1. Einleitung

Die Datenschutz-Erklärung (im Folgenden als „Erklärung“ bezeichnet) gilt für die ETAP-Gruppe (im Folgenden als „ETAP“, „Unternehmensgruppe“ oder „Organisation“ bezeichnet), d. h. für alle Mutter-, Schwester- und Tochtergesellschaften von ETAP NV, sowie aller ihrer Betriebsstätten.

Für die Durchführung der Aktivitäten des Unternehmens verarbeitet ETAP verschiedene Daten, sowohl kommerzielle als auch personenbezogene Daten. Diese Erklärung bezieht sich auf die Verarbeitung personenbezogener Daten durch ETAP. Verarbeitet werden die personenbezogenen Daten verschiedener Kategorien von identifizierbaren Personen wie Mitarbeitern, Kunden und Lieferanten, Nutzern der Website, Abonnenten, Geschäftsführern, Aktionären und andere Interessengruppen.

ETAP ist sich der Bedeutung des Schutzes personenbezogener Daten und der Anliegen seiner Mitarbeiter, seiner Kunden und deren Ansprechpartnern, seiner Lieferanten und deren Ansprechpartnern, sowie anderer Personen, mit denen das Unternehmen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in Kontakt steht, bewusst. ETAP berücksichtigt bei den verschiedenen Verarbeitungsvorgängen personenbezogener Daten stets sorgfältig deren Schutz.

Verschiedene Personen innerhalb der Organisation können während der Ausübung ihrer Tätigkeit Zugang zu den personenbezogenen Daten ihrer Mitarbeiter (der Begriff „Mitarbeiter“ umfasst alle Personen, die für ETAP arbeiten, einschließlich Managern, unabhängigen Dienstleistern und Beratern, Zeitarbeitnehmern, wie z. B. Leiharbeitnehmern, Praktikanten, Werkstudenten, Volontären, sowie Ex-Mitarbeitern) und anderer Personen (Kunden und Lieferanten) haben. Jede dieser Personen innerhalb von ETAP ist an diese Erklärung zum Schutz personenbezogener Daten gebunden.

Die geltenden Datenschutzvorschriften erlegen ETAP Verpflichtungen hinsichtlich der Art und Weise auf, wie Daten verarbeitet werden müssen. Darüber hinaus sehen die Vorschriften Rechte für die Personen vor, deren Daten verarbeitet werden, sodass sie mehr Kontrolle über ihre eigenen personenbezogenen Daten haben.

Diese Erklärung gibt einen Überblick über die allgemeinen Verpflichtungen nach den Datenschutzgesetzen, die die Organisation und deren Mitarbeiter einzuhalten haben. Die Einhaltung dieser Erklärung ist aus folgenden Gründen wichtig:

  • Die Einhaltung der Datenschutzvorschriften ist eine gesetzliche Verpflichtung, und die Nichteinhaltung dieser Pflichten kann zu Haftungsansprüchen, Sanktionen und Bußgeldern führen.
  • Die Einhaltung der Datenschutzvorschriften führt zu einer befriedigenderen und effizienteren Verarbeitung personenbezogener Daten.
  • Die Einhaltung der Datenschutzvorschriften ist die Grundlage für ein Vertrauensverhältnis zwischen ETAP und seinen Geschäftsbeziehungen, den Verbrauchern und seinen Mitarbeitern.

 

2. Geltungsbereich

Diese Erklärung gilt für ETAP, da die Organisation personenbezogene Daten verarbeitet. Sie enthält die Richtlinien, die bei jeder Verarbeitung personenbezogener Daten einzuhalten sind. Diese Verarbeitung erfolgt entweder ganz oder teilweise über automatisierte Prozesse, die Bestandteil eines strukturierten Ablagesystems sind oder sein werden.

Diese Erklärung ist so verfasst, dass sie sich auf einen für die Unternehmensgruppe geltenden einheitlichen Mindeststandard für den Schutz personenbezogener Daten bezieht. Diese Erklärung wird innerhalb der Unternehmensgruppe angewendet, sofern nicht andere zwingende Datenschutzvorschriften gelten, die strengere Verpflichtungen und Bedingungen enthalten.

 

3. Ansprechpartner für den Schutz personenbezogener Daten

Die Organisation hat einen Datenschutzbeauftragten bestimmt, der von einem Team unterstützt wird, um die Umsetzung und Einhaltung der Datenschutzgesetze und dieser Erklärung zu gewährleisten. 

Der Datenschutzbeauftragte kann per E-Mail unter katrien.verhaert@etaplighting.com oder telefonisch unter +32 3 310 02 07 kontaktiert werden.

Zur Ausübung Ihrer Rechte verweisen wir auf Artikel 8 dieser Erklärung.

 

4. Definitionen

Die geltenden Datenschutzvorschriften verwenden eine bestimmte Sprachform und beziehen sich auf einen abstrakten Sachverhalt. Nachstehend finden Sie einige Definitionen, die Ihnen ein besseres Verständnis der Terminologie und damit auch dieser Erklärung ermöglichen sollen.

a. Datenschutzvorschriften

Abhängig von der konkreten Anwendung, in der personenbezogene Daten verarbeitet werden, können unterschiedliche Rechtsvorschriften gelten.

Die grundlegenden Prinzipien und Verpflichtungen sind in der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG aufgeführt. Diese Verordnung wird auch als Datenschutzgrundverordnung (DSGVO) bezeichnet. Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ist in bestimmten Fällen anwendbar (z. B. Verarbeitung von Standortdaten; Verwendung von Cookies).

Neben den europäischen Vorschriften gelten auch spezifische nationale Datenschutzvorschriften, wie z.B. für Belgien das Gesetz vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten und das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation.

 

b. Personenbezogene Daten

Personenbezogene Daten betreffen alle Informationen über eine identifizierte oder identifizierbare natürliche Person, die auch als betroffene Person bezeichnet wird. Eine Person gilt als identifizierbar, wenn eine natürliche Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

 

c. Datenverantwortlicher

Der Datenverantwortliche ist eine natürliche oder juristische Person (z. B. ein Unternehmen), eine Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

So ist ETAP NV beispielsweise als Datenverantwortlicher eine juristische Person, die im Rahmen der Personalverwaltung für die Verarbeitung personenbezogener Daten ihrer Mitarbeiter zuständig ist.

 

d. Datenverarbeiter

Der Datenverarbeiter ist eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Namen und nur auf Weisung des Datenverantwortlichen verarbeitet.

 

e. Verarbeitung personenbezogener Daten

Verarbeitung personenbezogener Daten ist jeder, mit oder ohne Hilfe automatisierter Verfahren (z. B. Software), ausgeführte Vorgang oder jede Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten oder einer Sammlung personenbezogener Daten, wie das Erheben, das Aufnehmen, das Organisieren, das Strukturieren, das Speichern, das Anpassen oder das Ändern, das Auslesen, das Abfragen, das Verwenden, das Weitergeben durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung, die Sperrung, die Löschung oder die Vernichtung dieser Daten.

Als Beispiel für die Verarbeitung personenbezogener Daten wäre hier zu nennen, wenn die Organisation die Kontaktdaten der Ansprechpartner ihrer Kunden im Client-Relationship-Management-Softwaresystem der Organisation oder in einem Papierablagesystem erhebt und speichert.

 

f. Ablagesystem

Ein Ablagesystem ist eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird.

Dies umfasst sowohl elektronische strukturierte Ablagesysteme in Form von Software oder Cloud-Anwendungen als auch Akten- und Papierablagesysteme, sofern diese Ablagesysteme durch die Verbindung mit Personen logisch organisiert und strukturiert sind oder anhand von Kriterien mit Personen verknüpft sind.

5. Grundsätze für die Erhebung und Verarbeitung personenbezogener Daten

Neben der Verwendung einer bestimmten Sprache haben die Datenschutzvorschriften mehrere Grundprinzipien, die jeder Datenverantwortliche einzuhalten hat, um diese Vorschriften zu erfüllen. Im Falle von Zweifeln in Bezug auf die Anwendung dieser Grundsätze in einem konkreten Fall können Sie sich jederzeit an Katrien Verhaert, Rechtsbeistand der Organisation, wenden, um weitere Erläuterungen zu erhalten, und zwar gemäß dem in Artikel 8 dieser Erklärung beschriebenen Verfahren.

Die Datenschutzvorschriften sehen vor, dass personenbezogene Daten in Übereinstimmung mit den verschiedenen Grundprinzipien und den sich daraus ergebenden Bedingungen verarbeitet werden müssen.

 

a. Rechtmäßigkeit 

Die Datenschutzvorschriften sehen vor, dass personenbezogene Daten in Bezug auf die betroffene Person rechtmäßig und nach Treu und Glauben verarbeitet werden müssen.

Um personenbezogene Daten rechtmäßig verarbeiten zu können, muss eine gesetzliche Grundlage vorhanden sein. Grundsätzlich können personenbezogene Daten nur dann verarbeitet werden, wenn:

  • die betroffene Person ihre Einwilligung gegeben hat. Die Organisation unterrichtet die betroffene Person spätestens vor der Datenerhebung über den Zweck, für den die Einwilligung erforderlich ist, welche personenbezogenen Daten für die Verarbeitung erhoben werden, über das Recht auf Widerruf der Einwilligung, über die möglichen Folgen für die betroffene Person im Zusammenhang mit der automatisierten individuellen Entscheidungsfindung und dem Profiling sowie über die Übermittlung an Drittländer.
  • die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der die Organisation unterliegt.
  • die Verarbeitung erforderlich ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Organisation, die als Datenverantwortlicher fungiert, übertragen wurde.
  • die Verarbeitung zur Wahrung der berechtigten Interessen der Organisation als Datenverantwortlichem oder eines Dritten erforderlich ist, sofern nicht die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, diese Interessen überwiegen.

Wenn Sie der Organisation Ihre Einwilligung zu einem bestimmten Verarbeitungszweck gegeben haben, um Ihre Daten zu diesem Zweck zu verarbeiten, können Sie diese Einwilligung jederzeit widerrufen. Die Organisation wird dann die weitere Verarbeitung Ihrer Daten, für die Sie Ihre Einwilligung gegeben haben, einstellen und Sie über die möglichen Folgen Ihres Widerrufs der Einwilligung unterrichten. Wenn die Organisation Ihre persönlichen Daten für andere Zwecke verarbeitet und sich dabei auf andere Rechtsgrundlagen beruft, kann sie Ihre persönlichen Daten dennoch verarbeiten.

Die Organisation stellt sicher, dass sie sich bei der Verarbeitung personenbezogener Daten immer auf mindestens eine der oben genannten Rechtsgrundlagen bezieht. Wenn Sie Fragen zu den geltenden Rechtsgrundlagen haben, auf die sich die Organisation bezieht, können Sie sich jederzeit gemäß des in Artikel 8 dieser Erklärung vorgesehenen Verfahrens an den Datenschutzbeauftragten wenden.

Einige Kategorien personenbezogener Daten sind sensibler Natur, und die Datenschutzvorschriften enthalten auch eine strengere Regelung für diese besonderen Kategorien personenbezogener Daten (auch als ‚sensible personenbezogene Daten‘ bezeichnet). Dabei handelt es sich um Daten über die Rasse oder die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft sowie die Verarbeitung genetischer Daten und biometrischer Daten zur eindeutigen Identifizierung einer Person oder gesundheitsbezogene Daten oder Daten in Bezug auf das sexuelle Verhalten oder die sexuelle Orientierung einer Person. Eine besondere Kategorie bilden auch Daten über Straftaten oder strafrechtliche Verurteilungen.

Die Verarbeitung dieser sensiblen personenbezogenen Daten ist grundsätzlich verboten, es sei denn, die Organisation kann sich auf eine der Ausnahmen berufen. In einer bestimmten begrenzten Anzahl von Fällen muss die Organisation sensible personenbezogene Daten verarbeiten. In diesen Fällen wird die betroffene Person im Voraus unterrichtet. Für diese spezifischen Zwecke wird die Organisation die betroffene Person im Voraus detailliert über die bestimmten Zwecke und die Rechtsgrundlage der Verarbeitung unterrichten.  Für weitere Informationen über die Verarbeitung sensibler persönlicher Daten durch die Organisation können Sie sich jederzeit gemäß des in Artikel 8 dieser Erklärung beschriebenen Verfahrens an den Datenschutzbeauftragten wenden.

 

b. Fairness

Die Organisation stellt sicher, dass personenbezogene Daten wie folgt verarbeitet werden:

  • Für spezifische, ausdrückliche und rechtmäßige Zwecke, wobei diese nicht in einer Weise weiterverarbeitet werden dürfen, die mit den ursprünglichen Zwecken, für die die Daten erhoben wurden, unvereinbar ist. Die Organisation hat die Zwecke immer eindeutig zu kommunizieren, bevor sie mit der Verarbeitung beginnt.
  • Diese Verarbeitung beschränkt sich auf das, was für die Zwecke, für die die Daten erhoben wurden, erforderlich ist. Wenn möglich, wird die Organisation die Daten anonymisieren oder Pseudonyme verwenden, um die Auswirkungen für die betroffene Person so weit wie möglich zu begrenzen. Dies bedeutet, dass der Name oder die Kennung ersetzt wird, sodass es schwierig oder sogar unmöglich ist, eine Person zu identifizieren.
  • Zeitlich begrenzt und nur soweit für den bestimmten Zweck erforderlich.
  • Genau, wobei die Daten gegebenenfalls aktualisiert werden. Die Organisation ergreift alle angemessenen Maßnahmen zur Löschung oder Aktualisierung der personenbezogenen Daten, und zwar unter Berücksichtigung der Zwecke, für die sie verarbeitet werden.

 

c. Transparenz

Die Organisation verarbeitet personenbezogene Daten, die sie im Prinzip direkt von der betroffenen Person erhalten hat. Die Organisation, die die personenbezogenen Daten der betroffenen Person verarbeitet, unterrichtet die betroffenen Personen stets über folgende Punkte:

  • Identität und Kontaktdaten des Datenverantwortlichen;
  • falls ein Datenschutzbeauftragter bestimmt wurde, dessen Kontaktdaten;
  • Verarbeitungszwecke und Rechtsgrundlage;
  • wenn die Verarbeitung personenbezogener Daten durch ein berechtigtes Interesse begründet ist, eine Erläuterung dieses Interesses;
  • Kategorien von Empfängern der personenbezogenen Daten;
  • Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU) oder internationale Organisationen (inkl. der entsprechenden Grundlage für die Übermittlung);
  • Frist für die Speicherung personenbezogener Daten oder die Kriterien zur Festlegung der Frist;
  • Rechte der betroffenen Person (einschließlich des Rechts auf Widerruf der Einwilligung);
  • das Recht, bei der Aufsichtsbehörde Beschwerde einzureichen;
  • Erklärung, wenn die Übermittlung von personenbezogenen Daten eine vertragliche oder rechtliche Verpflichtung darstellt;
  • die Logik der automatisierten Entscheidungsprozesse und die möglichen rechtlichen Folgen für die betroffene Person;
  • Wenn die Organisation personenbezogene Daten von einem Dritten erhält, hat sie die betroffene Person über die Kategorien personenbezogener Daten eindeutig zu unterrichten, die sie von diesem Dritten erhalten hat, und wird diesen Dritten auch der betroffenen Person bekanntgeben.

     
    Wenn die betroffene Person bereits über alle Informationen verfügt, wird die Organisation die betroffene Person nicht unnötig über die Verarbeitung ihrer persönlichen Daten unterrichten.
     
    Wenn die Organisation personenbezogene Daten für andere Zwecke verarbeitet, die mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, nicht vereinbar sind (der neue Zweck nicht in der ursprünglichen Informationsnotiz beschrieben wird, und die betroffene Person nicht davon ausgehen kann, dass ihre personenbezogenen Daten ebenfalls für diesen neuen Zweck verarbeitet werden), so trifft die Organisation alle erforderlichen Maßnahmen, um diese personenbezogenen Daten rechtmäßig zu verarbeiten, und unterrichtet diesbezüglich die betroffene Person.
     
    Die Organisation kann die Informationen sowohl auf kollektiver als auch auf individueller Basis offenlegen und hat weiterhin sicherzustellen, dass diese in einfacher, verständlicher Sprache abgefasst sind.
    Spezifische Rechtsvorschriften können Ausnahmen enthalten oder zusätzliche Anforderungen festlegen, die die Organisation in Bezug auf die Bereitstellung von Informationen für die betroffenen Personen zu erfüllen hat. Diese zwingenden gesetzlichen Bestimmungen haben Vorrang vor dieser Erklärung.

 

d. Vertraulichkeit und Integrität

Das Unternehmen ergreift die erforderlichen technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten stets mit den entsprechenden Garantien erfolgt, sodass die Daten vor zufälligem Verlust und unrechtmäßiger Verarbeitung, Zerstörung oder Beschädigung geschützt sind. Die Organisation hat bei der Auswahl der geeigneten Sicherheitsmaßnahmen die Art, den Kontext, den Zweck und den Umfang der Verarbeitung, die möglichen Risiken bei der Verarbeitung der personenbezogenen Daten, die Kosten für die Durchführung der Maßnahmen und den Stand der Technik berücksichtigt.

Diese Maßnahmen gelten für den physischen Zugang zu personenbezogenen Daten, den Zugang zu den personenbezogenen Daten über Computer, Server, Netzwerke oder andere IT-Hardware- und Software-Anwendungen sowie Datenbanken. Zusätzlich zu den technischen und organisatorischen Maßnahmen sind die Mitarbeiter der Organisation, die bei der Ausübung ihrer Tätigkeit Zugang zu personenbezogenen Daten haben, an verschiedene Verpflichtungen gebunden, um die Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten, wie in Artikel 9 dieser Erklärung zusammengefasst.

Die Organisation organisiert Schulungen für die Mitarbeiter, die im Auftrag der Organisation bei der Ausübung ihrer Tätigkeit personenbezogene Daten verarbeiten. Die Mitarbeiter dürfen die personenbezogenen Daten nur auf Weisung der Organisation oder wenn das Gesetz dies verlangt, verarbeiten. Die Organisation hat auch Zugangsrechte einzuführen, sodass die Mitarbeiter nur Zugang zu den Daten haben, die sie zur Erfüllung ihrer Aufgaben benötigen. Die Mitarbeiter, die Zugang zu personenbezogenen Daten haben, unterzeichnen eine Vertraulichkeitsvereinbarung.

Die Organisation stellt sicher, dass die Dritten, die von der Organisation personenbezogene Daten erhalten, die geltenden Datenschutzvorschriften und diese Erklärung einhalten.

Eine allgemeine Zusammenfassung der technischen und organisatorischen Sicherheitsmaßnahmen, die die Unternehmensgruppe eingeführt hat, finden Sie in Artikel 13 dieser Erklärung.

 

6. Übermittlung personenbezogener Daten

In einigen Fällen kann die Organisation verpflichtet sein, Ihre persönlichen Daten sowohl innerhalb als auch außerhalb der Unternehmensgruppe an Dritte Empfänger zu übermitteln. In jedem Fall werden diese personenbezogenen Daten nur auf einer Need-to-know-Basis an diese Empfänger übermittelt, die die Verarbeitung für bestimmte Zwecke durchführen. Die Organisation hat bei der Übermittlung der Daten und in Bezug auf die Empfänger stets die erforderlichen Sicherheitsmaßnahmen zu beachten, um die Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten.

Die Übermittlung an Dritte kann mehrere Formen annehmen, die im Folgenden beschrieben werden.

 

a. Übermittlung innerhalb der Unternehmensgruppe der Organisation

Die Übermittlung von personenbezogenen Daten innerhalb der Unternehmensgruppe gilt als Übermittlung an Dritte. Somit darf diese Übermittlung nur dann erfolgen, wenn die Organisation die verschiedenen Grundsätze und Verpflichtungen der Datenschutzvorschriften eingehalten hat. Dies bedeutet unter anderem, dass die betroffene Person über die Übermittlung und den Grund für diese Übermittlung unterrichtet werden muss und dass sich die übermittelnde Organisation auf eine Rechtsgrundlage (Einwilligung der betroffenen Person, Erfüllung einer Vereinbarung, berechtigtes Interesse usw.) für diese Übermittlung berufen kann. Die Organisation hat auch die anderen in Artikel 5 dieser Erklärung zusammengefassten Grundsätze für diese zusätzliche Verarbeitung einzuhalten.

Bei der Weitergabe Ihrer personenbezogenen Daten an Unternehmen innerhalb der Unternehmensgruppe, die jedoch außerhalb des Europäischen Wirtschaftsraums (d.h. der Europäischen Union, Norwegens, Islands und Liechtensteins) ansässig sind, bietet die Unternehmensgruppe die entsprechenden Garantien, wie unter Punkt 6.c beschrieben.

 

b. Übermittlung an Datenverarbeiter

Die Organisation kann einen Dritten, einen Datenverarbeiter, damit beauftragen, personenbezogene Daten im Namen und nur auf Weisung der Organisation zu verarbeiten. Der Datenverarbeiter darf diese personenbezogenen Daten nicht für eigene Zwecke verarbeiten, die unabhängig von den Zwecken sind, für die die Organisation den Datenverarbeiter einsetzt.

Die Organisation kann sich dafür entscheiden, mit diesen Datenverarbeitern zusammenzuarbeiten, die auf Anfrage der Organisation Dienstleistungen für Reisebüros, Vermietungsdienste, medizinische und andere professionelle Beratungsdienste usw. erbringen.

Die Organisation darf nur dann Datenverarbeiter einsetzen und ihnen personenbezogene Daten zur Verfügung stellen, wenn mit den Datenverarbeitern Datenverarbeitungsvereinbarungen getroffen wurden, die den gesetzlichen Anforderungen entsprechen. Die DSGVO sieht u.a. vor, dass der Vertrag eine Klausel enthalten muss, die besagt, dass der Datenverarbeiter die personenbezogenen Daten nur auf Weisung der Organisation verarbeiten darf; dass der Datenverarbeiter der Organisation auf Anfrage Unterstützung gewähren muss; dass personenbezogene Daten vertraulich bleiben müssen usw.

Ein Teil dieser Datenverarbeitungsvereinbarung betrifft auch die Sicherheitsmaßnahmen, die der Datenverarbeiter vor der Verarbeitung der personenbezogenen Daten zu ergreifen hat und die dieser während der gesamten Dauer der Verarbeitung anzuwenden hat, um die Vertraulichkeit und Integrität der Daten zu gewährleisten.

Wenn die Organisation feststellt, dass ihre Datenverarbeiter die mit der Vereinbarung einhergehenden Verpflichtungen nicht erfüllt, hat sie die gebotenen Maßnahmen zu ergreifen.

Ein Standard-Datenverarbeitungsvereinbarung ist bei Katrien Verhaert, Rechtsbeistand der Organisation, erhältlich.

 

c. c. Übermittlung an Drittländer – außerhalb des Europäischen Wirtschaftsraums

Es ist auch möglich, dass die Organisation Ihre persönlichen Daten an Gesellschaften übermittelt, die ihren Sitz in Drittländern haben. Dabei handelt es sich um Länder außerhalb des Europäischen Wirtschaftsraums (d.h. der Europäischen Union, Norwegens, Islands und Liechtensteins).

Eine solche Übermittlung ist möglich, wenn das Land, in dem der Empfänger ansässig ist, ausreichende rechtliche Garantien zum Schutz Ihrer personenbezogenen Daten bietet und die Europäische Kommission diese als angemessen bewertet hat. In anderen Fällen hat die Organisation mit dem Empfänger einen Standardvertrag abgeschlossen, sodass ein gleichwertiger oder ähnlicher Schutz wie in Europa geboten wird.

In Fällen, in denen dies nicht erfolgt ist oder nicht erfolgen kann, kann die Organisation die personenbezogenen Daten der betroffenen Person stets weitergeben, wenn sie im Rahmen der Beziehung, die die betroffene Person mit der Organisation unterhält, die Einwilligung der betroffenen Person erhält. Um sicherzustellen, dass auch in diesen Fällen gegebenenfalls eine Übermittlung und damit eine Verarbeitung möglich ist, fragt die Organisation daher die betroffene Person, ob sie mit dieser gelegentlichen Übermittlung an Drittländer einverstanden ist.

Wenn weitere Informationen oder eine Kopie der Garantien für diese internationalen Übermittlungen gewünscht werden, kann stets das unter Artikel 8 beschriebene Verfahren befolgt werden.

 

7. Frist für die Speicherung personenbezogener Daten

Die Organisation darf personenbezogene Daten nicht länger speichern, als es für den bestimmten Zweck, für den die Daten erhoben wurden, erforderlich ist. Nach Ablauf der letzten Frist wird die Organisation die personenbezogenen Daten löschen oder anonymisieren. Die Organisation hat die Daten zu anonymisieren, wenn sie diese weiterhin für Statistiken verwenden möchte. Die Organisation kann die personenbezogenen Daten zu Schlichtungs-, Forschungs- oder Archivierungszwecken länger speichern.

 

8. Rights of individual data subjects

Data protection legislation provides for different rights for data subjects with respect to the processing of personal data so that the data subject can still exercise sufficient control over the processing of his or her personal data.

The organisation tries, via current policy, to already provide as much information as possible to the data subjects in order to be as transparent as possible with respect to the processing of personal data. This general policy must be read together with more specific information notes which give more explanations about the organisation’s specific processing purposes.

The organisation understands that the data subject may still have questions or desire additional clarifications with respect to the processing of his or her personal data. The organisation thus understands the importance of the rights and shall therefore comply with these rights, considering the legal limitations in the exercising of these rights. The different rights are described in detail below.

 

a. Rechte der betroffenen Personen

Die betroffene Person hat das Recht, von der Organisation eine Bestätigung darüber zu erhalten, ob ihre persönlichen Daten verarbeitet werden oder nicht. Wenn ihre Daten verarbeitet werden, kann die betroffene Person das Recht auf Einsichtnahme in ihre personenbezogenen Daten beantragen.

Die Organisation unterrichtet die betroffene Person über folgende Punkte:

  • die Verarbeitungszwecke;
  • die betreffenden Kategorien personenbezogener Daten;
  • die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten übermittelt werden;
  • Übermittlung an Empfänger in Drittländern oder internationalen Organisationen;
  • wenn möglich, den Zeitraum, in dem die personenbezogenen Daten voraussichtlich gespeichert werden, oder, falls dies nicht möglich sein sollte, die Kriterien, die zur Bestimmung dieses Zeitraums herangezogen werden;
  • dass die betroffene Person das Recht hat, von der Organisation die Berichtigung oder Löschung personenbezogener Daten zu verlangen oder die Verarbeitung ihrer personenbezogenen Daten einzuschränken, sowie das Recht, gegen diese Verarbeitung Einspruch zu erheben;
  • dass die betroffene Person das Recht hat, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Quelle der Daten;
  • das Vorhandensein automatisierter Entscheidungsfindung, einschließlich Profiling, und aussagekräftige Informationen über die damit verbundene Logik, sowie die Bedeutung und die vorgesehenen Folgen einer solchen Verarbeitung für die betroffene Person.

Die Organisation hat außerdem eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen. Für weitere Kopien, die von der betroffenen Person angefordert werden, kann der Datenverantwortliche eine angemessene Gebühr erheben.

 

b. Recht auf Berichtigung

Sollte die betroffene Person feststellen, dass die Organisation unrichtige oder unvollständige Daten über sie besitzt, hat sie stets das Recht, die Organisation über diese Tatsache zu informieren, damit geeignete Maßnahmen zur Berichtigung oder Ergänzung dieser Daten ergriffen werden können. Es liegt in der Verantwortung der betroffenen Person, der Organisation korrekte personenbezogene Daten zur Verfügung zu stellen.

 

c. Recht auf Vergessenwerden

Die betroffene Person kann die Löschung ihrer personenbezogenen Daten verlangen, wenn die Verarbeitung nicht in Übereinstimmung mit den Datenschutzvorschriften und innerhalb des gesetzlichen Rahmens erfolgt (Artikel 17 DSGVO).

 

d. Recht auf Einschränkung der Verarbeitung

Die betroffene Person kann eine Einschränkung der Verarbeitung verlangen, wenn:

  • die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Datenverantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt;
  • die Organisation die Daten nicht länger benötigt, die betroffene Person jedoch verlangt, dass diese nicht entfernt werden, da sie die Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;
  • die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Datenverantwortlichen gegenüber denen der betroffenen Person überwiegen.

 

e. Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie der Organisation bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die betroffene Person hat das Recht, dass diese personenbezogenen Daten an einen anderen Datenverantwortlichen (direkt von der Organisation) übermittelt werden. Dies ist möglich, wenn die betroffene Person in die Verarbeitung eingewilligt hat und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

 

f. Widerspruchsrecht

Wenn personenbezogene Daten zu Direktmarketingzwecken (einschließlich Profiling) verarbeitet werden, kann die betroffene Person gegen diese Verarbeitung jederzeit Widerspruch einlegen.

Die betroffene Person kann auch aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einlegen. Die Organisation verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

g. Automatisierte Entscheidungsfindung im Einzelfall

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie z. B. die Bewertung persönlicher Aspekte im Hinblick auf die Arbeitsleistung, Zuverlässigkeit, Kreditwürdigkeit usw.

Dieses Recht, einer solchen automatisierten Entscheidungsfindung nicht unterworfen zu werden, besteht nicht, wenn die Entscheidung durch eine zwingende gesetzliche Bestimmung zulässig ist.

Die betroffene Person kann sich auch nicht auf dieses Recht berufen, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und der Organisation erforderlich ist oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. In den beiden letztgenannten Fällen hat die betroffene Person das Recht auf Erwirkung des Eingreifens einer Person seitens der Organisation, auf Darlegung des eigenen Standpunkts und auf Anfechtung des automatisierten Entscheidungsprozesses.

 

h. Recht auf Widerruf der Einwilligung

Wenn Sie der Organisation Ihre Einwilligung zu einem bestimmten Verarbeitungszweck zur Verarbeitung Ihrer Daten gegeben haben, können Sie diese Einwilligung jederzeit per E-Mail widerrufen.

 

i. Verfahren zur Ausübung der Rechte und sonstige Bestimmungen

Die betroffene Person kann ihre Rechte ausüben, indem sie eine E-Mail an Katrien Verhaert, Rechtsbeistand des Unternehmens, (katrien.verhaert@etaplighting.com) sendet oder diese unter folgender Telefonnummer kontaktiert: +32 3 310 02 07. Die Organisation kann die betroffene Person bitten, sich zu identifizieren, um sicherzustellen, dass es sich tatsächlich um die betroffene Person handelt, die die Ausübung ihrer Rechte wahrzunehmen wünscht.

Sollten Sie Fragen zur Anwendung der Grundsätze oder zu den (gesetzlichen) Verpflichtungen der Organisation haben, dann können Sie sich jederzeit an Katrien Verhaert wenden (per E-Mail unter katrien.verhaert@etaplighting.com oder telefonisch unter der Nummer +32 3 310 02 07).

Grundsätzlich muss die Organisation innerhalb eines Monats auf den Antrag der betroffenen Person antworten. Ist dies nicht der Fall, dann hat die Organisation der betroffenen Person mitzuteilen, warum der Antrag nicht oder nicht rechtzeitig beantwortet wurde. Die Organisation hat die erforderlichen Maßnahmen zu ergreifen, um die Empfänger der personenbezogenen Daten der betroffenen Person über die Ausübung des Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung durch die betroffene Person zu unterrichten.

 

9. Verantwortlichkeiten der Mitarbeiter

Die Organisation erwartet von ihren Mitarbeitern, dass sie diese Erklärung einhalten, und stellt sicher, dass Personen, für die sie verantwortlich ist, diese Erklärung einhalten.

 Es ist von entscheidender Bedeutung, dass die Mitarbeiter die Ziele dieser Erklärung verstehen und sich mit ihr vertraut machen, um die in dieser Erklärung enthaltenen Bestimmungen einhalten zu können. Die Mitarbeiter sind demnach verpflichtet:

  • die personenbezogenen Daten von Mitarbeitern, Kunden usw. regelmäßig und ordnungsgemäß in Übereinstimmung mit der geltenden Rechtsvorschriften, den Weisungen des Arbeitgebers und der Datenschutzpolitik des Unternehmens sowie dort, wo personenbezogene Daten vertraulich und unter Berücksichtigung ihrer Integrität verarbeitet werden, zu verarbeiten;
  • ihren Vorgesetzten oder den Datenschutzbeauftragten um Rat zu fragen, wenn sie bei der Ausübung ihrer Tätigkeit Zweifel an der Anwendung dieser Erklärung oder der Einhaltung der Datenschutzvorschriften haben;
  • personenbezogene Daten nur dann zu verarbeiten, wenn dies für die Erfüllung der Aufgaben / auf Weisung der Organisation erforderlich ist;
  • in Bezug auf die vertrauliche Verarbeitung personenbezogener Daten und die allgemeinen Grundsätze und Verpflichtungen, die sich aus den Datenschutzgesetzen ergeben, an Schulungen teilzunehmen;
  • den Datenschutzbeauftragten zu unterstützen;
  • keine Kopien von personenbezogenen Daten auf ihrem Desktop oder auf ihrem persönlichen tragbaren Speicher zu speichern, wenn die Organisation über eine zentrale und sichere Speicherung verfügt, da die Speicherung eigener Dateien oder Kopien zu falschen personenbezogenen Daten und einem höheren Risiko von Verstößen führen kann.
  • den Datenschutzbeauftragten unverzüglich zu informieren, wenn sie einen möglichen oder tatsächlichen Verstoß gegen personenbezogene Daten oder die Rechtsvorschriften personenbezogener Daten feststellt.

 

10. Einhaltung

Alle zur Unternehmensgruppe gehörenden Unternehmen stellen sicher, dass diese Erklärung eingehalten wird. Jede Person, die Zugang zu den von der Organisation verarbeiteten personenbezogenen Daten hat, hat diese Erklärung einzuhalten. Die Nichteinhaltung dieser Erklärung kann zu Disziplinarmaßnahmen/Sanktionen wie Verwarnung, Entlassung oder anderen gesetzlich zulässigen Sanktionen führen, unbeschadet des Rechts, ein Zivil- oder Strafverfahren einzuleiten.

 

11. Audit und Überprüfung

Die Organisation behält sich das Recht vor, diese Erklärung anzupassen und zu überprüfen, wenn sie dies für notwendig halten sollte, um mit den gesetzlichen Verpflichtungen und/oder Empfehlungen der zuständigen Aufsichtsbehörde für den Datenschutz kohärent zu bleiben.

Die Organisation informiert den Datenschutzbeauftragten, wenn es ihr aufgrund zwingender gesetzlicher Bestimmungen, die der Organisation auferlegt werden, nicht möglich sein sollte, diese Erklärung einzuhalten.

 

12. Inkrafttreten

Diese Erklärung gilt ab dem 25. Mai 2018.

 

13. Technische und organisatorische Sicherheitsmaßnahmen

Organisatorische Maßnahmen

  • Sicherheitsrichtlinie
  • Sensibilisierung der Mitarbeiter durch Information und Schulung
  • Verfahren zur Meldung von physischen/technischen Zwischenfällen (im Jahr 2018)
  • Disziplinarische Konsequenzen bei Nichteinhaltung einer der Maßnahmen

Technische Maßnahmen

  • Backup-System
  • Maßnahmen nach Brand, Einbruch oder Wasserschaden oder physischen/technischen Zwischenfällen
  • Zugangskontrolle (physisch und logisch)
  • Passwort Erklärung
  • Benutzer-ID Erklärung
  • Anmeldesystem, Zugriffserkennung und Analyse
  • Patching
  • Antivirus
  • Firewall
  • Netzwerksicherheit
  • Überwachung, Inspektion und Wartung der Systeme
  • Verschlüsselung von personenbezogenen Daten
  • Pseudonymisierung von personenbezogenen Daten