Privacy Policy 2018-08-09T20:05:21+00:00

Datenschutzrichtlinie der Trévo LLC

Letzte Aktualisierung: 1. Juni 2018

Ziel der Datenschutzrichtlinie

  1. Im Rahmen ihrer sozialen Verantwortung verpflichtet sich die Trévo LLC. zur internationalen Einhaltung der Datenschutzgesetze. Diese Datenschutzrichtlinie gilt weltweit für alle Unternehmen von Trévo und basiert auf weltweit anerkannten Grundprinzipien zum Datenschutz. Die Datenschutzrichtlinie bietet eine der notwendigen Rahmenbedingungen für die grenzüberschreitende Datenübertragung. Sie sorgt für das notwendige Datenschutzniveau, das in der Datenschutzgrundverordnung (DSGVO) vorgeschrieben ist.

Umfang und Änderung der Datenschutzrichtlinie

  1. Diese Datenschutzrichtlinie gilt für alle Unternehmen der Trévo LLC., mit ihr verbundenen Unternehmen und ihre Mitarbeiter. Die Datenschutzrichtlinie erstreckt sich auf die gesamte Verarbeitung personenbezogener Daten in Ländern, in denen die Daten von juristischen Personen in gleichem Maße geschützt sind wie personenbezogene Daten. Diese Datenschutzrichtlinie gilt ebenso für Daten juristischer Personen. Anonymisierte Daten, z. B. für statistische Auswertungen oder Studien, unterliegen nicht dieser Datenschutzrichtlinie. Zusätzliche Datenschutzrichtlinien können nur im Einvernehmen mit dem Datenschutzbeauftragten erstellt werden, wenn dies durch geltendes Landesrecht gefordert wird. Diese Datenschutzrichtlinie kann in Abstimmung mit dem Datenschutzbeauftragten im Rahmen des festgelegten Verfahrens zur Änderung von Richtlinien geändert werden. Änderungen, die erhebliche Auswirkungen auf die Einhaltung der Datenschutzrichtlinie haben, müssen den Datenschutzbehörden jährlich gemeldet werden. Diese bestätigen und genehmigen diese Datenschutzrichtlinie in Form verbindlicher Unternehmensregeln. Die neueste Version der Datenschutzrichtlinie kann mit den Datenschutzinformationen auf der Webseite von Trévo abgerufen werden: http://trevocorporate.com/policy-page/.

Anwendung von Landesrecht

  1. Diese Datenschutzrichtlinie umfasst die international anerkannten Datenschutzprinzipien, ohne bestehendes Landesrecht zu ersetzen. Sie ergänzt die nationalen Datenschutzgesetze. Geltendes Landesrecht hat Vorrang, falls es mit dieser Datenschutzrichtlinie in Konflikt gerät oder strengere Anforderungen als diese Richtlinie hat. Der Inhalt dieser Datenschutzrichtlinie muss auch ohne entsprechende nationale Gesetzgebung beachtet werden. Die Berichtspflichten für die Datenverarbeitung nach Landesrecht müssen eingehalten werden. Im Falle von Konflikten zwischen landesrechtlichen Bestimmungen und der Datenschutzrichtlinie wird Trévo eine praktische Lösung finden, die den Zweck der Datenschutzrichtlinie erfüllt.

Grundsätze für die Verarbeitung personenbezogener Daten

  1. Fairness und Rechtmäßigkeit

    1. Bei der Verarbeitung personenbezogener Daten müssen die individuellen Rechte der betroffenen Personen bzw. der Datensubjekte geschützt werden. Personenbezogene Daten müssen auf legale und faire Weise erhoben und verarbeitet werden.
  1. Zweckbindung

  1. Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, der zuvor für die Datenerhebung definiert wurde. Nachträgliche Änderungen des Zwecks sind nur eingeschränkt möglich und bedürfen einer Begründung.
  1. Transparenz

    1. Die betroffene Person bzw. das Datensubjekt muss darüber informiert werden, wie ihre Daten verarbeitet werden. Im Allgemeinen müssen personenbezogene Daten direkt vom Datensubjekt erhoben werden. Bei einer solchen Datenerhebung muss die betroffene Person davon Kenntnis haben oder darüber informiert werden:
  • Die Identität des Datenverantwortlichen
  • Den Zweck der Datenverarbeitung
  • Dritte oder Kategorien von Dritten, an die die Daten ggf. übermittelt werden.
  1. Datenreduktion und Dateneinsparung

  1. Vor der Verarbeitung personenbezogener Daten müssen Sie feststellen, ob und in welchen ​Umfang die Verarbeitung personenbezogener Daten erforderlich ist, um den Zweck zu erfüllen, für den die Datenverarbeitung erfolgt. Wo es der Zweck erlaubt und wo die damit verbundenen Kosten im Verhältnis zu dem angestrebten Ziel stehen, müssen anonymisierte oder statistische Daten verwendet werden. Personenbezogene Daten dürfen nicht im Voraus erhoben und für mögliche zukünftige Zwecke gespeichert werden, es sei denn, dies ist nach Landesrecht erforderlich oder zulässig.
  1. Löschung

    1. Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Zeiträumen nicht mehr benötigt werden, müssen gelöscht werden. Es können ggf. Interessenbekundungen vorliegen, die in Einzelfällen dazu führen mögen, dass die Daten Schutz verdienen oder historische Bedeutung haben. In diesem Fall müssen die Daten archiviert werden, bis die schutzwürdigen Interessen rechtlich geklärt sind oder das Unternehmensarchiv die Daten ausgewertet hat, um festzustellen, ob sie für historische Zwecke aufbewahrt werden müssen.
  1. Tatsachengenauigkeit und Aktualität der Daten

  1. Personenbezogene Daten müssen korrekt, vollständig und – falls nötig – auf aktuellen Stand gehalten werden. Es müssen geeignete Schritte unternommen werden, um sicherzustellen, dass ungenaue oder unvollständige Daten gelöscht, korrigiert, ergänzt oder aktualisiert werden.
  1. Vertraulichkeit und Datensicherheit

  1. Personenbezogene Daten unterliegen dem Datenschutz. Sie sind auf persönlicher Ebene vertraulich zu behandeln und durch geeignete organisatorische und technische Maßnahmen gegen unbefugten Zugriff, rechtswidrige Verarbeitung oder Weitergabe sowie gegen zufälligen Verlust, Veränderung oder Zerstörung zu schützen.
  1. Zuverlässigkeit der Datenverarbeitung

  1. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur unter den folgenden gesetzlichen Grundlagen zulässig. Eine dieser Rechtsgrundlagen gilt darüber hinaus dann, wenn der Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten vom ursprünglichen Zweck abweicht.
  1. Kunden- und Partnerdaten

    1. Datenverarbeitung im Rahmen eines Vertragsverhältnisses
  • Personenbezogene Daten betreffender potenzieller Kunden, bestehender Kunden und von Partnern können zur Erstellung, Durchführung und Beendigung eines Vertrages verarbeitet werden. Dies schließt auch Beratungsleistungen für einen Partner ein, sofern dies im Zusammenhang mit dem Vertragszweck steht. Vor Vertragsabschluss, d. h. in der Phase der Vertragsanbahnung, können personenbezogene Daten verarbeitet werden, um Angebote oder Bestellungen vorzubereiten oder andere Anfragen des potenziellen Kunden, die sich auf den Vertragsschluss beziehen, nachzukommen. Potenzielle Kunden können während der Vertragsvorbereitung unter Verwendung der von ihnen bereitgestellten Informationen kontaktiert werden. Alle von den potenziellen Kunden verlangten Einschränkungen müssen eingehalten werden. Für darüber hinausgehende Werbemaßnahmen müssen Sie die folgenden unter V.1.2.1. aufgeführten Bedingungen beachten.
    1. Datenverarbeitung für Werbezwecke
  • Wenn die betroffene Person bzw. das Datensubjekt Trévo kontaktiert, um Informationen anzufordern (z. B. Informationsmaterial zu einem Produkt), ist eine Datenverarbeitung zur Erfüllung dieser Anfrage zulässig. Maßnahmen zur Kundenbindung oder zur Werbung unterliegen weiteren gesetzlichen Anforderungen. Personenbezogene Daten können zu Werbezwecken oder zur Markt- und Meinungsforschung verarbeitet werden, sofern dies dem Zweck entspricht, für den die Daten ursprünglich erhoben wurden. Die betroffene Person muss über die Verwendung ihrer Daten für Werbezwecke informiert werden. Werden Daten nur zu Werbezwecken erhoben, erfolgt die Offenlegung durch die betroffene Person auf freiwilliger Basis. Die betroffene Person ist darüber zu informieren, dass die Bereitstellung von Daten für diesen Zweck freiwillig ist. Bei der Kommunikation mit der betroffenen Person ist die Zustimmung zur Datenverarbeitung zu Werbezwecken einzuholen. Bei Einwilligung sollte die betroffene Person unter den verfügbaren Kontaktformen wie Post, E-Mail und Telefon wählen können (Einwilligung, siehe V.1.3). Lehnt die betroffene Person die Nutzung ihrer Daten für Werbezwecke ab, können diese Daten für diese Zwecke nicht mehr genutzt werden und muss die Nutzung dieser Daten für diese Zwecke unterbunden werden. Weitere mögliche landesspezifische Einschränkungen in Bezug auf die Verwendung von Daten für Werbezwecke müssen beachtet und eingehalten werden.

2.2.Zustimmung zur Datenverarbeitung

  • Daten können nach Zustimmung der betroffenen Person verarbeitet werden. Vor der Einwilligung muss die betroffene Person gemäß 4.c dieser Datenschutzrichtlinie informiert werden. Die Einverständniserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen, beispielsweise bei Telefongesprächen, kann die Zustimmung mündlich erteilt werden. Die Einwilligung muss dokumentiert werden.

2.3.Datenverarbeitung gemäß gesetzlicher Genehmigung

  • Die Verarbeitung personenbezogener Daten ist auch zulässig, wenn nationale Rechtsvorschriften dies vorschreiben, verlangen oder erlauben. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen.

2.4.Datenverarbeitung aufgrund berechtigten Interesses

  • Personenbezogene Daten können auch verarbeitet werden, wenn dies zur Wahrung eines berechtigten Interesses von Trévo erforderlich ist. Berechtigte Interessen sind im Allgemeinen gesetzlicher Art (z. B. Einzug offener Forderungen) oder kommerzieller Art (z. B. Vermeidung von Vertragsverletzungen). Personenbezogene Daten dürfen nicht für die Zwecke eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall Anhaltspunkte vorliegen, dass die Interessen der betroffenen Person schutzwürdig sind und dass dies Vorrang hat. Bevor Daten verarbeitet werden, muss festgestellt werden, ob schutzwürdige Interessen bestehen.

2.5.Verarbeitung von hochsensiblen Daten

  • Hochsensible personenbezogene Daten dürfen nur verarbeitet werden, wenn dies gesetzlich vorgeschrieben ist oder die betroffene Person ausdrücklich zugestimmt hat. Diese Daten können auch verarbeitet werden, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gegenüber der betroffenen Person zwingend erforderlich sind. Wenn die Verarbeitung hochsensibler Daten geplant ist, muss der Datenschutzbeauftragte im Voraus diesbezüglich informiert werden.

2.6.Nutzerdaten und das Internet

  • Werden personenbezogene Daten auf Webseiten oder in Apps erhoben, verarbeitet und genutzt, müssen die betroffenen Personen darüber in einer Datenschutzerklärung und ggf. über die Nutzung von Cookies informiert werden. Die Datenschutzerklärung und jegliche Informationen zur Cookie-Nutzung müssen so dargestellt werden, dass sie für die betroffenen Personen leicht zu identifizieren, direkt zugänglich und durchgängig verfügbar sind. Wenn Nutzungsprofile (Tracking) zur Auswertung der Nutzung von Webseiten und Apps erstellt werden, müssen die betroffenen Personen in der Datenschutzerklärung stets entsprechend darüber informiert werden. Die Personenortung ist nur dann betroffen, wenn dies nach Landesrecht oder nach Zustimmung der betroffenen Person zulässig ist. Wenn beim Tracking ein Pseudonym verwendet wird, muss die betroffene Person im Rahmen der Datenschutzerklärung eine Opt-Out-Möglichkeit bzw. die Möglichkeit haben, diese Nutzungsform abzulehnen. Wenn Webseiten oder Apps in einem auf registrierte Benutzer beschränkten Bereich auf personenbezogene Daten zugreifen können, muss die Identifizierung und Authentifizierung der betroffenen Person einen ausreichenden Schutz während des Zugriffs bieten. Weitere Informationen dazu, wie Trévo Cookies nutzt, finden Sie unter folgendem Link: Cookie-Richtlinien

1.1.Mitarbeiterdaten

1.1.1.             Datenverarbeitung für das Arbeitsverhältnis

  • In Arbeitsverhältnissen können personenbezogene Daten verarbeitet werden, um einen Arbeitsvertrag anzubahnen, umzusetzen und zu beenden. Bei der Anbahnung eines Arbeitsverhältnisses können personenbezogene Bewerberdaten verarbeitet werden. Wird ein Bewerber abgelehnt, müssen seine Daten unter Einhaltung der erforderlichen Aufbewahrungsfrist gelöscht werden, es sei denn, der Bewerber hat zugestimmt, dass seine Akte für ein zukünftiges Auswahlverfahren gespeichert bleibt. In einem bestehenden Arbeitsverhältnis muss sich die Datenverarbeitung immer auf den Zweck des Arbeitsvertrages beziehen, wenn keine der folgenden Bedingungen für die autorisierte Datenverarbeitung zutrifft. Sollte es während des Bewerbungsverfahrens erforderlich sein, Informationen zu einem Bewerber über einen Dritten zu sammeln, sind die Bestimmungen des entsprechenden Landesrechts zu beachten. Im Zweifelsfall muss die Zustimmung der betroffenen Person eingeholt werden. Zur Verarbeitung personenbezogener Daten, die im  Zusammenhang mit dem Arbeitsverhältnis stehen, dabei aber ursprünglich nicht Teil der Erfüllung des Arbeitsvertrags sind, muss eine entsprechende juristische Genehmigung vorliegen. Diese können rechtliche Anforderungen, Kollektivregelungen mit Arbeitnehmervertretern, die Zustimmung des Arbeitnehmers oder das berechtigte Interesse des Unternehmens umfassen.

1.1.1.2.        Datenverarbeitung gemäß gesetzlicher Genehmigung

  • Die Verarbeitung personenbezogener Mitarbeiterdaten ist auch zulässig, wenn Landesrecht dies vorschreibt, verlangt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen. Wenn eine gewisse rechtliche Flexibilität gegeben ist, müssen die Interessen des Arbeitnehmers berücksichtigt werden, der Schutz verdient.

1.1.1.3.        Kollektivregelungen zur Datenverarbeitung

  • Wenn eine Datenverarbeitungstätigkeit über den Zweck hinausgeht, Vertragsbedingungen zu erfüllen, kann dies zulässig sein, sofern die Genehmigung durch einen Kollektivvertrag vorliegt. Kollektivverträge sind Tarifvereinbarungen oder Vereinbarungen zwischen Arbeitgebern und Arbeitnehmervertretern im Rahmen des geltenden Arbeitsrechts. Diese Vereinbarungen müssen den spezifischen Zweck der beabsichtigten Datenverarbeitungstätigkeit abdecken und im Rahmen der nationalen Datenschutzgesetze erstellt werden.

1.1.1.4.        Zustimmung zur Datenverarbeitung

  • Mitarbeiterdaten können mit Zustimmung der betroffenen Personen verarbeitet werden. Einwilligungserklärungen müssen freiwillig abgegeben werden. Eine unfreiwillige Zustimmung ist ungültig. Die Einverständniserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen kann die Zustimmung mündlich erteilt werden, in diesem Fall muss sie ordnungsgemäß dokumentiert werden. Im Falle einer informierten, freiwilligen Datenbereitstellung durch die betreffende Partei kann eine Zustimmung vorausgesetzt werden, wenn Landesrecht keine ausdrückliche Zustimmung verlangt. Vor der Einwilligung muss die betroffene Person gemäß Absatz 4.c dieser Datenschutzrichtlinie informiert werden.

1.1.1.5.        Datenverarbeitung aufgrund berechtigten Interesses

  • Personenbezogene Daten können auch verarbeitet werden, wenn dies erforderlich ist, um ein berechtigtes Interesse von Trévo geltend zu machen. Berechtigte Interessen sind im Allgemeinen gesetzlicher Natur (z. B. Einreichung, Durchsetzung oder Verteidigung von Rechtsansprüchen) oder finanzieller Natur (z. B. Bewertung von Unternehmen). Personenbezogene Daten dürfen aufgrund berechtigter Interessen nicht verarbeitet werden, wenn im Einzelfall Anhaltspunkte dafür vorliegen, dass die Interessen des Arbeitnehmers schutzwürdig sind. Vor der Datenverarbeitung muss festgestellt werden, ob die Interessen schutzwürdig sind. Kontrollmaßnahmen, die eine Verarbeitung von Mitarbeiterdaten erfordern, dürfen nur vorgenommen werden, wenn eine rechtliche Verpflichtung oder ein berechtigter Grund vorliegt. Selbst wenn ein legitimer Grund besteht, muss die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens bei der Durchführung der Kontrollmaßnahme (z. B. Einhaltung der Rechtsvorschriften und unternehmensinternen Vorschriften) müssen mit solchen Interessen abgewogen werden, die dem Schutz des von der Maßnahme betroffenen Arbeitnehmers dienen. Die Interessen können nicht umgesetzt werden, sofern diese nicht angemessen sind. Das berechtigte Interesse des Unternehmens und die schutzwürdigen Interessen des Arbeitnehmers müssen festgestellt und dokumentiert werden, bevor jedwede Maßnahmen ergriffen werden. Darüber hinaus müssen etwaige zusätzliche Anforderungen nach Landesrecht (z. B. Mitbestimmungsrechte der Arbeitnehmervertreter und Informationsrechte der betroffenen Personen) berücksichtigt werden.

1.1.1.6.        Verarbeitung hochsensibler Daten

  • Hochsensible personenbezogene Daten dürfen nur unter bestimmten Bedingungen verarbeitet werden. Hochsensible Daten sind Daten über Rasse und ethnische Herkunft, politische Überzeugungen, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaft und das Gesundheits- und Sexualleben der betroffenen Person. Nach Landesrecht können weitere Datenkategorien als hochsensibel gelten; Datenkategorien können unterschiedlich mit Inhalten gefüllt werden. Darüber hinaus können Daten, die sich auf eine Straftat beziehen, oft nur unter besonderen Anforderungen nach Landesrecht verarbeitet werden. Die Verarbeitung muss gemäß landesrechtlicher Bestimmungen ausdrücklich erlaubt oder vorgeschrieben sein. Darüber hinaus kann die Verarbeitung erlaubt sein, wenn die zuständige Behörde ihre Rechte und Pflichten im Bereich des Arbeitsrechts erfüllen muss. Der Mitarbeiter kann der Verarbeitung auch ausdrücklich zustimmen. Wenn hochsensible Daten verarbeitet werden sollen, muss der Datenschutzbeauftragte im Voraus informiert werden.

1.1.1.7.        Telekommunikation und Internet

  • Telefonanlagen, E-Mail-Adressen, Intranet und Internet werden vom Unternehmen in erster Linie für arbeitsbezogene Aufgaben bereitgestellt. Sie sind ein Werkzeug und eine Unternehmensressource. Sie können innerhalb der geltenden gesetzlichen Vorschriften und internen Unternehmensrichtlinien verwendet werden. Im Falle einer autorisierten Nutzung zu privaten Zwecken sind die Gesetze zur Geheimhaltung der Telekommunikation und die entsprechenden nationalen Telekommunikationsgesetze zu beachten. Zur Abwehr von Angriffen auf die IT-Infrastruktur oder einzelne Benutzer können Schutzmaßnahmen für die Verbindungen zum Trévo-Netzwerk umgesetzt werden, die technisch schädliche Inhalte blockieren oder Angriffsmuster analysieren. Aus Sicherheitsgründen kann die Nutzung von Telefongeräten, E-Mail-Adressen, Intranet/Internet vorübergehend protokolliert werden. Auswertungen dieser Daten von einer bestimmten Person können nur in einem konkreten, begründeten Fall bei mutmaßlichen Verstößen gegen rechtliche Bestimmungen oder Richtlinien von Trévo vorgenommen werden. Die Auswertungen dürfen nur von entsprechenden Untersuchungsabteilungen durchgeführt werden, während gleichzeitig sichergestellt wird, dass der Grundsatz der Verhältnismäßigkeit eingehalten wird.

 Übermittlung persönlicher Daten

  1. Die Übermittlung personenbezogener Daten an Empfänger außerhalb oder innerhalb von Trévo unterliegt den Berechtigungsanforderungen für die Verarbeitung personenbezogener Daten gemäß Abschnitt 4. Der Datenempfänger muss verpflichtet werden, die Daten nur für die definierten Zwecke zu verwenden. Für den Fall, dass Daten an einen Empfänger außerhalb von Trévo in ein Drittland übermittelt werden, muss sich dieses Land bereit erklären, eine Datenschutzrichtlinie einzuhalten, die dieser Datenschutzrichtlinie entspricht. Dies gilt nicht, wenn die Übermittlung auf einer gesetzlichen Verpflichtung beruht. Eine solche gesetzliche Verpflichtung kann sich nach den Gesetzen des Sitzlandes des Unternehmens richten, das die Daten übermittelt. Alternativ können die Gesetze des Sitzlandes des Unternehmens den Zweck der Datenübertragung aufgrund der gesetzlichen Verpflichtung eines Drittlandes anerkennen. Falls Daten von einem Dritten an Trévo übermittelt werden, muss sichergestellt sein, dass die Daten für den beabsichtigten Zweck verwendet werden können.

Rechte des Datensubjekts

  1. Jede betroffene Person bzw. jedes Datensubjekt hat die folgend angeführten Rechte. Jede Geltendmachung seitens eines Datensubjekts ist unverzüglich von der zuständigen Stelle zu bearbeiten und darf für die betroffene Person keinen Nachteil darstellen.
    1.  Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten zu ihr gespeichert und zu welchem Zweck sie erhoben wurden. Wenn weitere Rechte bestehen, die Unterlagen des Arbeitgebers (z. B. Personalakten) für das Arbeitsverhältnis gemäß den einschlägigen Arbeitsgesetzen einzusehen, bleiben diese Rechte unberührt.
    2. Wenn personenbezogene Daten an Dritte übermittelt werden, müssen Informationen über die Identität des Empfängers oder die Kategorien der Empfänger angegeben werden.
    3. Sind personenbezogene Daten nicht korrekt oder unvollständig, kann die betroffene Person verlangen, dass diese Daten korrigiert oder ergänzt werden.
    4. Die betroffene Person kann der Verarbeitung ihrer Daten zu Zwecken der Werbung oder der Markt- und Meinungsforschung widersprechen. Die Daten müssen dann für diese Nutzungsarten gesperrt werden.
    5. Die betroffene Person kann die Löschung ihrer Daten verlangen, sofern die Verarbeitung solcher Daten keine Rechtsgrundlage hat oder wenn die Rechtsgrundlage nicht mehr gilt. Gleiches gilt, wenn der Zweck der Datenverarbeitung aus anderen Gründen abgelaufen oder nicht mehr gegeben ist. Es sind zudem bestehende schutzwürdige Aufbewahrungsfristen und Interessenkonflikte zu beachten.
    6. Die betroffene Person hat grundsätzlich das Recht, Einwände gegen die Verarbeitung ihrer Daten zu erheben. Solche Einwände müssen berücksichtigt werden, wenn der Schutz ihrer Interessen aufgrund einer bestimmten persönlichen Situation Vorrang vor dem Interesse des Datenverantwortlichen hat. Dies gilt nicht, wenn eine Rechtsvorschrift die Verarbeitung der Daten erforderlich macht.

Vertraulichkeit der Datenverarbeitung

Personenbezogene Daten unterliegen dem Datenschutz. Jede unbefugte Erhebung, Verarbeitung oder Verwendung solcher Daten durch Mitarbeiter ist untersagt. Jegliche Datenverarbeitung, die von einem Mitarbeiter im Rahmen der rechtmäßigen Pflichten unautorisiert durchgeführt wird, gilt als unbefugt. Es gilt das Prinzip „Kenntnis nur bei Bedarf“. Mitarbeiter dürfen Zugriff nur auf solche persönlichen Informationen haben, die nach Art und Umfang der jeweiligen Aufgabe angemessen sind. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten und deren Umsetzung. Mitarbeitern ist es untersagt, personenbezogene Daten für private oder kommerzielle Zwecke zu verwenden, sie an unbefugte Personen weiterzugeben oder auf andere Weise zur Verfügung zu stellen. Vorgesetzte müssen ihre Mitarbeiter zu Beginn des Arbeitsverhältnisses über ihre Verpflichtungen zum Datenschutz informieren. Diese Verpflichtungen bleiben auch nach Beendigung des Beschäftigungsverhältnisses in Kraft.

Sichere Verarbeitung

  1. Personenbezogene Daten müssen vor unberechtigtem Zugriff und rechtswidriger Verarbeitung oder Offenlegung sowie vor versehentlichem Verlust, Veränderung oder Zerstörung geschützt werden. Dies gilt unabhängig davon, ob Daten elektronisch oder in Papierform verarbeitet werden. Vor der Einführung neuer Methoden der Datenverarbeitung, insbesondere neuer IT-Systeme, müssen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten definiert und umgesetzt werden. Diese Maßnahmen müssen auf dem neuesten Stand der Technik sein sowie die Verarbeitungsrisiken und den Datenschutz berücksichtigen (je nach Informationsklassifizierungsprozess). Diesbezüglich kann die zuständige Abteilung den Datenschutzbeauftragten konsultieren. Die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind Bestandteil des Corporate Information Security Managements und müssen kontinuierlich an die technischen Entwicklungen und organisatorischen Veränderungen angepasst werden.

Datenschutzkontrolle

  1. Die Einhaltung der Datenschutzrichtlinie und der geltenden Datenschutzgesetze wird regelmäßig mit Datenschutz-Audits und anderen Kontrollen überprüft. Für die Durchführung dieser Kontrollen sind der Datenschutzbeauftragte und andere Unternehmenseinheiten mit Prüfungsrechten oder externe Prüfer verantwortlich. Die Ergebnisse der Datenschutzkontrollen müssen dem Datenschutzbeauftragten gemeldet werden. Auf Anfrage werden die Ergebnisse der Datenschutzkontrollen der zuständigen Datenschutzbehörde zur Verfügung gestellt. Die zuständige Datenschutzbehörde kann ihre eigenen Kontrollen zur Einhaltung von Bestimmungen dieser Richtlinie durchführen, soweit dies nach Landesrecht zulässig ist.

Datenschutzvorfälle

  1. Alle Mitarbeiter müssen ihren Vorgesetzten, den Datenschutzkoordinator oder den Datenschutzbeauftragten unverzüglich über Fälle von Verstößen gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle) informieren. Der verantwortliche Manager für die entsprechende Funktion oder Einheit ist verpflichtet, den Datenschutzbeauftragten unverzüglich über Datenschutzvorfälle zu informieren.

Zu solchen Fällen zählen:

  • Die unberechtigte Übermittlung personenbezogener Daten an Dritte
  • Der unberechtigte Zugriff von Dritten auf personenbezogene Daten
  • Der Verlust personenbezogener Daten, der vom Unternehmen gemeldet werden muss (Information Security Incident Management) – und zwar unverzüglich, damit den Meldepflichten gemäß Landesrecht entsprochen werden kann.

Verantwortlichkeiten und Sanktionen

  1. Die geschäftsführenden Organe von Trévo sind für die Datenverarbeitung in ihrem Verantwortungsbereich verantwortlich. Daher müssen sie sicherstellen, dass die gesetzlichen Anforderungen und die in der Datenschutzerklärung enthaltenen Informationen zum Datenschutz erfüllt sind. Die Führungskräfte sind dafür verantwortlich, dass organisatorische, personelle und technische Maßnahmen getroffen werden, damit die Datenverarbeitung in Übereinstimmung mit dem Datenschutz erfolgt. Die Einhaltung dieser Anforderungen liegt in der Verantwortung der jeweiligen Mitarbeiter. Wenn offizielle Behörden Datenschutzkontrollen durchführen, muss der Datenschutzbeauftragte sofort informiert werden. Das zuständige Management ist verpflichtet, den Datenschutzbeauftragten in seinen Bemühungen zu unterstützen. Die für Geschäftsprozesse und Projekte zuständigen Abteilungen müssen die Datenschutzkoordinatoren rechtzeitig über die neue Verarbeitung personenbezogener Daten informieren. Bei Datenverarbeitungsplänen, die besondere Risiken für individuelle Rechte betroffener Personen bedeuten können, muss der Datenschutzbeauftragte informiert werden, bevor die Verarbeitung beginnt. Dies gilt insbesondere für äußerst sensible personenbezogene Daten. Die Manager müssen sicherstellen, dass ihre Mitarbeiter ausreichend in Sachen Datenschutz geschult sind. Die unberechtigte Verarbeitung personenbezogener Daten oder andere Verstöße gegen Datenschutzgesetze können in vielen Ländern strafrechtlich verfolgt werden und zu Schadensersatzansprüchen führen. Zuwiderhandlungen, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

Datenschutzbeauftragter/

Datenverantwortlicher

  1. Der Datenschutzbeauftragte, der intern fachlich weisungsunabhängig ist, wirkt auf die Einhaltung nationaler und internationaler Datenschutzbestimmungen hin. Der Datenschutzbeauftragte ist zudem verantwortlich für die Einhaltung der Datenschutzrichtlinie und überwacht deren Einhaltung. Der Datenschutzbeauftragte wird von der Trévo-Geschäftsleitung ernannt. Jede betroffene Person bzw. jedes Datensubjekt kann sich jederzeit an den Datenschutzbeauftragten wenden, um Bedenken zu äußern, Fragen zu stellen, Informationen anzufordern oder Beschwerden in Bezug auf Datenschutz- oder Datensicherheitsprobleme zu melden. Auf Wunsch werden Bedenken und Beschwerden vertraulich behandelt. Wenn der betreffende Datenkoordinator eine Beschwerde nicht lösen oder einen Verstoß gegen die Datenschutzrichtlinie nicht beheben kann, ist der Datenschutzbeauftragte sofort zu konsultieren. Entscheidungen des Datenschutzbeauftragten zur Behebung von Datenschutzverstößen müssen von der Geschäftsleitung des betreffenden Unternehmens bestätigt werden. Anfragen von Aufsichtsbehörden müssen dem Datenschutzbeauftragten stets gemeldet werden.
  2. Die Kontaktdaten des Datenschutzbeauftragten und der Mitarbeiter lauten wie folgt: