DATENSCHUTZERKLÄRUNG

  1. Zweck

Die Erklärung zum Schutz der Privatsphäre und zum Datenschutz von Praxidia Group (die „Erklärung“) drückt das starke Engagement von Praxidia für die Einhaltung und den Schutz der Privatsphäre jeder Person, der Mitarbeiter und der Kunden aus. Alle Mitarbeiter des Unternehmens der Gruppe (das/die „Praxidia-Unternehmen“ oder „Praxidia“) müssen diese Erklärung befolgen.

2. Sicherer Hafen

Das US-Handelsministerium und die Europäische Kommission haben sich auf eine Reihe von Datenschutzprinzipien—und häufig gestellte Fragen—geeinigt, mit denen US-Unternehmen vom Europäischen Wirtschaftsraum („EWR“) in die Vereinigten Staaten übermittelte personenbezogene Daten in Übereinstimmung mit den Gesetzen der Europäischen Union schützen können (die „US-EU- Grundsätze des sicheren Hafens“).  Das US-Handelsministerium und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte haben sich auf ähnliche Grundsätze—und häufig gestellte Fragen—geeinigt, mit denen US-Unternehmen von der Schweiz in die Vereinigten Staaten übermittelte personenbezogene Daten in Übereinstimmung mit den schweizerischen Gesetzen schützen können (die „US-Schweizerischen-Grundsätze des sicheren Hafens“).

TPUSA, Inc. (US-Unternehmen von Praxidia) befolgt die US-EU- Grundsätze des sicheren Hafens und die US-Schweizerischen-Grundsätze des sicheren Hafens, wie sie vom US-Handelsministerium dargelegt werden.

Für weitere Informationen zum Safe Harbor-Programm konsultieren Sie bitte die Webseite des US-Handelsministeriums unter http://www.export.gov/safeharbor/.

3.  Ziel

Die in dieser Erklärung beinhalteten Datenschutzstandards und -anforderungen gelten für alle Praxidia-Unternehmen, die in der Verarbeitung, Sammlung, Aufbewahrung oder Übertragung von personenbezogenen Daten tätig sind, wobei sie als Datenverantwortlicher oder als Datenverarbeiter agieren.

Alle Praxidia-Unternehmen müssen in erster Linie ihren lokalen Gesetzen und Vorschriften entsprechen und bei einem Konflikt zwischen den lokalen Gesetzen und dieser Erklärung haben die lokalen Gesetze Vorrang.

4.  Definitionen

„Datenverantwortlicher“ ist das Unternehmen oder die Person, das/die die Zwecke, den Umfang, die Verwendung und die Mittel der Verarbeitung von personenbezogenen Daten bestimmt.

„Datensubjekt“ ist die natürliche Person, die die Daten besitzt, welche der Verarbeitung (als „Verarbeitung“ bezeichnet) unterzogen werden.

„Datenverarbeiter“ ist das Unternehmen oder die Person, das/die personenbezogene Daten im Namen des Datenverantwortlichen verarbeitet.

„Zustimmung des Datensubjekts“ bedeutet jede freie, unmissverständliche, spezifische und sachkundige Angabe seiner/ihrer Wünsche, mit der das Datensubjekt der Verarbeitung personenbezogener Daten in Bezug auf ihn/sie zustimmt.

„Zuvorkommendes Drittland“ bedeutet für die Zwecke der Übertragung von Daten außerhalb des EWRs jedes Land, das sich außerhalb des Europäischen Wirtschaftsraums (EWR) befindet, aber das einen angemessenen Schutzgrad bietet; die Liste dieser Länder ist unter folgendem Link verfügbar: http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

„Nicht-zuvorkommendes Land“ bedeutet für die Zwecke der Übertragung von Daten außerhalb des EWRs jedes Land, das sich nicht im EWR oder einem Land, das kein zuvorkommendes Drittland ist, befindet.

„Personenbezogene Daten“ bedeuten alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person (jede davon ist ein „Datensubjekt“); eine identifizierbare Person ist eine Person, die insbesondere durch Verweise auf eine Identifikationsnummer oder auf einen oder mehr Faktoren, die für ihre körperliche, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind, direkt oder indirekt identifiziert werden kann.

„Verarbeitung“ in Bezug auf Informationen oder Daten bedeutet das Sammeln, Aufzeichnen oder Halten von Informationen oder Daten, oder das Ausführen einer Operation oder einer Reihe von Operationen an den Informationen oder Daten durch automatische Mittel oder nicht, einschließlich die Organisation, Speicherung, Anpassung oder Änderung der Informationen oder Daten; die Abfrage, Konsultation oder Verwendung der Informationen oder Daten; die Weitergabe der Informationen oder Daten durch Übertragung, Verbreitung oder anderweitigen Verfügbarmachung; oder die Abstimmung, Kombination, Sperrung, Löschung oder Zerstörung der Informationen oder Daten.

5.  erarbeitung personenbezogener Daten

5.1.      Zweck der Verarbeitung personenbezogener Daten
Praxidia kann die Verarbeitung personenbezogener Daten ausführen, wenn sie für die folgenden anwendbaren Zwecke hinreichend angemessenen und relevant ist: 

1. Für Humankapital- und Personalverwaltungsprozesse, die die Einstellung, Mitarbeiterplanung, Schulungs- und Leistungsverwaltung, Vergütungen und Renten, Urlaubs- und Vorsorgeverwaltung, Gehaltsabrechnung, Mitarbeiterinformations- und Fähigkeitsmanagement, Mitarbeiterumfragen, Entlassungsgespräche und -abwicklung, und Gesundheit und Sicherheit umfassen können. In diesen Fällen handelt das Praxidia-Unternehmen als ein Datenverantwortlicher. 

2. Für personenbezogene Daten von Lieferanten und Verkäufern, Beitragszahlern, Kunden und Interessenten sowie Besuchern. In diesen Fällen handelt das Praxidia-Unternehmen ebenfalls als ein Datenverantwortlicher. 

3. Für die Ausführung von geschäftlichen Prozessen und Management-Prozessen, die alle Aktivitäten oder Dienste umfassen können, die vom Praxidia-Unternehmen im Namen des Kunden oder für ihn ausgeführt werden. In diesen Fällen handelt das Praxidia-Unternehmen als ein Datenverarbeiter.

5.2.      Einzuhaltende Regeln bei der Verarbeitung personenbezogener Daten
Jedes Praxidia-Unternehmen und seine Mitarbeiter, einschließlich seine Lieferanten, muss/müssen die folgenden Prinzipien bei der Verarbeitung personenbezogener Daten einhalten:

1. Personenbezogene Daten müssen angemessen und rechtmäßig verarbeitet werden.

2. Personenbezogene Daten müssen für einen oder mehrere bestimmte(n) und rechtliche(n) Zweck(e) eingeholt werden und dürfen nicht abweichend von diesen Zwecken verarbeitet werden. Eine weitere Verarbeitung der Daten für historische, statistische oder wissenschaftliche Zwecke gilt nicht als unvereinbar.

3. Die Sammlung von personenbezogenen Daten muss in Bezug auf die Zwecke, für die die Daten verarbeitet werden, adäquat bzw. relevant sein und darf nicht übermäßig sein.

4. Personenbezogene Daten müssen richtig sein und auf dem aktuellen Stand gehalten werden, derart, dass ein wahrheitsgetreues Bild der aktuellen Situation des Datensubjekts dargestellt wird.

5. Personenbezogene Daten dürfen nicht länger als notwendig aufbewahrt werden. Daten müssen gelöscht werden, wenn diese nicht länger für den Zweck, für den sie eingeholt oder aufgezeichnet wurden, notwendig oder relevant sind.

6. Entsprechende technische und organisatorische Maßnahmen müssen gegen die nicht autorisierte oder unrechtmäßige Verarbeitung personenbezogener Daten sowie gegen den unbeabsichtigten Verlust, die Zerstörung oder Beschädigung dieser Daten ergriffen werden.

7. Personenbezogene Daten dürfen nicht außerhalb des Landes, von dem sie stammen, übertragen werden, sofern diese Übertragung nicht Abschnitt 5 dieser Erklärung entspricht.

8. Die Sammlung von Daten durch betrügerische, unfaire oder unrechtmäßige Mittel ist verboten.

5.3.      Zusätzlich einzuhaltende Regeln, wenn Praxidia-Unternehmen als Datenverantwortlicher agieren
Praxidia-Unternehmen müssen, wenn sie als Datenverantwortliche agieren, den folgenden zusätzlichen Anforderungen gerecht werden: 

1. Die Verpflichtung zur Anmeldung oder Registrierung bei der entsprechenden Datenschutzbehörde, wenn dies von den jeweiligen lokalen Datenschutzgesetzen vorgesehen ist. 

2. Bevor personenbezogene Daten gesammelt, verarbeitet oder gespeichert werden, muss bei fehlenden anderweitigen gesetzlichen Bestimmungen die Zustimmung zur Verarbeitung von personenbezogenen Daten vom Datensubjekt eingeholt werden. Jedes Datensubjekt muss über den Zweck, für den personenbezogene Daten gesammelt, gespeichert oder verarbeitet werden, informiert werden.

3. Die Praxidia-Unternehmen müssen dem Datensubjekt die Identität und Adresse des Datenverantwortlichen oder ggf. seines Vertreters, die Zwecke der Verarbeitung, die Empfänger oder Empfängerkategorien der Daten, das Vorhandensein des Rechts auf Zugang zu den Daten und des Rechts auf Berichtigung, Löschung und Einwand der Daten betreffend ihn/sie bekannt geben.

4.  Internationale Übertragung von personenbezogenen Daten

6.  In diesem Abschnitt werden unterschiedliche Hypothesen der Übertragung von personenbezogenen Daten behandelt:

• a.Übertragung innerhalb des EWRs oder vom EWR in ein zuvorkommendes Drittland;

• b. Übertragung personenbezogener Daten vom EWR in ein nicht-zuvorkommendes Land;

• c. Grenzüberschreitende Übertragung (von einem Land, das nicht Teil des EWRs ist).

6.1.      Übertragung innerhalb des EWRs oder vom EWR in ein zuvorkommendes Drittland
Dieser Abschnitt beschreibt die Übertragung personenbezogener Daten, die von Praxidia im Namen eines Kunden im EWR verarbeitet werden, oder die Übertragung personenbezogener Daten vom Praxidia-Unternehmen als Datenverantwortlicher an eine Drittpartei im EWR, einschließlich der Übertragung an ein drittes Praxidia-Unternehmen. Ein Beispiel sind personenbezogene Daten eines Klienten (jeder davon ein Datensubjekt) eines von Praxidia (das als Datenverarbeiter agiert) bedienten Kunden (der als Datenverantwortlicher agiert) in Callcentern in Frankreich, Deutschland und Spanien. Personenbezogene Daten können in Spanien durch ein Praxidia-Unternehmen in Frankreich gesammelt und auf einem Server in Deutschland gespeichert werden. Die Übertragung von personenbezogenen Daten von Spanien nach Frankreich und nach Deutschland ist eine Übertragung von personenbezogenen Daten innerhalb des EWRs, da alle diese Länder Mitglieder des EWRs sind.
Die Zustimmung für die Übertragung seitens des Datensubjekts ist nicht erforderlich, wenn die Übertragung von personenbezogenen Daten (zwischen dem Datenverantwortlichen und dem Datenverarbeiter oder zwischen dem Datenverarbeiter im Namen des Datenverantwortlichen an einen dritten Datenverarbeiter) zwischen den EWR-Mitgliedsstaaten erfolgt.
Die Übertragung von personenbezogenen Daten (zwischen dem Datenverantwortlichen und dem Datenverarbeiter oder zwischen dem Datenverarbeiter im Namen des Datenverantwortlichen und einem dritten Datenverarbeiter) an ein zuvorkommendes Drittland ist erlaubt.  Die Liste der zuvorkommenden Drittländer ist unter dem folgenden Link verfügbar: http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm.  Die Übertragung von personenbezogenen Daten in die Vereinigten Staaten (USA) ist erlaubt, wenn die US-Unternehmen die (US-EU-) Grundsätze des sicheren Hafens befolgen.
6.2.      Übertragung personenbezogener Daten vom EWR in ein nicht-zuvorkommendes Land
Dieser Abschnitt beschreibt die Übertragung personenbezogener Daten, die von einem Praxidia-Unternehmen oder einem Dienstleister im Namen eines Praxidia-Unternehmens in einem nicht-zuvorkommenden Land verarbeitet werden, oder die Übertragung von personenbezogenen Daten von einem Praxidia-Unternehmen als Datenverantwortlicher an eine Drittpartei, einschließlich ein anderes Praxidia-Unternehmen, in einem nicht-zuvorkommenden Land. Ein Beispiel kann die Übertragung von personenbezogenen Daten durch ein Praxidia-Unternehmen in Frankreich an ein Praxidia-Unternehmen auf den Philippinen sein.  Ein anderes Beispiel kann ein Praxidia-Unternehmen umfassen, das von einem Dienstleister in Indien bedient wird.
In Fällen, in denen personenbezogene Daten von einem nicht-zuvorkommenden Land übertragen werden, gelten die folgenden Prinzipien:
a.          Beurteilung, ob das Zielland einen entsprechenden Schutzgrad für personenbezogene Daten unter Verwendung folgender Faktoren aufweist:
i.            Umfang, in dem Datenschutzgesetze umgesetzt werden;
ii.          Möglichkeiten zur Sicherstellung, dass Standards in der Praxis umgesetzt werden; und
iii.          Effiziente Verfahren für Personen zur Geltendmachung ihrer Rechte oder um bei Nichteinhaltungen Entschädigungen zu erhalten.
b.          Praxidia-Unternehmen müssen zumutbare Anstrengungen unternehmen, um die angemessenen Standardvertragsklauseln, die von der Europäischen Kommission erstellt werden und entsprechende Sicherheitsmaßnahmen in Bezug auf (i) den Datenschutz und (ii) die grundlegenden Rechte und Freiheiten von Personen und die Ausübung der grundlegenden Rechte bieten, ggf. nach Zustimmung der lokalen Datenschutzbehörde in ihren Handelsverträgen zu integrieren.
c.          Bestimmung, ob die Einholung der Zustimmung seitens des Datensubjekts für die Übertragung personenbezogener Daten erforderlich ist.
6.3.      Grenzüberschreitende Übertragung von personenbezogenen Daten
a. Jede Übertragung von personenbezogenen Daten von einem Land (das kein Mitglied des EWRs ist) in ein anderes Land muss in Übereinstimmung mit den lokalen Datenschutzgesetzen des Herkunftslands erfolgen.
i.            Die Anforderungen für die Verarbeitung personenbezogener Daten unter den jeweiligen lokalen Datenschutzgesetzen müssen festgestellt werden, wie die Registrierung oder Anmeldung bei der lokalen Datenschutzbehörde, die Einholung der Zustimmung vom Datensubjekt oder die Einhaltung spezifischer Sicherheitsbestimmungen.

ii.          Es muss bestimmt werden, ob das Empfängerland auch einen entsprechenden Schutzgrad für personenbezogene Daten bietet.
b.          Das Praxidia-Unternehmen muss bei der Verarbeitung personenbezogener Daten oder Informationen immer den in Abschnitt 4 dieses Dokuments dargelegten Prinzipien folgen. 
c.          In allen Fällen muss Praxidia sicherstellen, dass bei der Übertragung oder der Verarbeitung personenbezogener Daten ein entsprechender Sicherheits- und Schutzgrad gegeben ist. Es muss sichergestellt werden, dass die empfangende Einrichtung oder ein Drittparteianbieter den gleichen angemessenen Schutzgrad bietet.

7.  Aufbewahrung von Daten

Die Speicherung von personenbezogenen Daten durch Praxidia-Unternehmen muss in Übereinstimmung mit den folgenden Regeln erfolgen:
a.          Die vernünftige Zeitdauer, für die personenbezogene Daten gespeichert werden, muss periodisch überprüft werden;
b.          Diese Speicherung von Daten muss dem/den Zweck(en), für den/die sie gesammelt wurden, entsprechen, und die Daten dürfen nur solange aufbewahrt werden, bis der/die Zweck(e) erfüllt wurde(n);
c.          Alle personenbezogenen Daten müssen sicher gelöscht oder anonymisiert werden, wobei der Schutz vor unrechtmäßigem oder widerrechtlichem Zugang sicherzustellen ist;
d.          Gespeicherte personenbezogene Daten müssen präzise, archiviert und auf dem letzten Stand sein, und sie müssen sicher gelöscht werden, wenn sie veraltet sind. Das Datensubjekt ist dafür verantwortlich, Praxidia zu informieren, wenn seine/ihre personenbezogenen Daten fehlerhaft sind oder aktualisiert werden müssen. Praxidia übt jedenfalls wirtschaftlich angemessenen Anstrengungen aus, um seine Datenbank möglichst akkurat und aktuell zu halten.

Wenn das Praxidia-Unternehmen personenbezogene Daten mit seinen Tochtergesellschaften teilt, muss mit diesen Tochtergesellschaften vereinbart werden, was mit diesen personenbezogenen Daten zu tun ist, wenn die Notwendigkeit ihrer Weitergabe nicht länger gegeben ist.

8.  Informationssicherheit

a.          Praxidia-Unternehmen müssen sicherstellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen, diese weitergeben oder zerstören können, und dass diese Personen nur im Rahmen ihrer Befugnis in Bezug auf die personenbezogenen Daten handeln.  Ein System muss geschaffen werden, um (i) personenbezogene Daten vor unbeabsichtigtem Verlust, Änderung oder Zerstörung zu schützen, und um (ii) solche personenbezogenen Daten wiederherstellen zu können, damit Schäden oder Schwierigkeiten für die betroffenen Datensubjekte vermieden werden.
b.          Sicherheitsmaßnahmen für den Schutz personenbezogener Daten müssen vorhanden sein, die physische und umgebungsbezogene Sicherheitsvorrichtungen wie Anlagen-, Arbeitsplatz- und Integritätszugangskontrollen, Computersicherheit wie Sicherheitsgeräte und Verschlüsselung, Mitarbeitersicherheitsbewusstsein wie Neueinstellungen und jährliche Schulungen umfassen können. Jedes Praxidia-Unternehmen muss eine Risikobewertung durchführen und ist für die Organisation, die Richtlinien und Verfahren sowie Dokumentationserfordernisse verantwortlich.
c.          Sicherheitsanforderungen von lokalen Datenschutzgesetzen können je nach Land unterschiedlich sein und daher müssen die IT-Standards den lokalen und vertraglichen Bestimmungen entsprechen. Aus diesem Grund müssen sich Informationssicherheitsbeauftragte bzgl. der Sicherheit von personenbezogenen Daten stets auf anwendbare spezifische oder lokale Sicherheitsstandards beziehen und sich diesbezüglich auf dem Laufenden halten.
d.          Bei Verstößen hinsichtlich personenbezogenen Daten müssen die Praxidia-Unternehmen einen Nichteinhaltungsverwaltungsplan erstellen, der zumindest die folgenden Aspekte umfasst:
             i.            Eingrenzung der Nichteinhaltung und Besserung – Praxidia muss den Vorfall durch Anwendung eines Besserungsplans und ggf. Verfahren für die Schadensbegrenzung lösen.
             ii.           Risikobewertung – Praxidia muss die verbundenen Risiken bewerten, wie die negativen Auswirkungen für den Einzelnen, Schweregrad der Nichteinhaltung und Wiederholungsrisiko.
            iii.          Verstoßmeldung – Praxidia muss die betroffenen Personen, die entsprechende Datenschutzbehörde und andere jeweilige Parteien, wie ggf. die Polizei oder Banken, über den etwaigen Informationssicherheitsverstoß informieren.
            iv.          Prozessbewertung – Es muss eine Untersuchung zur Bestimmung der Ursache des Verstoßes und zur Bewertung der erfolgten Reaktion ausgeführt werden. Richtlinien und Verfahren müssen entsprechend behandelt werden.

9.  Kooperation mit Datenschutzbehörden

Alle Praxidia-Unternehmen und ihre Mitarbeiter haben die Pflicht, mit den jeweiligen lokalen Datenschutzbehörden zu kooperieren und auf alle ihre Anfragen und Ersuchen gewissenhaft und angemessen zu reagieren.  Derartige Ersuchen können eine Prüfungsuntersuchung oder ein Ersuchen zur Prüfung von Praxidia-Unternehmen, wenn dies notwendig scheint, und zur Übereinstimmung mit den Empfehlungen der Datenschutzbehörden in Bezug auf eine Angelegenheit hinsichtlich dieser Standards oder der Einhaltung von Datenschutzgesetzen umfassen.

10.  Sanktionen 

Jeder Mitarbeiter, der versucht hat, gegen diese Erklärung zu verstoßen, oder vorgeblich oder tatsächlich dagegen verstoßen hat, sei es aufgrund von Fahrlässigkeit oder vorsätzlichem Fehlverhalten, ist im eigenem Ermessen des Praxidia-Unternehmens und in Übereinstimmung mit den anwendbaren Gesetzen Gegenstand von Disziplinarmaßnahmen bis hin zur und einschließlich der Kündigung der Beschäftigung. 

Close Menu