinie (im Hinblick auf Maßnahmen für den Fall, dass sich nationale Rechtsvorschriften auf die Einhaltung dieser Richtlinie auswirken)
• die Bestimmungen unter C1 bis C3, die Rechte als Drittbegünstigte gewähren und die Haftungsbestimmungen und Zuständigkeitsvorschriften im Rahmen dieser Richtlinie festlegen
• das Zugriffsrecht auf die Richtlinie über www.avature.net/legal oder über die interne Wiki, die hier verfügbar ist, bzw. das Recht auf Erhalt eines Ausdrucks der Richtlinie sowie einer Liste der Gruppenmitglieder, die an diese Richtlinie gebunden sind, über das Online-Formular der Avature Group, das hier verfügbar ist https://www.avature.net/de/datenschutzbeauftragten-kontaktieren/

Durch:

• das Einreichen einer Beschwerde: betroffene Personen können bei einem Gruppenmitglied (gemäß dem in Anhang 3 dargelegten Verfahren zur Bearbeitung von Beschwerden) und bei der zuständigen Aufsichtsbehörde in dem Mitgliedsstaat, in dem die vermeintliche Verletzung stattgefunden hat, oder in dem die betroffene Person arbeitet oder sich gewöhnlich aufhält, Beschwerde einreichen
• Einleitung von Verfahren: betroffene Personen können Rechtsverfahren in einem Mitgliedsstaat einleiten, in dem das Gruppenmitglied eine Niederlassung unterhält, oder in dem Mitgliedsstaat, in dem sich die betroffene Person gewöhnlich aufhält

Diese Rechte erstrecken sich nicht auf Bestimmungen der Richtlinie, die interne Mechanismen betreffen, die bei den Gruppenmitgliedern implementiert wurden, wie Einzelheiten über Schulungen, Auditprogramme, das Compliance-Netzwerk und Mechanismen zur Aktualisierung der Richtlinie.

Darüber hinaus erklären sich die Gruppenmitglieder damit einverstanden, dass betroffene Personen gemäß Artikel 80(1) DSGVO von einer Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht vertreten werden können.

C.2 Betroffene Personen können zudem gegenüber dem haftbaren BCR-Mitglied Rechtsbehelfe einlegen, das vereinbart, die notwendigen Maßnahmen zu ergreifen, um eine Verletzung der in Unterabschnitt C.1 aufgeführten Bestimmungen durch einen Datenimporteur zu beheben, und entsprechend dem Beschluss eines Gerichts oder einer anderen zuständigen Behörde Schadensersatz von dem haftbaren BCR-Mitglied für sämtliche Schäden erhalten, ob materieller oder immaterieller Art, die den betroffenen Personen infolge einer Verletzung der in Absatz C.1 aufgeführten Bestimmung durch einen Datenimporteur entstanden sind.

C.3 Zur Klarstellung: Betroffenen Personen stehen die in diesem Abschnitt C dargelegten Rechte als Drittbegünstigte zu und die Gerichtsbarkeit liegt bei den europäischen Gerichten oder zuständigen Aufsichtsbehörden, als wäre die Verletzung der in diesem Abschnitt C dargelegten Bestimmungen oder einer beliebigen dieser Bestimmungen durch das haftbare BCR-Mitglied verursacht worden.

C.4 Für den Fall, dass ein Schadensersatzanspruch geltend gemacht wird, wonach eine betroffene Person einen Schaden erlitten hat und sofern diese betroffene Person nachweisen kann, dass der Schaden voraussichtlich aufgrund einer Verletzung dieser Richtlinie entstanden ist, haben die Gruppenmitglieder vereinbart, dass dem haftbaren BCR-Mitglied die Beweislast obliegt, aufzuzeigen, dass ein Datenimporteur nicht für die Verletzung verantwortlich ist und dass keine solche Verletzung stattgefunden hat.

TEIL III: ANHÄNGE

ANHANG 1

VERFAHREN FÜR DIE AUSÜBUNG DER RECHTE DER BETROFFENEN PERSONEN

Wenn ein Gruppenmitglied als Datenverantwortlicher für personenbezogene Daten agiert

1. Einleitung
   1. Verarbeitet ein Gruppenmitglied personenbezogene Daten für seine eigenen Zwecke, gilt dieses Gruppenmitglied als Datenverantwortlicher für diese Informationen und trägt demnach die Hauptverantwortung dafür, die Anforderungen des geltenden lokalen Rechts in Verbindung mit der Ausübung der Rechte der betroffenen Personen zu erfüllen.
   2. Alle betroffenen Personen, deren personenbezogene Daten im Rahmen der DSGVO und gemäß dieser Richtlinie verarbeitet werden, haben das Recht:
      • von dem jeweiligen Gruppenmitglied darüber informiert zu werden, ob das Gruppenmitglied personenbezogene Daten über sie verarbeitet, und falls das Gruppenmitglied ihre personenbezogenen Daten verarbeitet, haben sie das Recht, darauf zuzugreifen (dieses Recht ist als Auskunftsrecht bekannt)
      • auf Berichtigung, Löschung, Beschränkung der Verarbeitung, Übertragung bzw. das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen
   3. Darüber hinaus sind personenbezogene Daten, die an ein anderes Gruppenmitglied außerhalb Europas übermittelt werden, weiterhin mit oben unter Punkt 1.2 dargelegten Rechten verbunden, wobei diese Rechte gemäß den Bestimmungen dieses Verfahrens für die Ausübung der Rechte der betroffenen Personen (das „Verfahren“) und der Richtlinie zum Umgang mit den Rechten betroffener Personen von Avature bearbeitet werden.
   4. Dieses Verfahren erläutert, wie Gruppenmitglieder mit Anträgen in Verbindung mit personenbezogenen Daten umgehen, die in die Kategorien der obigen Abschnitte 1.2 und 1.3 fallen (in dieses Richtlinie als „Antrag auf Ausübung der Rechte“ bezeichnet). Weicht das geltende lokale Recht von diesem Verfahren ab und erfordert ein höheres Schutzniveau personenbezogener Daten, hat das lokale Datenschutzgesetz Vorrang.
   5. Informationen darüber, wie betroffene Personen die oben in Abschnitt 1.2 beschriebenen Rechte ausüben können, sind zudem in den Erklärungen zu einer nach Treu und Glauben erfolgenden Verarbeitung dargelegt, die den betroffenen Personen von den Gruppenmitgliedern bereitgestellt werden.
   6. Anträge von betroffenen Personen in Verbindung mit den oben unter Abschnitt 1.2 beschriebenen Rechten erfolgen vorzugsweise über das dafür vorgesehene Formular auf der Website, das hier verfügbar ist.
2. Rechte der betroffenen Personen
   1. Eine betroffene Person, die bei einem Gruppenmitglied einen Antrag auf Ausübung ihrer Rechte stellt, wenn dieses Gruppenmitglied ein Datenverantwortlicher für die ersuchten personenbezogenen Daten ist, hat das Recht:
      • darüber informiert zu werden, ob das Gruppenmitglied personenbezogene Daten über diese betroffene Person verarbeitet
      • eine Beschreibung zu erhalten über:
        1. den Zweck, für den die personenbezogenen Daten verarbeitet werden
        2. die Kategorien personenbezogener Daten, die verarbeitet werden
        3. die Empfänger oder Kategorien von Empfängern, an die personenbezogene Daten von dem Gruppenmitglied übermittelt wurden oder werden können
        4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder die Kriterien für die Festlegung dieser Dauer
        5. das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen diese Verarbeitung sowie eines Rechts, die Einwilligung zu widerrufen, oder eines Beschwerderechts bei einer Aufsichtsbehörde
        6. die Herkunft der personenbezogenen Daten und die Kategorien der betroffenen personenbezogenen Daten, wenn sie nicht von der betroffenen Person erhoben wurden
        7. die bestehenden Sicherheitsmechanismen, wenn personenbezogene Daten in ein Drittland übermittelt werden
        8. die involvierte Logik (sofern vom geltenden lokalen Recht erforderlich) sowie die Tragweite und die Folgen einer Entscheidungsfindung auf Grundlage einer automatisierten Verarbeitung, einschließlich Profiling
      • eine Kopie der personenbezogenen Daten zu erhalten, die von dem Gruppenmitglied gespeichert werden. Ergeht der Antrag auf elektronischem Wege, sind die Informationen auf elektronischem Wege bereitzustellen, sofern die betroffene Person, die den Antrag stellt, nichts anderes angibt
      • die Berichtigung, Löschung, Einschränkung der Verarbeitung und Übertragbarkeit ihrer personenbezogenen Daten zu verlangen
      • nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu sein, die eine rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder diese erheblich beeinträchtigt
      • gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen
3. Erhalt eines Antrags
   1. Wenn ein Gruppenmitglied, darunter ein nicht-europäisches Gruppenmitglied, einen Antrag von einer betroffenen Person hinsichtlich der oben in Abschnitt 1.2 beschriebenen Rechte erhält, ist dieser unverzüglich nach dessen Eingang unter Angabe des Eingangsdatums und gemeinsam mit weiteren Informationen, die dem Datenschutzbeauftragten dabei helfen können, den Antrag zu bearbeiten, an das Büro des Datenschutzbeauftragten weiterzuleiten. Der Datenschutzbeauftragte geht dem Antrag gemäß der Richtlinie zum Umgang mit den Rechten betroffener Personen von Avature nach.
   2. Hat der Datenschutzbeauftragte begründete Zweifel an der Identität der betroffenen Person, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person, die den Antrag gestellt hat, erforderlich sind.
   3. Der Datenschutzbeauftragte muss den Antrag auf Ausübung der Rechte unverzüglich und in jedem Fall innerhalb von einem (1) Kalendermonat nach dessen Eingang bearbeiten. Der Datenschutzbeauftragte kann diese Frist, sofern notwendig, unter Berücksichtigung der Komplexität und der Anzahl der Anträge um bis zu zwei (2) weitere Kalendermonate verlängern. Wird die Frist verlängert, unterrichtet der Datenschutzbeauftragte die betroffene Person innerhalb eines Monats nach Eingang des Antrags über die Fristverlängerung, zusammen mit den Gründen für die Verzögerung.
   4. Der Datenschutzbeauftragte bestätigt der betroffenen Person mittels schriftlicher Mitteilung den Erhalt des Antrags auf Ausübung der Rechte, ersucht gegebenenfalls eine Bestätigung der Identität oder weitere Informationen (z. B. Klärung der Verarbeitungsaktivitäten, auf die sich der Antrag bezieht) oder lehnt den Antrag gemäß nachstehendem Abschnitt 4 ab.
4. Ablehnung eines Antrags auf Ausübung der Rechte
   1. Ein Antrag auf Ausübung der Rechte kann mit der folgenden Begründung abgelehnt werden:
      • soweit der Antrag bei einem europäischen Gruppenmitglied gestellt wird und sich auf die Verarbeitung personenbezogener Daten durch dieses Gruppenmitglied bezieht, wenn:
        1. die Ablehnung mit dem Datenschutzrecht in dem Rechtssystem vereinbar ist, in der das Gruppenmitglied ansässig ist
        2. das Gruppenmitglied nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist
      • soweit der Antrag auf Ausübung der Rechte bei einem nicht-europäischen Gruppenmitglied gestellt wird und dieses außerstande ist, den Antrag gemäß Abschnitt 3 zu bearbeiten, lehnt das nicht-europäische Gruppenmitglied den Antrag nur dann ab, wenn die Gründe für eine solche Ablehnung mit dem Datenschutzrecht innerhalb des europäischen Rechtssystems vereinbar sind, aus dem die personenbezogenen Daten übermittelt wurden.
   2. Der Datenschutzbeauftragte informiert die betroffene Person binnen eines (1) Monats nach Eingang des Antrags über die Gründe für die Ablehnung des Antrags und über das Recht der betroffenen Person, sich bei einer Aufsichtsbehörde zu beschweren oder in Verbindung mit der Ablehnung Rechtsmittel einzulegen.
5. Antwort des Gruppenmitglieds
   1. Der Datenschutzbeauftragte durchsucht unter Befolgung der Schritte, die in der Richtlinie zum Umgang mit den Rechten betroffener Personen von Avature dargelegt sind, gemeinsam mit den verschiedenen Abteilungen des jeweiligen Geschäftsbereichs der Avature Group alle elektronischen und papiergestützten Ablagesysteme, die für den Antrag relevant sind.
   2. Der Datenschutzbeauftragte kann bei komplexen Fällen die Beratung externer Berater einholen, insbesondere dann, wenn der Antrag Informationen in Verbindung mit Dritten beinhaltet oder wenn die Weitergabe personenbezogener Daten die Wahrung von Geschäftsgeheimnissen oder Gerichtsverfahren nachteilig beeinflusst.
   3. Handelt es sich bei dem Antrag auf Ausübung der Rechte um einen Antrag auf Auskunft, werden die angefragten personenbezogenen Daten in einem leicht verständlichen Format zusammengestellt. Der Datenschutzbeauftragte verfasst ein Begleitschreiben, das die erforderlichen Informationen beinhaltet, die als Antwort auf den Antrag auf Ausübung der Rechte vorzulegen sind.
   4. Wenn sich der Antrag auf Ausübung der Rechte auf die Löschung, Berichtigung, Einschränkung der Verarbeitung oder Übertragbarkeit der personenbezogenen Daten bezieht oder es sich um einen Einspruch gegen die Verarbeitung handelt, wenn das Gruppenmitglied der Datenverantwortliche für diese personenbezogenen Daten ist, muss dieser Antrag vom Datenschutzbeauftragten angemessen berücksichtigt und bearbeitet werden. Insbesondere dann:
      • wenn der Antrag auf Ausübung der Rechte auf eine Änderung oder Unrichtigkeit der personenbezogenen Daten einer betroffenen Person hinweist, wenn das Gruppenmitglied der Datenverantwortliche für diese personenbezogenen Daten ist, müssen diese Daten entsprechend berichtigt oder aktualisiert werden, soweit sich das Gruppenmitglied vergewissert hat, dass hierfür eine Rechtsgrundlage besteht
      • wenn das Gruppenmitglied infolge eines Antrags auf Ausübung der Rechte personenbezogene Daten löscht, anonymisiert, aktualisiert, berichtigt oder die Verarbeitung personenbezogener Daten einschränkt, und zwar entweder in seiner Eigenschaft als Datenverantwortlicher oder auf Anweisung eines Gruppenmitglieds (das als Datenverantwortlicher agiert), wenn es gemäß Abschnitt 6 unten als Datenverarbeiter agiert, benachrichtigt das Gruppenmitglied andere Gruppenmitglieder oder Unterauftragsverarbeiter, mit denen personenbezogene Daten geteilt wurden, damit diese ihre Unterlagen ebenfalls aktualisieren können.
   5. Wenn es bei dem Antrag auf Ausübung der Rechte, der bei dem Gruppenmitglied gestellt wurde, das als Datenverantwortlicher agiert, darum geht, die personenbezogenen Daten dieser betroffenen Person gemäß den Bestimmungen des geltenden lokalen Rechts zu löschen, wird die Angelegenheit vom Datenschutzbeauftragten geprüft. Ist die von dem Gruppenmitglied vorgenommene Verarbeitung gesetzlich erforderlich oder zulässig, oder ist sie für die Ausübung des Rechts auf freie Meinungsäußerung und Information notwendig, wird der Antrag abgelehnt.
   6. Sämtliche Fragen bezüglich dieses Verfahrens sind an den Datenschutzbeauftragten zu adressieren.

Wenn ein Gruppenmitglied als ein Datenverarbeiter agiert

1. Anträge gegenüber dem Gruppenmitglied, wenn das Gruppenmitglied ein Datenverarbeiter ist
   1. Wenn ein Gruppenmitglied Informationen im Auftrag eines Datenverantwortlichen (d. h. eines anderen Gruppenmitglieds, dem es eine Dienstleistung erbringt) verarbeitet, gilt das vorgenannte Gruppenmitglied als ein Verarbeiter personenbezogener Daten und Letzteres trägt als Datenverantwortlicher die Hauptverantwortung dafür, die rechtlichen Anforderungen im Rahmen des geltenden lokalen Rechts einzuhalten. Dies bedeutet, dass wenn ein Gruppenmitglied als ein Datenverarbeiter agiert, das Gruppenmitglied, das als Datenverantwortlicher agiert, dafür verantwortlich bleibt, das geltende lokale Recht einzuhalten.
   2. Bestimmte Datenschutzpflichten werden auf die Gruppenmitglieder, die als Datenverarbeiter agieren, auf der Grundlage der vertraglichen Verpflichtungen, die mit Gruppenmitgliedern in ihrer Rolle als Datenverantwortliche abgeschlossen wurden, übertragen. Insbesondere muss das Gruppenmitglied, das als Datenverarbeiter agiert, den Anweisungen des Gruppenmitglieds, das als Datenverantwortlicher agiert, Folge leisten und sämtliche Maßnahmen ergreifen, die vernünftigerweise notwendig sind, um es dem Datenverantwortlichen zu ermöglichen, seiner Pflicht zur Wahrung der Rechte von betroffenen Personen nachzukommen. Das bedeutet, dass, wenn ein Gruppenmitglied einen Antrag von einer betroffenen Person zur Ausübung ihrer Rechte im Rahmen des geltenden lokalen Rechts in seiner Eigenschaft als Datenverarbeiter im Auftrag eines anderen Gruppenmitglieds erhält, es diesen Antrag unverzüglich an das jeweilige Gruppenmitglied weiterleiten muss, das als Datenverantwortlicher agiert, und diesen Antrag nicht beantworten darf, es sei denn, es wurde ausdrücklich dazu ermächtigt.
   3. Wird das Gruppenmitglied (das als Datenverarbeiter agiert) vom Kunden (der als Datenverantwortlicher agiert) gemäß Abschnitt 5.4 über einen Antrag auf Löschung, Berichtigung oder Einschränkung in Verbindung mit personenbezogenen Daten informiert, die von dem besagten Gruppenmitglied zuvor offengelegt wurden, hat das Gruppenmitglied (das als Datenverarbeiter agiert) seine Unterlagen entsprechend zu aktualisieren.

ANHANG 2

PRÜFPROTOKOLL

1. Hintergrund
   1. Die Gruppenmitglieder sind verpflichtet, ihre Einhaltung der Richtlinie zu überprüfen und dabei bestimmte Bedingungen einzuhalten. In diesem Dokument wird dargelegt, wie die Gruppenmitglieder diesen Anforderungen nachkommen.
   2. Die Rolle des Datenschutzbeauftragten und des Datenschutzteams von Avature besteht darin, Hilfestellung bei der Verarbeitung personenbezogener Daten entsprechend der Richtlinie zu bieten und die Verarbeitung personenbezogener Daten durch Gruppenmitglieder im täglichen Geschäft auf mögliche datenschutzbezogene Risiken zu prüfen. Die Verarbeitung personenbezogener Daten wird daher laufend detailliert überprüft und bewertet. Auch wenn dieses Prüfprotokoll das formelle Bewertungsverfahren darlegt, das von den Gruppenmitgliedern zur Gewährleistung der Einhaltung der Richtlinie eingeführt wurde, wie es von den zuständigen Aufsichtsbehörden verlangt wird, stellt dies nur eine Art und Weise dar, mit der die Gruppenmitglieder sicherstellen, dass die Bestimmungen der Richtlinie beachtet und bei Bedarf Abhilfemaßnahmen ergriffen werden.
2. Ansatz
   1. Überblick über die Überprüfung
      1. Die Einhaltung der Richtlinie wird auf täglicher Basis vom Datenschutzbeauftragten und dem Datenschutzteam überwacht.
      2. Die Stelle, die für die Durchführung der Überprüfung der Einhaltung der Richtlinie und die Gewährleistung, dass diese Überprüfungen alle Aspekte der Richtlinie abdecken, zuständig ist, kann je nach den spezifischen Umständen des entsprechenden Gruppenmitglieds variieren. In der Regel werden die Überprüfungen vom Datenschutzbeauftragten von Avature (der bei der Wahrnehmung seiner Pflichten in Verbindung mit diesen Überprüfungen garantiert unabhängig ist) sowie gegebenenfalls von internen oder externen Prüfern vorgenommen. Der jeweilige Prüfer ist dafür verantwortlich, sicherzustellen, dass etwaige Probleme oder Fälle, in denen die Richtlinie nicht eingehalten wird, dem Datenschutzbeauftragten zur Kenntnis gebracht und dass Abhilfemaßnahmen ergriffen werden, um zu gewährleisten, dass die Richtlinie innerhalb eines angemessenen Zeitraums eingehalten wird.
   2. Zeitpunkt und Umfang der Überprüfung
      1. Wie oben dargelegt, legt der Datenschutzbeauftragte den Zeitpunkt der Überprüfungen fest. Die Überprüfung der Richtlinie findet statt:
         • alle vierundzwanzig (24) Monate entsprechend den Prüfverfahren der Avature Group
         • häufiger, wenn dies vom Datenschutzbeauftragten verlangt bzw. als notwendig erachtet wird
      2. In diesem gleichen Sinne sind der Umfang und Geltungsbereich der durchzuführenden Überprüfung vom Datenschutzbeauftragten auf Grundlage einer risikobasierten Analyse unter Berücksichtigung einschlägiger Kriterien festzulegen. Dazu zählen zum Beispiel Bereiche, in denen bekanntermaßen eine Nichteinhaltung der Richtlinie vorliegt; Bereiche, die aktuell im Fokus von Aufsichtsbehörden liegen; Bereiche mit spezifischen oder neuen Risiken für das Geschäft; Bereiche mit geänderten Systemen oder Prozessen zum Schutz von Informationen; Bereiche mit vorangegangenen Prüfungsfeststellungen oder Beschwerden; der Zeitraum seit der letzten Überprüfung; die Art, die Methode und der Ort der verarbeiteten personenbezogenen Daten; einschlägige IT-Systeme, Anwendungen und Datenbanken; Weiterübermittlungen; und kollisionsrechtliche Probleme oder Probleme, die durch das Lieferantenmanagement entstehen.
   3. Prüfer
      1. Die Überprüfung der vorhandenen Verfahren und Kontrollen zur Umsetzung der in der Richtlinie eingegangenen Verpflichtungen erfolgt durch den Datenschutzbeauftragten und das Datenschutzteam sowie gegebenenfalls durch externe Prüfer. Werden Überprüfungen von externen Prüfer vorgenommen, müssen folgende Mindestbedingungen erfüllt sein:
         • Durchführung einer angemessenen Sorgfaltsprüfung vor Auswahl der Prüfer zur Gewährleistung, dass die entsprechenden Prüfer über die erforderlichen Qualifikationen und den erforderlichen Status verfügen, um diese Aufgabe zu unterstützen
         • Abschluss einer Vereinbarung mit diesen Prüfern, um die Bereitstellung ihrer Dienstleistungen gemäß den geltenden Vorschriften zu regeln
   4. Unabhängigkeit
      1. Personen, die dafür verantwortlich sind, über das Prüfprogramm zu entscheiden oder die Überprüfungen durchzuführen, sind bei der Wahrnehmung ihrer Pflichten garantiert unabhängig.
   5. Bericht
      1. Je nach Art der Überprüfung sind die Feststellungen dem Datenschutzbeauftragten, dem Chief Executive Officer von Avature, dem Vorstand des haftbaren BCR-Mitglieds und den verschiedenen Gruppenmitgliedern, bei denen die Überprüfung Datenverarbeitungsaktivitäten aufgedeckt hat, denen in Anbetracht der Ergebnisse der Überprüfung nachgegangen werden muss, nach Abschluss der Überprüfung zur Verfügung zu stellen. Der Prüfbericht enthält zudem Einzelheiten über etwaige erforderliche Abhilfemaßnahmen, Empfehlungen und Fristen für die Durchführung von Abhilfemaßnahmen. Das Ergebnis kann gegebenenfalls an den Vorstand der obersten Muttergesellschaft der Avature Group übermittelt werden.
      2. Die Gruppenmitglieder erklären sich damit einverstanden, die Ergebnisse einer Überprüfung der Richtlinie auf Anfrage einer zuständigen Aufsichtsbehörde in Kopie bereitzustellen, wobei die Aufsichtsbehörde bei Erhalt der Prüfungsergebnisse an ihre Verschwiegenheitspflicht im Rahmen der europäischen Datenschutzvorschriften erinnert wird.
      3. Die Zusammenarbeit mit den zuständigen Aufsichtsbehörden zwecks der Bereitstellung der oben dargelegten Informationen obliegt dem Datenschutzbeauftragten.

ANHANG 3

VERFAHREN ZUR BEARBEITUNG VON BESCHWERDEN

1. Einleitung
   1. Das Verfahren zur Bearbeitung von Beschwerden dient dazu, zu erläutern, wie Beschwerden zu bearbeiten sind, die von betroffenen Personen, deren personenbezogene Daten von Gruppenmitgliedern im Rahmen der Richtlinie verarbeitet werden, eingereicht werden.
2. Wie betroffene Personen Beschwerde einreichen können
   1. Sämtliche Beschwerden von betroffenen Personen im Rahmen der Richtlinie, unabhängig davon, ob ein Gruppenmitglied personenbezogene Daten für eigene Zwecke oder im Auftrag eines anderen Gruppenmitglieds erhebt bzw. nutzt, können schriftlich (auch per E-Mail) beim Datenschutzbeauftragten eingereicht werden. Der Datenschutzbeauftragte kann über das Online-Formular der Avature Group kontaktiert werden, das hier https://www.avature.net/de/datenschutzbeauftragten-kontaktieren/ verfügbar ist.
3. Wer bearbeitet Beschwerden?
   1. Sämtliche Beschwerden, die im Rahmen dieser Richtlinie in Verbindung mit der Verarbeitung personenbezogener Daten entstehen, werden vom Datenschutzbeauftragten mit Unterstützung des Datenschutzteams bearbeitet. Der Datenschutzbeauftragte arbeitet mit den entsprechenden Geschäftsbereichen zusammen, um der Beschwerde nachzugehen und koordiniert eine Antwort (die Informationen über die ergriffenen Maßnahmen für den Beschwerdeführer zu enthalten hat).
   2. In welcher Frist muss die Antwort erfolgen?
      • Der Datenschutzbeauftragte bestätigt der betroffenen Person, mit Unterstützung des Datenschutzteams, innerhalb von zehn (10) Arbeitstagen den Eingang der Beschwerde, untersucht die Beschwerde und legt binnen eines (1) Kalendermonats eine ausführliche Antwort vor. Falls aufgrund der Komplexität der Beschwerde oder des Vorhandenseins mehrerer Beschwerden innerhalb dieses Zeitraums keine ausführliche Antwort gegeben werden kann, unterrichtet der Datenschutzbeauftragte den Beschwerdeführer, mit Unterstützung des Datenschutzteams, binnen eines (1) Monats nach Eingang der Beschwerde über den Grund für die Verzögerung und legt eine angemessene Schätzung des Zeitrahmens vor (der zwei (2) weitere Kalendermonate nach dem Datum, an dem die betroffene Person über die Verlängerung benachrichtigt wurde, nicht überschreiten darf), innerhalb dessen eine Antwort vorgelegt wird.
      • Ist die Frist für die Antwort verstrichen und wird die Antwort auf die Beschwerde verzögert, ohne dass ein Grund mitgeteilt wird, kann die betroffene Person dem Datenschutzbeauftragten diesen Umstand melden; dieser erläutert unverzüglich und in jedem Fall innerhalb von zehn (10) Arbeitstagen die Gründe für diese Verzögerung und informiert die betroffene Person über die bislang erfolgten Maßnahmen. Die Angelegenheit wird an den Leiter der Rechtsabteilung von Avature weitergeleitet (zusammen mit einem begründeten Bericht, der die zu ergreifenden Maßnahmen festlegt), der den Fall prüft und dem Datenschutzbeauftragten nahelegt, wie die Probleme, die Gegenstand der Beschwerde sind, so schnell wie möglich und in jedem Fall innerhalb von zehn (10) Arbeitstagen zu beheben sind. Die betroffene Person ist in jedem Fall berechtigt, die im nachstehenden Absatz 3.4 dargelegten Rechte auszuüben.
   3. Wenn ein Beschwerdeführer eine Feststellung oder Ablehnung einer Beschwerde anfechtet
      • Wenn eine Beschwerde als gerechtfertigt betrachtet wird, ergreift der Datenschutzbeauftragte die erforderlichen Maßnahmen, um das von der betroffenen Person aufgeworfene Problem zu beheben und setzt diese darüber entsprechend in Kenntnis.
      • Wenn der Beschwerdeführer die Antwort des Datenschutzbeauftragten (auch wenn diese Antwort eine Weigerung ist, der Beschwerde nachzugehen) oder einen Aspekt einer Feststellung anfechtet, wird die Angelegenheit an den Leiter der Rechtsabteilung von Avature übertragen, der den Fall prüft und den Beschwerdeführer über seine Entscheidung informiert, die ursprüngliche Feststellung zu akzeptieren oder durch eine neue Feststellung zu ersetzen. Der Leiter der Rechtsabteilung von Avature antwortet dem Beschwerdeführer innerhalb von einem (1) Kalendermonat nach dem Zeitpunkt, an dem ihm der Fall übertragen wurde. Falls aufgrund der Komplexität der Beschwerde innerhalb dieses Zeitraums keine ausführliche Antwort gegeben werden kann, unterrichtet der Leiter der Rechtsabteilung von Avature den Beschwerdeführer innerhalb von einem (1) Monat nach dem Zeitpunkt, an dem ihm der Fall übertragen wurde, über den Grund für die Verzögerung und legt eine angemessene Schätzung des Zeitrahmens vor (der zwei (2) weitere Kalendermonate nicht überschreiten darf), innerhalb dessen eine Antwort vorgelegt wird. Falls der Beschwerde stattgegeben wird, veranlasst der Leiter der Rechtsabteilung von Avature sämtliche notwendigen Schritte, die in der Folge zu ergreifen sind.
   4. Betroffene Personen, deren personenbezogene Daten entsprechend den europäischen Datenschutzvorschriften verarbeitet werden, sind zudem berechtigt: (i) Beschwerde bei einer zuständigen Aufsichtsbehörde in dem Mitgliedsstaat einzureichen, in dem die vermeintliche Verletzung stattgefunden hat, oder in dem die betroffene Person arbeitet oder sich gewöhnlich aufhält; (ii) bzw. Beschwerde bei einem zuständigen Gericht einzureichen, das heißt, bei einem Gericht in dem europäischen Land, in dem das Gruppenmitglied ansässig ist, oder in dem europäischen Land, in dem die Person wohnhaft ist. Diese Rechte gelten unabhängig davon, ob die Person zuerst eine Beschwerde bei einem Gruppenmitglied eingereicht hat oder nicht.

ANHANG 4

VERFAHREN ZUR ZUSAMMENARBEIT

1. Einleitung
   1. Das vorliegende Verfahren zur Zusammenarbeit erläutert, auf welche Art und Weise die Gruppenmitglieder mit den zuständigen Aufsichtsbehörden in Verbindung mit dieser Richtlinie zusammenarbeiten, wie sie sich damit einverstanden erklären, von den zuständigen Aufsichtsbehörden, darunter auch sofern notwendig vor Ort, geprüft und kontrolliert zu werden, sowie deren Empfehlungen zu beachten und ihren Entscheidungen zu Sachverhalten in Verbindung mit dieser Richtlinie Folge zu leisten.
2. Verfahren zur Zusammenarbeit
   1. Soweit erforderlich stellen die Gruppenmitglieder das notwendige Personal für den Dialog mit einer Aufsichtsbehörde in Verbindung mit der Richtlinie zur Verfügung.
   2. Die Gruppenmitglieder prüfen und berücksichtigen aktiv:
      1. sämtliche Beschlüsse zuständiger Aufsichtsbehörden bzw. sämtliche datenschutzrechtliche Angelegenheiten, die sich auf die Richtlinie auswirken können
      2. die Ansichten des europäischen Datenschutzausschusses und jedwedes Nachfolgegremiums, wie in den veröffentlichten Hinweisen der EU zu verbindlichen internen Datenschutzvorschriften für Datenverantwortliche dargelegt
   3. Auf Anfragte stellt der Datenschutzbeauftragte einer zuständigen Aufsichtsbehörde die Ergebnisse einer Überprüfung der Richtlinie gemäß Anhang 2 in Kopie bereit, darunter auch sämtliche Informationen über die Verarbeitungsprozesse, die von der Richtlinie abgedeckt werden. Die Aufsichtsbehörde wird bei Erhalt dieser Informationen an ihre Verschwiegenheitspflicht im Rahmen der europäischen Datenschutzvorschriften erinnert.
   4. Die Gruppenmitglieder vereinbaren, dass Aufsichtsbehörden nach geltendem lokalen Recht Datenschutzprüfungen oder Datenschutzkontrollen, darunter gegebenenfalls auch vor Ort, dieses Gruppenmitglieds durchführen dürfen.
   5. Ist ein Gruppenmitglied in einem Zuständigkeitsbereich einer Aufsichtsbehörde in Europa ansässig, erkennen die Gruppenmitglieder an, dass dieses Gruppenmitglied nach dem geltenden Recht des Landes, in dem das Gruppenmitglied ansässig ist, von einer beliebigen Aufsichtsbehörde geprüft werden kann, um die Einhaltung dieser Richtlinie zu überprüfen.
   6. Alle Gruppenmitglieder erklären sich damit einverstanden, von den Aufsichtsbehörden entsprechend den anwendbaren Prüfverfahren dieser Aufsichtsbehörden geprüft zu werden.
   7. Die Gruppenmitglieder verständigen sich darauf, die Empfehlungen einer zuständigen Aufsichtsbehörde zu berücksichtigen und den formellen Entscheidungen einer zuständigen Aufsichtsbehörde in Verbindung mit der Auslegung und Anwendung dieser Richtlinie nachzukommen, unbeschadet des Rechts, gegen eine solche formelle Entscheidung Rechtsbehelfe einzulegen.
   8. Die Gruppenmitglieder vereinbaren, dass sämtliche Streitigkeiten in Verbindung mit der Ausübung der Aufsichtsbefugnis einer zuständigen Aufsichtsbehörde über diese Richtlinie, von den Gerichten des Mitgliedsstaats geklärt werden, in dem sich die Aufsichtsbehörde befindet, wobei das Verfahrensrecht des Mitgliedsstaats Anwendung findet.

ANHANG 5

AKTUALISIERUNGSVERFAHREN

1. Einleitung
   1. Das vorliegende Aktualisierungsverfahren legt die Art und Weise dar, in der das haftbare BCR-Mitglied den zuständigen Aufsichtsbehörden, Personen und den Gruppenmitgliedern, die an die Richtlinie gebunden sind, Änderungen der Richtlinie kommuniziert.
   2. Wesentliche Änderungen der Richtlinie
      1. Das haftbare BCR-Mitglied kommuniziert wesentliche Änderungen der Richtlinie (d. h. jedwede Modifizierungen mit möglichen nachteiligen Auswirkungen auf das von der Richtlinie gebotene Schutzniveau oder wesentlichen Auswirkungen auf die Richtlinie, z B. Änderungen an ihrem verbindlichen Charakter, usw.) unverzüglich der spanischen Datenschutzbehörde (die „federführende Aufsichtsbehörde der verbindlichen internen Datenschutzvorschriften“) und über die federführende Aufsichtsbehörde an weitere einschlägige Aufsichtsbehörden. Diese Mitteilung hat eine kurze Erläuterung der Gründe zu beinhalten, warum die Aktualisierung erfolgt ist. Die zuständige Aufsichtsbehörde beurteilt darüber hinaus, ob die Änderungen eine neue Genehmigung erfordern.
   3. Administrative Änderungen der Richtlinie
      1. Das haftbare BCR-Mitglied teilt der federführenden Aufsichtsbehörde und über die federführende Aufsichtsbehörde den anderen betroffenen Aufsichtsbehörden auf Anfrage bzw. mindestens einmal pro Jahr Änderungen an der Richtlinie (oder ausgebliebene Änderungen) mit. Diese jährliche Aktualisierung beinhaltet auch die erneute Bestätigung des haftbaren BCR-Mitglieds, dass ihm ausreichend Mittel vorliegen bzw. dass er angemessene Vorkehrungen getroffen hat, um den Schaden zu ersetzen, der aus einer Verletzung der Richtlinie entstanden ist.
      2. Beispiele für die vorstehend genannten möglichen Änderungen sind Änderungen administrativer Art (darunter Aktualisierungen der Liste der Gruppenmitglieder); Änderungen, die sich infolge einer Änderung der geltenden europäischen Datenschutzvorschriften ergeben haben; oder Änderungen infolge einer gesetzgeberischen Entscheidung, Gerichtsentscheidung oder aufsichtsrechtlichen Maßnahme. Das haftbare BCR-Mitglied legt der federführenden Aufsichtsbehörde und den anderen zuständigen Aufsichtsbehörden darüber hinaus kurz die Gründe für die mitgeteilten Änderungen der Richtlinie dar.
   4. Kommunikation und Protokollierung von Änderungen der Richtlinie
      1. Die Richtlinie beinhaltet ein Änderungsprotokoll, das das Datum von Überarbeitungen der Richtlinie und die Details etwaiger Überarbeitungen darlegt. Der Datenschutzbeauftragte führt (zusammen mit dem Datenschutzteam) eine aktuelle Liste mit Änderungen, die an der Richtlinie vorgenommen wurden, und stellt den Aufsichtsbehörden die notwendigen Informationen auf Anfrage zur Verfügung.
      2. Das haftbare BCR-Mitglied teilt alle Änderungen der Richtlinie, ob administrativer oder wesentlicher Art:
         • unverzüglich den Gruppenmitgliedern mit, die an die Richtlinie gebunden sind, und veröffentlicht eine aktualisierte Version dieser Richtlinie auf der Wiki-Website von Avature https://wiki.xcade.net/wiki/Policies,_Guidelines,_Agreements_%26_Certifications
         • auf systematische Weise den betroffenen Personen mit, denen die Richtlinie zugutekommt, wobei diese Inkenntnissetzung über die Avature-Website www.avature.net/legal erfolgt
         • den Aufsichtsbehörden auf Anfrage oder gegebenenfalls über die zuständigen Aufsichtsbehörden mit
      3. Der Datenschutzbeauftragte pflegt (zusammen mit dem Datenschutzteam) eine aktuelle Liste mit Änderungen, die an der Richtlinie vorgenommen wurden (einschließlich einer Kopie sämtlicher Versionen der Richtlinie), und die Liste der Gruppenmitglieder, die an die Richtlinie gebunden sind. Die Liste der Gruppenmitglieder und jedweder Änderungen der Richtlinie steht den betroffenen Personen, Kunden und zuständigen Aufsichtsbehörden auf Anfrage zur Verfügung und ist diesen zugänglich.
   5. Neue Gruppenmitglieder
      1. Der Datenschutzbeauftragte stellt (zusammen mit dem Datenschutzteam) sicher, dass alle neuen Gruppenmitglieder wirksam an die Richtlinie gebunden sind und die Richtlinie einhalten können, bevor eine Übermittlung personenbezogener Daten an Gruppenmitglieder durchgeführt wird.