Erklärung zum Datenschutzschild von Llamasoft
Datenschutzerklärung des Datenschutzschilds gemäß dem EU-US-Datenschutzschild und dem Swiss-US-Datenschutzschild
Privacy Shield ist ein Programm, das vom US-Handelsministerium ("Department") verwaltet wird.
Wir erfüllen sowohl das EU-U.S. Privacy Shield Framework als auch das Swiss-U.S. Privacy Shield Framework, wie vom US-Handelsministerium festgelegt, in Bezug auf die Erhebung, Verwendung und Speicherung von personenbezogenen Daten, die von der Europäischen Union, dem Vereinigten Königreich bzw. der Schweiz in die Vereinigten Staaten übermittelt werden. Wir haben dem Handelsministerium bescheinigt, dass wir die Datenschutzschild-Grundsätze einhalten, die Teil des Datenschutzschild-Programms sind (die "Grundsätze"). Weitere Informationen über das Privacy Shield-Programm und unsere Zertifizierung finden Sie unter https://www.privacyshield.gov/.
Diese Datenschutzerklärung beschreibt die Datenschutzgrundsätze und erklärt Ihnen, wie wir diese einhalten.
Wenn wir "wir" oder "unser" oder solche Wörter oder "LLamasoft" sagen, meinen wir LLamasoft, Inc., ein US-amerikanisches Unternehmen aus Delaware. LLamasoft, Inc. ist zusammen mit allen Tochtergesellschaften und Tochtergesellschaften das "LLamasoft Enterprise" und jedes von ihnen ist ein "LLamasoft Enterprise Company".
Umfang
Diese Datenschutzerklärung deckt die Übermittlung personenbezogener Daten sowohl im Rahmen des EU-U.S. Privacy Shield Framework (einem Programm, das von der Europäischen Kommission und der Regierung der Vereinigten Staaten vereinbart wurde) als auch des Swiss-U.S. Privacy Shield Framework (einem sehr ähnlichen Programm, das von der Regierung der Schweiz und den Regierungen der Vereinigten Staaten vereinbart wurde) ab. Diese Datenschutzerklärung bezeichnet diese Rahmenwerke als "Privacy Shield" oder "Privacy Shield-Programm".
Die "Europäische Union" oder "EU" besteht aus Österreich, Belgien, Bulgarien, Kroatien, der Republik Zypern, der Tschechischen Republik, Dänemark, Estland, Finnland, Frankreich, Deutschland, Griechenland, Ungarn, Irland, Italien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Polen, Portugal, Rumänien, der Slowakei, Slowenien, Spanien, Schweden. Der "Europäische Wirtschaftsraum" oder "EWR" besteht aus allen EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen.
Diese Datenschutzerklärung deckt personenbezogene Daten von betroffenen Personen ab, die Staatsangehörige eines EWR-Mitgliedstaats oder der Schweiz sind, in dem die personenbezogenen Daten in die Vereinigten Staaten übertragen und/oder in diesen verarbeitet werden
Wenn eine betroffene Person ihre Zustimmung zur Ausfuhr ihrer personenbezogenen Daten in die Vereinigten Staaten und/oder zur Verarbeitung ihrer personenbezogenen Daten in den Vereinigten Staaten erteilt, gilt diese Zustimmung für diese Ausfuhr und Verarbeitung und diese Datenschutzerklärung des Privacy Shield gilt nicht für jede Ausfuhr oder Verarbeitung im Rahmen dieser Zustimmung. Soweit die Einwilligung der betroffenen Person nicht zutrifft, gilt diese Datenschutzerklärung des Privacy Shield.
Einige wichtige Konzepte
Das Privacy Shield-Programm und seine Datenschutzgrundsätze verwenden bestimmte Begriffe, die im europäischen Recht definiert sind. Hier sind einige dieser Begriffe.
"personenbezogene Daten" im Sinne des EU-US-Datenschutzschilds sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Für die Zwecke des Swiss-U.S. Privacy Shield bedeutet der Begriff personenbezogene Daten, die im Rahmen des Bundesgesetzes über den Datenschutz ("FADP") erhoben werden.
"Sensible Informationen" im Rahmen des EU-US-Datenschutzschilds sind personenbezogene Daten, die Aufschluss geben über Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaft oder Gesundheit oder Sexualleben. "Sensible Informationen" im Rahmen des Swiss-U.S. Privacy Shield-Programms sind personenbezogene Informationen, die medizinische oder gesundheitliche Bedingungen, persönliche Sexualität, Rasse oder ethnische Herkunft, politische Meinungen, religiöse, ideologische oder gewerkschaftsbezogene Ansichten oder Aktivitäten oder Informationen über Sozialversicherungsmaßnahmen oder Verwaltungs- oder Strafverfahren und Sanktionen angeben, die außerhalb des anhängigen Verfahrens behandelt werden.
Eine "natürliche Person" ist ein Mensch. Das Gesetz behandelt Unternehmen und andere Geschäftseinheiten manchmal als "Personen", sodass die Verwendung des Begriffs "natürliche Person" deutlich macht, dass wir von einem Menschen sprechen.
Eine "betroffene Person" ist die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
Eine "identifizierbare natürliche Person" ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind.
"Verarbeitung" von personenbezogenen Daten jede Operation oder jeden Satz von Operationen, die an personenbezogenen Daten oder an Sätzen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert erfolgen oder nicht, wie z. B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verwendung, Weitergabe durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Abstimmung oder Kombination, Einschränkung, Löschung oder Zerstörung.
Ein "Verantwortlicher" für personenbezogene Daten ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
Ein "Verarbeiter" personenbezogener Daten ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Die Art, wie wir auf die personenbezogenen Daten verweisen, die wir erheben
Wir erheben, pflegen, verwenden und teilen "personenbezogene Daten des Unternehmens" und "personenbezogene Daten des Personals". Mit diesen Begriffen meinen wir Folgendes:
"Persönliche Unternehmensdaten" sind personenbezogene Daten, die die Identifizierung, Authentifizierung, Koordinierung und/oder Kommunikation mit, von, zwischen und/oder zwischen Personen ermöglichen, die für oder mit uns arbeiten und/oder für die wir Waren oder Dienstleistungen bereitstellen. Zu diesen Personen gehören unter anderem Beschäftigte, Vertreter, Auftragnehmer, Kunden, Lieferanten, Nutzer unserer Waren und Dienstleistungen und andere Personen, mit oder über die wir Geschäfte tätigen oder zu deren Gunsten wir Geschäfte tätigen. Zu den personenbezogenen Daten des Unternehmens gehören unter anderem Kontaktinformationen, Identifikationsinformationen, Informationen über Aufenthaltsorte, Informationen über Reisepläne, Informationen über Waren und/oder Dienstleistungen, die von (oder an) uns bereitgestellt werden sollen, verwendete Anwendungen, Art und Umfang der Verwendung von Anwendungen und Verzeichnisinformationen wie Name, Mobilfunk- und/oder Landtelefonnummer, Faxnummer, E-Mail-Adresse, physische Adresse, Benutzer-ID, IP-Adresse, Bild, gesprochene Sprache(n), Titel, Organisationsrolle und Systeme oder Prozesse, zu deren Nutzung diese Personen berechtigt sind.
"Personaldaten" sind Personaldaten und Nutzeninformationen, die von einem oder mehreren LLamasoft Enterprise-Unternehmen verwendet werden, um Mitarbeiter und/oder direkte oder indirekte Auftragnehmer zu bewerten, zu beschäftigen, zu halten, zu verwalten, die Beschäftigungs- und/oder Auftragnehmerbeziehung zu pflegen und/oder die Dienstleistungen von Mitarbeitern und/oder direkten oder indirekten Auftragnehmern zu empfangen oder bereitzustellen, die als Unternehmen angesehen werden, die für ein oder mehrere LLamasoft Enterprise-Unternehmen arbeiten oder dies getan haben.
Weitere wichtige Konzepte
Wenn wir angeben, dass wir personenbezogene Daten "anonymisieren", bedeutet dies, dass wir sie mit anderen Informationen kombinieren, verändern oder auf andere Weise so machen, dass sie die betroffene Person nicht mehr angemessen identifizieren.
Wie wir die Datenschutzgrundsätze des Datenschutzschilds einhalten
Wir glauben, dass der beste Weg, Ihnen zu erklären, wie wir die Grundsätze einhalten, darin besteht, Ihnen die Grundsätze zu zeigen und Ihnen Seite an Seite zu erklären, wie wir sie einhalten. Auf diese Weise lernen Sie die Prinzipien kennen und erfahren, wie sich unsere Praktiken gleichzeitig entwickeln.
| Was die Prinzipien verlangen. | Was wir tun. |
|---|---|
| 1. HINWEIS Eine Organisation muss Personen über Folgendes informieren: | |
| Seine Teilnahme am Datenschutzschild und die Angabe eines Links oder der Webadresse für die Datenschutzschild-Liste. | Wir nehmen am Datenschutzschild teil und in dieser Datenschutzerklärung des Datenschutzschilds erfahren Sie, dass wir teilnehmen und wie wir dies tun. Weitere Informationen zum Privacy Shield-Programm finden Sie unter https://www.privacyshield.gov/list. |
| Die Art der erhobenen personenbezogenen Daten und gegebenenfalls die Unternehmen oder Tochtergesellschaften der Organisation, die sich ebenfalls an die Grundsätze halten. | Wir erheben personenbezogene Daten des Unternehmens und personenbezogene Daten des Personals, wie oben definiert. Jedes der LLamasoft Enterprise-Unternehmen erhebt solche Daten. |
| Seine Verpflichtung, alle personenbezogenen Daten, die von der EU in Abhängigkeit vom Datenschutzschild übermittelt werden, den Grundsätzen zu unterwerfen. | Wir verpflichten uns, alle personenbezogenen Daten, die wir von der Europäischen Union, dem Vereinigten Königreich bzw. der Schweiz erhalten haben, in Abhängigkeit vom Datenschutzschild den Grundsätzen zu unterwerfen. |
| Die US-Tochtergesellschaften der Organisation halten sich auch an die Datenschutzschild-Prinzipien. | Unsere US-Tochter: Opex Analytics LLC hält sich in gleicher Weise an die Privacy Shield Principles. |
| Die Zwecke, zu denen sie personenbezogene Daten über sie erhebt und verwendet. |
Wir erheben personenbezogene Daten aus folgenden Gründen. a) damit die betroffenen Personen zur Ausübung ihrer Tätigkeit kontaktiert werden können und/oder sich gegenseitig kontaktieren können. (b) Damit wir Waren oder Dienstleistungen für betroffene Personen und/oder deren Organisationen bereitstellen und/oder Waren oder Dienstleistungen von betroffenen Personen und/oder deren Organisationen empfangen können. (c) Damit wir die Nutzung unserer Waren und Dienstleistungen zum Zwecke der Wartung, Verbesserung und Lizenzkonformität überwachen können. c) damit wir Mitarbeitern, Vertretern und/oder Auftragnehmern Zugriff auf die Systeme und Datenbanken gewähren können, die sie für ihre Arbeit benötigen. d) um Humanressourcen effektiv zu verwalten, Chancen für Einzelpersonen zu schaffen und im Allgemeinen Beratung und Analysen hinsichtlich der Arbeitgeber-Arbeitnehmer- und Auftragnehmerbeziehungen zwischen uns und potenziellen, aktuellen und früheren Mitarbeitern und/oder Auftragnehmern zur Verfügung zu stellen. |
| Kontaktaufnahme mit der Organisation bei Anfragen oder Beschwerden, einschließlich relevanter Einrichtungen in der EU, die auf solche Anfragen oder Beschwerden reagieren können. | Sie können uns unter Verwendung der folgenden Informationen im Abschnitt "Wie Sie uns kontaktieren" kontaktieren. |
| Die Art oder Identität von Dritten, an die sie personenbezogene Daten weitergibt, und die Zwecke, für die sie dies tut. |
a) anonymisierte Informationen. Wenn wir personenbezogene Daten anonymisieren, können wir diese personenbezogenen Daten für jeden Zweck an Dritte weitergeben. b) Personen, mit denen wir Geschäfte tätigen. Wir können personenbezogene Daten an andere Personen weitergeben, die an der Bereitstellung oder dem Empfang von Waren und/oder Dienstleistungen beteiligt sind, damit wir bei der Bereitstellung oder dem Empfang von Waren und/oder Dienstleistungen zusammenarbeiten können. c) Outsourcing von Anbietern. Wir können personenbezogene Daten an Outsourcing-Anbieter weitergeben, die Funktionen zur Unterstützung unseres Geschäftsgebarens erfüllen. Dies kann Datenverarbeitung, Speicherung, Systemadministration und ähnliche Funktionen umfassen. d) Nachfolger. Wenn wir unser Geschäft ganz oder teilweise verkaufen oder anderweitig übertragen oder die Möglichkeit dazu untersuchen, können wir die personenbezogenen Daten, die mit dem tatsächlich oder potenziell verkauften oder übertragenen Geschäft verbunden sind, an den tatsächlichen oder potenziellen Käufer oder sonstigen Empfänger übertragen oder mit ihm teilen. e) um rechtlichen Anforderungen nachzukommen. Wir können Ihre Informationen weitergeben, wenn dies von Strafverfolgungsbehörden, Regierungsbehörden, Gerichten oder anderen Behörden verlangt wird, wenn wir der Meinung sind, dass unsere Zusammenarbeit mit Informationsanfragen gesetzlich vorgeschrieben ist. Wir geben personenbezogene Daten an Dritte weiter, damit wir die oben genannten Zwecke erfüllen können. |
| Das Recht des Einzelnen auf Zugang zu seinen personenbezogenen Daten. | Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir über Sie besitzen. Sie können auf diese personenbezogenen Daten zugreifen, indem Sie uns unter Verwendung der Informationen unten im Abschnitt "Wie Sie uns kontaktieren"kontaktieren. |
| Die Optionen und Mittel, die das Unternehmen Einzelpersonen zur Einschränkung der Nutzung und Offenlegung ihrer personenbezogenen Daten anbietet. | Sie haben die Wahl, welche personenbezogenen Daten wir speichern und wie wir sie verwenden. Sehen Sie sich die Antworten in Prinzip 2: Auswahl an. |
| Die unabhängige Stelle zur Beilegung von Streitigkeiten, die benannt wurde, um Beschwerden zu bearbeiten und die Person gebührenfrei anzurufen, unabhängig davon, ob es sich um Folgendes handelt: (1) das von [Datenschutzbehörden, manchmal auch als] Datenschutzbehörden eingerichtete Gremium oder, im Fall von Schweizer Bürgern, den Eidgenössischen Datenschutz- und Informationsbeauftragten, (2) einen alternativen Streitbeilegungsanbieter mit Sitz in der EU oder (3) einen alternativen Streitbeilegungsanbieter mit Sitz in den Vereinigten Staaten. |
Für personenbezogene Geschäftsdaten verwenden wir JAMS in den USA als unseren alternativen Anbieter für die Beilegung von Streitigkeiten. Solche Dienste sind in den Vereinigten Staaten verfügbar. Informationen über JAMS finden Sie unter https://www.jamsadr.com/files/Uploads/Documents/Corporate-Fact-Sheet.pdf und Informationen über das JAMS EU-U.S. Privacy Shield-Programm finden Sie unter https://www.jamsadr.com/eu-us-privacy-shield. Im Bereich Personalwesen arbeiten wir mit den Gremien zusammen, die von den Europäischen Datenschutzbehörden und dem Eidgenössischen Datenschutzbeauftragten bzw. dem Informationsbeauftragten eingerichtet wurden. |
| Sie unterliegt den Ermittlungs- und Durchsetzungsbefugnissen der FTC, des Transportministeriums oder einer anderen in den USA autorisierten gesetzlichen Stelle. | Wir unterliegen den Ermittlungs- und Durchsetzungsbefugnissen der United States Federal Trade Commission (FTC). Mehr über die Rolle der FTC bei der Durchsetzung des Datenschutzschilds erfahren Sie unter https://www.privacyshield.gov/article?id=OVERVIEW. |
| Die Möglichkeit, unter bestimmten Bedingungen ein verbindliches Schiedsverfahren in Anspruch zu nehmen. | Unter bestimmten Umständen können Sie ein bindendes Schiedsverfahren aufrufen. Wir nutzen JAMS in den USA als unseren alternativen Anbieter für die Streitbeilegung. Solche Dienste sind in den Vereinigten Staaten verfügbar. |
| Die Verpflichtung, personenbezogene Daten auf rechtmäßige Anfragen von Behörden hin offenzulegen, auch um den nationalen Sicherheits- oder Strafverfolgungsvorschriften nachzukommen. | Wir werden personenbezogene Daten als Reaktion auf rechtmäßige Anfragen von Behörden offenlegen, auch um nationale Sicherheits- oder Strafverfolgungsanforderungen zu erfüllen. |
| Ihre Haftung bei Weitergabe an Dritte. | Wenn wir personenbezogene Daten an einen Dritten übermitteln und diese Übermittlung oder eine Handlung oder Unterlassung durch den Dritten einen Verstoß gegen die Grundsätze zur Folge hat, haften wir für die Übermittlung und/oder die Handlung oder Unterlassung, auch wenn der Dritte die Handlung oder Unterlassung begangen hat. |
| 2. AUSWAHL | |
| Eine Organisation muss Personen die Möglichkeit bieten, zu entscheiden (sich dagegen zu entscheiden), ob ihre personenbezogenen Daten i) an Dritte weitergegeben werden sollen oder ii) für einen Zweck verwendet werden sollen, der sich wesentlich von dem Zweck bzw. den Zwecken unterscheidet, für den bzw. die sie ursprünglich gesammelt oder anschließend von den Personen genehmigt wurden. Individuen müssen mit klaren, auffälligen und leicht zugänglichen Mechanismen ausgestattet werden, um eine Wahl treffen zu können. |
Sie haben das Recht zu wählen (Widerspruch einzulegen), ob Ihre personenbezogenen Daten (i) an Dritte weitergegeben werden sollen oder (ii) für einen Zweck verwendet werden sollen, der sich wesentlich von dem Zweck bzw. den Zwecken unterscheidet, für den bzw. die sie ursprünglich erhoben oder nachfolgend von Ihnen genehmigt wurden. Wenn Sie sich dagegen entscheiden möchten, müssen Sie uns lediglich über die Informationen im Abschnitt "So erreichen Sieuns" kontaktieren. Das anwendbare Recht erlaubt bestimmte Ausnahmen von Ihrer Möglichkeit, sich zu widerrufen, z. B. wenn wir Parteien eines Vertrags sind, der noch durchgeführt wird, wenn das Gesetz von uns verlangt, Informationen über zwei Gewährleistungsansprüche zu pflegen, oder auf andere Weise. Soweit anwendbare Gesetze es uns erlauben, diese Informationen zu speichern und weiter zu nutzen, tun wir dies nur in dem Umfang, wie dies gesetzlich zulässig oder erforderlich ist. Wenn Sie sich mit uns in Verbindung setzen, um eine Ablehnung zu beantragen, erläutern wir Ihnen die verfügbaren Optionen und kommen Ihrer Anfrage gemäß den Grundsätzen und dem geltenden Recht nach. |
| Abweichend vom vorstehenden Absatz ist es nicht erforderlich, eine Wahl zu treffen, wenn ein Dritter, der als Vermittler handelt, die Aufgabe(n) im Namen und unter den Anweisungen der Organisation wahrnimmt, offen gelegt wird. Eine Organisation schließt jedoch stets einen Vertrag mit dem Bevollmächtigten. | Die obige Wahl/Opt-out-Klausel gilt nicht, wenn die Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt, die als unser Vertreter fungieren (z. B. unsere Dienstleister, die Dienstleistungen erbringen, die uns bei der Abwicklung unseres Geschäfts helfen). Wir werden Ihre personenbezogenen Daten unter diesen Umständen nur dann an Dritte weitergeben, wenn wir mit diesem Dritten einen Vertrag abgeschlossen haben, der die Einhaltung der Grundsätze durch den Dritten vorschreibt. |
| Bei sensiblen Informationen (siehe die obigen Definitionen) müssen Unternehmen eine ausdrückliche Zustimmung (Opt-in) von Einzelpersonen einholen, wenn diese Informationen (i) an Dritte weitergegeben oder (ii) zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden, verwendet oder anschließend von den Einzelpersonen durch Ausübung der Opt-in-Wahl genehmigt werden sollen. Darüber hinaus sollte ein Unternehmen alle personenbezogenen Daten, die von einem Dritten eingehen, als sensibel behandeln, wenn der Dritte sie als sensibel identifiziert und behandelt. |
Wir werden Ihre ausdrückliche Zustimmung (Opt-in) von Ihnen einholen, wenn wir sensible Informationen verbinden und diese Informationen (i) an einen Dritten weitergegeben oder (ii) zu einem anderen Zweck als dem verwendet werden, für den sie ursprünglich gesammelt wurden oder später von den Personen durch die Ausübung der Opt-in-Wahl autorisiert wurden. Wir behandeln auch alle personenbezogenen Daten, die von einem Dritten eingehen, wenn der Dritte sie als sensibel identifiziert und behandelt. |
| 3. VERANTWORTLICHKEIT FÜR WEITERE ÜBERWEISUNGEN | |
| Um personenbezogene Daten an einen Dritten zu übermitteln, der als Verantwortlicher fungiert, müssen Unternehmen die Grundsätze für Mitteilungen und Auswahlmöglichkeiten einhalten. Unternehmen müssen auch einen Vertrag mit dem für die Verarbeitung Verantwortlichen schließen, der vorsieht, dass diese Daten nur für begrenzte und bestimmte Zwecke im Einklang mit der von der Person erteilten Zustimmung verarbeitet werden dürfen und dass der Empfänger das gleiche Schutzniveau wie die Grundsätze bietet und die Organisation benachrichtigt, wenn er feststellt, dass er diese Verpflichtung nicht mehr erfüllen kann. Der Vertrag sieht vor, dass der für die Verarbeitung Verantwortliche bei einer solchen Feststellung die Verarbeitung einstellt oder andere angemessene und angemessene Abhilfemaßnahmen ergreift. |
Wenn wir personenbezogene Daten an einen Dritten übermitteln, der als Verantwortlicher fungiert, erfüllen wir die Grundsätze der Mitteilung und Auswahl in der oben genannten Weise. Wir schließen auch Verträge mit externen Verantwortlichen ab, die vorsehen, dass diese Daten nur zu begrenzten und festgelegten Zwecken verarbeitet werden dürfen, die mit der von der Person erteilten Zustimmung übereinstimmen, und dass der externe Verantwortliche das gleiche Schutzniveau wie die Grundsätze bietet und uns benachrichtigt, wenn der Dritte feststellt, dass er diese Verpflichtung nicht mehr erfüllen kann. Diese Verträge sehen vor, dass der für die Verarbeitung Verantwortliche bei einer solchen Feststellung die Verarbeitung einstellt oder andere angemessene und angemessene Abhilfemaßnahmen ergreift. |
| Um personenbezogene Daten an einen Dritten, der als Vermittler handelt, zu übermitteln, müssen Unternehmen: (i) diese Daten nur für begrenzte und bestimmte Zwecke übermitteln; (ii) sicherstellen, dass der Vermittler verpflichtet ist, mindestens das gleiche Maß an Datenschutz zu bieten, wie es in den Grundsätzen vorgeschrieben ist; (iii) angemessene und angemessene Schritte unternehmen, um sicherzustellen, dass der Vermittler die übermittelten personenbezogenen Daten effektiv in einer Weise verarbeitet, die mit den Verpflichtungen der Organisation gemäß den Grundsätzen im Einklang steht; (iv) den Vermittler verpflichten, die Organisation zu benachrichtigen, wenn er feststellt, dass er seiner Verpflichtung, das gleiche Schutzniveau zu bieten, wie es in den Grundsätzen vorgeschrieben ist, nicht mehr nachkommen kann; (v) bei Ankündigung, einschließlich (iv) angemessene und angemessene Schritte, angemessene und angemessene Maßnahmen zu ergreifen, um aufzuhören und angemessene Schritte einzuleiten eine unbefugte Verarbeitung zu beheben und (vi) der Hauptabteilung auf Anfrage eine Zusammenfassung oder eine repräsentative Kopie der einschlägigen Datenschutzbestimmungen ihres Vertrags mit diesem Agenten vorzulegen. | Wenn wir personenbezogene Daten an einen Dritten übermitteln, der als Vermittler handelt, (i) übermitteln wir diese Daten nur für begrenzte und bestimmte Zwecke; (ii) wir verlangen (in der Regel vertraglich) mindestens das gleiche Maß an Datenschutz, wie es in den Grundsätzen vorgeschrieben ist; (iii) wir ergreifen angemessene und angemessene Schritte, um sicherzustellen, dass der Vermittler die übermittelten personenbezogenen Daten effektiv in einer Weise verarbeitet, die mit den Verpflichtungen der Organisation gemäß den Grundsätzen im Einklang steht; (iv) wir fordern den Vermittler auf, uns zu benachrichtigen, wenn er feststellt, dass er nicht mehr in der Lage ist, seiner Verpflichtung nachzukommen, das gleiche Schutzniveau zu bieten, wie es in den Grundsätzen vorgeschrieben ist; (v) wir bei Kündigung, einschließlich unter (iv) angemessene und geeignete Schritte unternehmen, um aufzuhören und angemessene Abhilfemaßnahmen zu ergreifen unbefugte Verarbeitung; und (vi) wir werden dem Handelsministerium auf Anfrage eine Zusammenfassung oder eine repräsentative Kopie der einschlägigen Datenschutzbestimmungen unseres Vertrags mit diesem Agenten zur Verfügung stellen. |
| 4. SICHERHEIT | |
| Organisationen, die personenbezogene Daten erstellen, pflegen, nutzen oder verbreiten, müssen angemessene und angemessene Maßnahmen ergreifen, um sie vor Verlust, Missbrauch und unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu schützen, wobei die mit der Verarbeitung verbundenen Risiken und die Art der personenbezogenen Daten gebührend zu berücksichtigen sind. |
Wir ergreifen angemessene und angemessene Maßnahmen, um personenbezogene Daten vor Verlust, Missbrauch und unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu schützen, unter gebührender Berücksichtigung der Risiken, die mit der Verarbeitung und der Art der personenbezogenen Daten verbunden sind. Wir tun dies, indem wir uns an interne Richtlinien und Praktiken halten, die auf diese Anforderungen zugeschnitten sind. |
| 5. DATENINTEGRITÄT UND ZWECKBESCHRÄNKUNG | |
| Im Einklang mit den Grundsätzen müssen personenbezogene Daten auf die Informationen beschränkt werden, die für die Zwecke der Verarbeitung relevant sind. Eine Organisation darf personenbezogene Daten nicht in einer Weise verarbeiten, die mit den Zwecken unvereinbar ist, für die sie erhoben oder später von der Person autorisiert wurden. Soweit dies für diese Zwecke erforderlich ist, muss ein Unternehmen angemessene Schritte unternehmen, um sicherzustellen, dass personenbezogene Daten für den beabsichtigten Gebrauch zuverlässig, genau, vollständig und aktuell sind. Ein Unternehmen muss die Grundsätze einhalten, solange es solche Informationen aufbewahrt. |
Wir verarbeiten personenbezogene Daten, die wir für die Durchführung unseres Geschäfts benötigen. Wir verarbeiten personenbezogene Daten nur in einer Weise, die mit den Zwecken, zu denen wir sie erhoben haben, vereinbar ist oder von der betroffenen Person nachträglich autorisiert wurde. Wir ergreifen angemessene Maßnahmen, um sicherzustellen, dass personenbezogene Daten für den beabsichtigten Gebrauch zuverlässig, genau, vollständig und aktuell sind. Wir halten die Grundsätze ein, solange wir die personenbezogenen Daten speichern. |
| Die Informationen dürfen in einer Form aufbewahrt werden, die die Person identifiziert oder identifizierbar macht, nur solange sie einem Verarbeitungszweck im Sinne des vorstehenden Absatzes dienen. Diese Verpflichtung hindert Unternehmen nicht daran, personenbezogene Daten für einen längeren Zeitraum zu verarbeiten, und zwar in dem Umfang, in dem eine solche Verarbeitung in angemessener Weise der Archivierung im öffentlichen Interesse, dem Journalismus, der Literatur und Kunst, der wissenschaftlichen oder historischen Forschung und der statistischen Analyse dient. In diesen Fällen unterliegt diese Verarbeitung den anderen Grundsätzen und Bestimmungen des [Datenschutzschild]-Rahmens. Organisationen sollten angemessene und angemessene Maßnahmen zur Einhaltung dieser Bestimmung ergreifen. |
Sofern die Grundsätze nichts anderes zulassen, vernichten oder anonymisieren wir personenbezogene Daten, nachdem sie nicht mehr dem oben genannten Zweck der Verarbeitung dienen und/oder sobald eine gesetzmäßige Grundlage für die Verarbeitung besteht. |
| 6. ZUGRIFF | |
| Einzelpersonen müssen Zugang zu personenbezogenen Daten haben, über die ein Unternehmen verfügt, und in der Lage sein, diese Informationen zu korrigieren, zu ändern oder zu löschen, wenn sie ungenau sind oder unter Verstoß gegen die Grundsätze verarbeitet wurden, es sei denn, die Belastung oder die Kosten der Gewährung des Zugangs stünden in keinem Verhältnis zu den Risiken für die Privatsphäre der Person in dem betreffenden Fall oder wenn die Rechte anderer Personen als der Einzelperson verletzt würden. |
Wir gewähren betroffenen Personen Zugriff auf die sie betreffenden personenbezogenen Daten, die wir haben, und werden bei der Korrektur, Berichtigung oder Löschung dieser Informationen helfen, wenn sie ungenau sind oder unter Verstoß gegen die Grundsätze verarbeitet wurden. Wenn Sie uns kontaktieren möchten, um auf Ihre Informationen zuzugreifen, können Sie dies mithilfe der Informationen im Abschnitt "Wie Sie uns kontaktieren können"tun. Wir behalten uns das Recht vor, diesen Zugang und damit zusammenhängende Aktivitäten zu beschränken, wenn die Belastung oder die Kosten der Bereitstellung des Zugangs in dem betreffenden Fall unverhältnismäßig groß wären für die Risiken für Ihre Privatsphäre oder wenn die Rechte anderer Personen als Sie verletzt würden. |
| 7. RÜCKGRIFF, DURCHSETZUNG UND HAFTUNG | |
| Ein wirksamer Schutz der Privatsphäre muss solide Mechanismen zur Gewährleistung der Einhaltung der Grundsätze, die Inanspruchnahme von Personen, die von der Nichteinhaltung der Grundsätze betroffen sind, und die Folgen für das Unternehmen umfassen, wenn die Grundsätze nicht befolgt werden. Diese Mechanismen müssen mindestens Folgendes umfassen: | |
|
Für personenbezogene Geschäftsdaten verwenden wir JAMS in den USA als unseren alternativen Anbieter für die Beilegung von Streitigkeiten. Solche Dienste sind in den Vereinigten Staaten verfügbar. Informationen über JAMS finden Sie unter https://www.jamsadr.com/files/Uploads/Documents/Corporate-Fact-Sheet.pdf und Informationen über das JAMS EU-U.S. Privacy Shield-Programm finden Sie unter https://www.jamsadr.com/eu-us-privacy-shield. Wenn (1) Ihre personenbezogenen Daten in einem EU-/EWR-Land und/oder der Schweiz erhoben wurden und (2) Sie der Meinung sind, dass Sie einen Anspruch auf die Erhebung, Verwendung und Speicherung Ihrer personenbezogenen Daten durch LLamasoft haben, können Sie sich an JAMS wenden, um mit der Eröffnung eines Datenschutzfalls zu beginnen. Ihr Fall muss sich mit einem angeblichen Verstoß gegen eines oder mehrere der Datenschutzschild-Prinzipien befassen. Weitere Informationen und die Einreichung eines Antrags finden Sie unter: Im Bereich Personalwesen arbeiten wir mit den Gremien zusammen, die von den Europäischen Datenschutzbehörden bzw. dem Eidgenössischen Datenschutzbeauftragten eingerichtet wurden. |
|
Der in unserer Privacy Shield-Zertifizierung identifizierte Corporate Officer (die Sie unter https://www.privacyshield.gov/listnachsehen können) ist für die Überprüfung verantwortlich, dass unsere Bescheinigungen wahr sind und dass Datenschutzpraktiken implementiert wurden. Diese Person verfügt über die notwendige Autorität, um diese Aufgaben wahrzunehmen. Darüber hinaus schreiben unsere Richtlinien und Verfahren vor, dass unser Personal Beschwerden und Verstöße gemäß den Grundsätzen behandelt. |
|
Unsere Verfahren, die in den entsprechenden Handbüchern, Stellenbeschreibungen, Richtlinien und Mitteilungen enthalten sind, verkünden unsere Einhaltung der Grundsätze und sehen angemessene Sanktionen für Verstöße durch unsere Mitarbeiter und Vertreter vor. |
| Organisationen und ihre ausgewählten unabhängigen Beschwerdemechanismen werden umgehend auf Anfragen und Ersuchen des Ministeriums um Informationen im Zusammenhang mit dem Datenschutzschild reagieren. Alle Organisationen müssen umgehend auf Beschwerden über die Einhaltung der Grundsätze reagieren, die von den Behörden der EU-Mitgliedstaaten (oder der Schweiz) über die Hauptabteilung angeführt werden. Organisationen, die sich für die Zusammenarbeit mit Datenschutzbehörden (oder, im Fall der schweizerischen betroffenen Personen, dem Eidgenössischen Datenschutz- und Informationsbeauftragten) entschieden haben, einschließlich Organisationen, die Personaldaten verarbeiten, müssen im Hinblick auf die Untersuchung und Beilegung von Beschwerden direkt auf diese Behörden reagieren. | Wir werden - und wir werden unsere unabhängigen Beschwerdemechanismen dazu veranlassen - allen Anfragen von zuständigen Regierungsbehörden nach Informationen im Zusammenhang mit dem Datenschutzschild umgehend nachkommen und werden auf Beschwerden von EU-Mitgliedstaaten oder schweizerischen Behörden reagieren, wie dies in den Grundsätzen vorgeschrieben ist. |
| Organisationen sind verpflichtet, Ansprüche zu schlichten und die in Anhang I genannten Bedingungen einzuhalten, vorausgesetzt, dass sich eine Person auf ein verbindliches Schiedsverfahren berufen hat, indem sie die betreffende Organisation benachrichtigt hat und die in Anhang I genannten Verfahren und Bedingungen befolgt. |
"Anhang I" enthält die Bedingungen, unter denen die den Datenschutzschild zertifizierenden Organisationen verpflichtet sind, Ansprüche gemäß den Grundsätzen des Rechtsschutzes, der Durchsetzung und der Haftung zu schlichten. Hat sich eine Person auf ein verbindliches Schiedsverfahren berufen, indem sie die erforderliche Mitteilung übermittelt hat, so werden wir gemäß den Bedingungen in Anhang I ein Schiedsverfahren einleiten. Sie können Anhang I für sich selbst einsehen, wenn Sie möchten (für den EU-US-Datenschutzschild). EU - US-Datenschutzschild ANHANG 1 oder (für das Swiss-U.S. Privacy Shield) |
| Im Rahmen einer Weiterübertragung ist eine Datenschutzschild-Organisation für die Verarbeitung personenbezogener Daten verantwortlich, die sie im Rahmen des Datenschutzschilds erhält, und überträgt anschließend an einen Dritten, der in ihrem Namen als Vermittler handelt. Die Datenschutzschild-Organisation haftet nach den Grundsätzen, wenn ihr Vertreter diese personenbezogenen Daten in einer mit den Grundsätzen unvereinbaren Weise verarbeitet, es sei denn, die Organisation weist nach, dass sie für das Ereignis, das den Schaden verursacht hat, nicht verantwortlich ist. | Wir übernehmen die Verantwortung für die Einhaltung der Grundsätze für alle personenbezogenen Daten, die wir im Rahmen des Datenschutzschilds erhalten. Wir verpflichten unsere Vertreter, bei der Verarbeitung solcher personenbezogener Daten vertraglich oder anderweitig die Grundsätze einzuhalten. Wir haften und bleiben für eine solche Verarbeitung verantwortlich, es sei denn, wir weisen nach, dass wir für das Ereignis, das den Schaden verursacht hat, nicht verantwortlich sind. |
| Unterliegt ein Unternehmen einer FTC oder einem Gerichtsbeschluss aufgrund von Nichteinhaltung, veröffentlicht es alle relevanten Abschnitte des Datenschutzschilds eines Compliance- oder Bewertungsberichts, der der FTC vorgelegt wird, soweit dies mit den Vertraulichkeitsanforderungen vereinbar ist. Das Departement hat eine eigene Anlaufstelle für Datenschutzbeauftragte und den Eidgenössischen Datenschutz- und Informationsbeauftragten eingerichtet, die für alle Compliance-Probleme von Datenschutzschild-Organisationen zuständig ist. Die FTC wird Verweisungen des Ministeriums, der EU-Mitgliedstaaten und der schweizerischen Behörden wegen Nichteinhaltung der Grundsätze vorrangig prüfen und Informationen über Verweisungen vorbehaltlich bestehender Vertraulichkeitsbeschränkungen rechtzeitig mit den verweisenden staatlichen Behörden austauschen. | Wenn wir Gegenstand einer FTC oder einer gerichtlichen Anordnung aufgrund von Nichteinhaltung werden, veröffentlichen wir alle relevanten Abschnitte des Datenschutzschilds in Bezug auf Compliance- oder Bewertungsberichte, die der FTC übermittelt werden, soweit dies mit Vertraulichkeitsanforderungen vereinbar ist. |
So kontaktieren Sie uns
Sie können uns unter Verwendung der folgenden Informationen kontaktieren
Datenschutzbüro
LLamasoft, Inc. (ein Coupa-Unternehmen)
E-Mail: GDPR@coupa.com
Hinweis: Einige Inhalte wurden maschinell übersetzt.