Verbindliche interne Datenschutzvorschriften

Ein angemessenes und einheitliches Datenschutzniveau

Die Binding Corporate Rules (BCR, zu Deutsch: verbindliche interne Datenschutzvorschriften) sind ein internes Regelwerk, das Fresenius dabei hilft, die zahlreichen geltenden Datenschutzgesetze in aller Welt einzuhalten. Die BCR Dokumente schreiben ein einheitliches internes Datenschutzniveau vor, zu dessen Einhaltung sich die beteiligten Fresenius Gesellschaften verpflichten. Hierdurch wird ein rechtsicherer Austausch personenbezogener Daten zwischen den beteiligten Fresenius Gesellschaften ermöglicht.

Geltungsbereich: Weltweit gültig

Die BCR gelten für folgende Fresenius-Unternehmen:

• Fresenius Kabi AG einschließlich aller Tochterunternehmen / verbundenen Unternehmen
• Fresenius Digital Technology (FDT)
• Fresenius SE & Co. KGaA

Anwendungsbereich: Anwendbar auf bestimmte Aktivitäten

Die BCR finden auf die folgenden Verarbeitungsaktivitäten personenbezogener Daten Anwendung:

• Alle Verarbeitungsaktivitäten europäischer Unternehmen
• Verarbeitungsaktivitäten nicht-europäischer Unternehmen:
  • wenn sie personenbezogene Daten für ein europäisches Fresenius-Unternehmen verarbeiten
  • wenn sie mit einem europäischen Fresenius-Unternehmen zusammenarbeiten
  • wenn sie personenbezogene Daten von europäischen Fresenius-Unternehmen erhalten
  • wenn sie personenbezogene Daten von Personen erheben, die sich in Europa befinden, um Waren und Dienstleistungen anzubieten oder das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

Die BCR finden sowohl auf papierbasierte als auch auf IT-basierte Verarbeitungsaktivitäten Anwendung.
Die BCR finden auf alle Verarbeitungsaktivitäten Anwendung, die eine strukturierte Suche nach personenbezogenen Daten erlauben.

Die BCRs sind ein Mindeststandard

Das bedeutet, sofern lokale Datenschutzgesetze strengere oder zusätzliche Regeln für die Verarbeitung personenbezogener Daten verlangen, müssen diese Regeln zusätzlich beachtet und umgesetzt werden.

Falls ein lokales Gesetz den BCR widerspricht, muss der Datenschutzbeauftragte hierüber informiert werden. Der Datenschutzbeauftragte beurteilt die Auswirkungen und löst den Konflikt.

Sofern ein Fresenius-Unternehmen eine behördliche Anordnung zur Offenlegung personenbezogener Daten erhält, die nicht den Anforderungen der BCR zu einer Offenlegung entspricht, muss der Datenschutzbeauftragte informiert werden. Der Datenschutzbeauftragte informiert die zuständige Aufsichtsbehörde.

Die BCRs sind bindend für alle unsere Mitarbeiter

Die BCR müssen befolgt werden von:

• alle Unternehmen: Sie unterzeichnen einen Vertrag.
• allen Mitarbeitern: Sie sind aufgrund ihres Arbeitsvertrages verpflichtet, die internen Richtlinien zu befolgen.

Organisationen und Menschen können aus diesen Verpflichtungen Rechte ableiten.

Das bedeutet für Sie: Die BCRs sind wie andere interne Richtlinien zu behandeln und zu befolgen. Die Verpflichtung zur Einhaltung solcher Richtlinien ergibt sich aus Ihrem Arbeitsvertrag. Das bedeutet auch, dass bei Verstößen gegen die BCR die gleichen Sanktionen wie bei jedem anderen Richtlinienverstoß Anwendung finden (können).

Die Fresenius-Gruppe hat eine interne Datenschutzorganisation aufgebaut und die folgenden Rollen und Zuständigkeiten zugewiesen:

• Der Datenschutzbeauftragte überprüft, d.h. kontrolliert und überwacht, ob die BCR, lokalen Gesetze, sowie Regeln und Verfahren eingehalten werden. Der Datenschutzbeauftragte kann Auditierungen, Prüfungen und Untersuchungen durchführen. Der Datenschutzbeauftragte ist auch die Kontaktperson für die Datenschutzbehörden in Europa. Die Kontaktdaten lauten:

Datenschutzbeauftragter:
Else-Kröner-Str. 1
61352 Bad Homburg vor der Höhe
Deutschland
Oder per E-Mail:
Für Fresenius SE und FDT: dataprotectionofficer@fresenius.com
Für Unternehmen von Fresenius Kabi: dataprotectionofficer@fresenius-kabi.com

• Der lokale Datenschutzberater unterstützt und berät lokale Mitarbeiter sowie Prozesseigner bei allen Fragen oder Bedenken im Zusammenhang mit dem Datenschutz. Sofern erforderlich unterstützt der lokale Datenschutzberater den Datenschutzberater und den Datenschutzbeauftragten auf Aufforderung bei deren Aufgaben und fungiert als Ansprechpartner für die Aufsichtsbehörden (beispielsweise zur Überwindung von Sprachbarrieren).
• Der Datenschutzberater unterstützt und berät die die lokalen Datenschutzberater und ist für das Datenschutzmanagementsystem verantwortlich. Sofern erforderlich unterstützt der Datenschutzberater den Datenschutzbeauftragten bei dessen Aufgaben und fungiert als Ansprechpartner für die Aufsichtsbehörden (beispielsweise zur Überwindung von Sprachbarrieren).

Bei der Verarbeitung personenbezogener Daten muss jedes beteiligte Fresenius Unternehmen die folgenden Grundsätze einhalten, damit der Schutz der Grundrechte und Freiheiten der betroffenen Personen gesichert ist:

Grundsatz 1: Rechtmäßigkeit

Wenn personenbezogene Daten erhoben, verwendet und verarbeitet werden, muss eine Rechtsgrundlage bestehen und dokumentiert werden. Diese Rechtsgrundlagen sind beispielhaft aufgelistet:

• Für die Erfüllung eines Vertrages mit der betroffenen Person ist die Verarbeitung personenbezogener Daten notwendig (z.B. Arbeits- und Kaufverträgen).
• Eine betroffene Person hat ihre Einwilligung in die Datenverarbeitung erteilt.
• Ein dokumentiertes berechtigtes Interesse von Fresenius an einer Datenverarbeitung überwiegt negative Folgen für die betroffenen Personen.
• Es besteht die Notwendigkeit rechtliche Verpflichtungen zu erfüllen, beispielsweise durch Steuer- und Sozialgesetzgebung, sowie Vigilanz- oder GxP-Anforderungen.

Besondere Datenkategorien wie Gesundheitsdaten dürfen nur unter zusätzlichen Voraussetzungen und einer eigenen spezifischen rechtlichen Grundlage verarbeitet werden.

Falls lokale Gesetze zusätzliche oder abweichende Bestimmungen vorsehen, müssen diese ebenfalls befolgt werden (das könnte zum Beispiel für Mitarbeiterdaten relevant sein).

Grundsatz 2: Transparenz und Verarbeitung nach Treu und Glauben

Personenbezogene Daten müssen transparent und nach Treu und Glauben verwendet werden. Betroffene Personen müssen vor oder zum Zeitpunkt der Erhebung und Verarbeitung personenbezogener Daten über folgende Punkte informiert werden:

• Welches Unternehmen ist die für die Datenverarbeitung verantwortliche Stelle und wie kann es kontaktiert werden
• Welche Daten werden verarbeitet
• Wie werden die Daten verarbeitet
• Warum werden die Daten verarbeitet (Zweck)
• An welche Organisationen werden die Daten weitergegeben
• In welche anderen Länder werden die Daten weitergegeben
• Wie lange werden die Daten gespeichert
• Welche Rechtsgrundlage für die Erhebung und Verwendung der Daten Anwendung findet
• Findet ein Profiling betroffener Personen statt
• Findet eine automatisierte Entscheidungsfindung statt
• Ob die Daten durch die betroffene Person bereitgestellt werden müssen, und mögliche Konsequenzen für die Betroffenen, wenn Daten nicht bereitgestellt werden
• Wie der Datenschutzbeauftragte und die Datenschutzaufsichtsbehörde kontaktierbar sind
• Welche Rechte die betroffen Person hat

All diese Informationen müssen in verständlicher und leicht zugänglicher Form, sowie in klarer und einfacher Sprache bereitgestellt werden.

Grundsatz 3: Zweckbindung

Personenbezogene Daten dürfen nur für die konkreten, benannten und berechtigten Zwecke verarbeitet werden, für die sie erhoben wurden. Eine darüberhinausgehende Verwendung ist grundsätzlich nicht erlaubt, wenn die Verwendung nicht mit dem ursprünglichen Zweck vereinbar ist und/oder zusätzliche Maßnahmen ergriffen werden. Die folgenden Zwecke werden für eine Weiterverarbeitung mit dem ursprünglichen Zweck als vereinbar angesehen:

• Archivierung
• interne AuditsUntersuchungen

Der (lokale) Datenschutzberater unterstützt hinsichtlich der Frage, ob und wann eine Änderung eines Zwecks zulässig ist. Ist eine Änderung des Zwecks zulässig, müssen die betroffenen Personen über diese Änderung informiert werden.

Grundsatz 4: Datenminimierung

Es dürfen nur personenbezogene Daten erhoben und verarbeitet werden, die für die benannten und mitgeteilten Zwecke notwendig sind. Das bedeutet, dass sichergestellt werden muss, dass die personenbezogenen Daten hinsichtlich des Zwecks nötig und nicht übermäßig umfangreich sind.

Grundsatz 5: Richtigkeit

Personenbezogenen Daten müssen sachlich richtig sein und auf neuestem Stand gehalten werden. Es müssen Verfahren umgesetzt werden, die sicherstellen, dass unrichtige Daten unverzüglich gelöscht, korrigiert oder aktualisiert werden.

Grundsatz 6: Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange aufbewahrt werden, bis der Zweck, für den sie erhoben wurden, erfüllt ist. Es sei denn, eine längere Aufbewahrung ist gesetzlich vorgeschrieben (Aufbewahrungspflicht). In diesem Fall muss der Zugriff auf die Daten eingeschränkt werden. Personenbezogene Daten müssen gelöscht oder anonymisiert werden, wenn die Zwecke der Verarbeitung erfüllt sind und keine rechtliche Aufbewahrungspflicht besteht.

Grundsatz 7: Sicherheit, Integrität und Vertraulichkeit

Es müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, um personenbezogene Daten vor Vernichtung, Verlust, Veränderung, Offenlegung oder unberechtigten Zugang zu schützen (z.B. durch angemessene Rechte- und Rollenkonzepte, Backups und Wiederherstellung oder durch Verschlüsselung).

Der Umfang solcher Maßnahmen ist dabei an den Risiken für die betroffene Personen auszurichten. Die Sicherheit von IT-Systemen muss bei der Installation und Wartung im Hinblick auf diese Risiken für die Individuen geprüft werden.

Jede Verletzung der Sicherheit von IT-Systemen, die zu einem Risiko für die betroffenen Personen führen könnte, muss dokumentiert und der Datenschutzorganisation gemeldet werden. Abhängig von der Situation müssen solche Verletzungen auch der Aufsichtsbehörde, den betroffenen Personen oder anderen Organisationen gemeldet werden.

Grundsatz 8: Rechenschaftspflicht

Die Einhaltung der BCR muss nachgewiesen werden. Dies erfolgt durch Erstellung und Pflege einer angemessenen Dokumentation, wie beispielsweise:

• Verzeichnis von Verarbeitungstätigkeiten (RoPA)
• technische und organisatorische Maßnahmen, die zur Einhaltung der Datenschutzgrundsätze und zur Begrenzung der Risiken ergriffen wurden
• Datenschutzrisikobewertungen

Beauftragung von Auftragsverarbeitern

Es dürfen ausschließlich Auftragsverarbeiter beauftragt werden, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der BCR und der lokalen Datenschutzgesetze erfolgt. Hierzu muss eine Auftragsverarbeitungsvereinbarung zwischen dem jeweiligen Fresenius-Unternehmen und dem Auftragsverarbeiter abgeschlossen werden.

Übermittlungen und Weiterübermittlungen personenbezogener Daten

Maßnahmen zur angemessenen Absicherung von Übermittlungen personenbezogener Daten an andere Organisationen außerhalb des Europäischen Wirtschaftsraums (EWR) müssen in Übereinstimmung mit den vorliegenden BCR ergriffen werden. Eine exemplarische Maßnahme hierzu ist der Abschluss von Standardvertragsklauseln, wie sie von der Europäischen Kommission verabschiedet wurden, mit der betreffenden Organisation.

Datenschutzrisikobewertung

Für jede Verarbeitungstätigkeit muss eine Datenschutzrisikobewertung durchgeführt werden. Diese Bewertung ist ein formaler Prozess zur Beurteilung der Folgen der Verarbeitung für die Rechte und Freiheiten der betroffenen Personen.

Hierbei werden potenzielle Risiken und zu implementierende Massnahmen in einem Bericht erfasst und dokumentiert. Anschliessend müssen technische und organisatorische Massnahmen ergriffen werden, um das Risiko entsprechend abzumildern, bevor eine geplante Verarbeitung durchgeführt werden kann.

Datenschutz-Folgenabschätzungen

Sofern eine Datenschutzrisikobewertung ein hohes Risiko ergibt, ist eine Datenschutz-Folgenabschätzung durchzuführen. Dazu wird die Meinung des Datenschutzbeauftragten eingeholt.

Wird bei einer Datenschutz-Folgenabschätzung für eine bestimmte Verarbeitungstätigkeit ein hohes Risiko festgestellt, müssen vor Beginn der Verarbeitungsaktivität angemessene Massnahmen ergriffen werden, um dieses Risiko einzudämmen. Wenn bei der Datenschutz-Folgenabschätzung nach Umsetzung der Massnahmen ein hohes Risiko festgestellt wird, sollte vor der Datenverarbeitung die zuständige Aufsichtsbehörde informiert werden.

Betroffene Personen müssen in der Lage sein, bzgl. ihrer personenbezogenen Daten die folgenden Rechte auszuüben:

• Auskunftsrecht: Die betroffene Person kann Auskunft über die von Fresenius verarbeiteten personenbezogenen Daten verlangen (z.B. über Zweck der Verarbeitung, verarbeitete Datenkategorien, Empfänger, Speicherfristen).
• Recht auf Berichtigung personenbezogener Daten: Die betroffene Person kann die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen.
• Recht auf Löschung personenbezogener Daten: Die betroffene Person kann die Löschung ihrer personenbezogenen Daten verlangen, es sei denn, sie müssen aufbewahrt werden, z. B. aufgrund gesetzlicher Aufbewahrungspflichten.
• Recht auf Einschränkung der Verarbeitung personenbezogener Daten: Die betroffene Person kann die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen, wenn entweder die Richtigkeit der personenbezogenen Daten bestritten wird oder die Verarbeitung unrechtmäßig ist (nicht mehr für die verfolgten Zwecke erforderlich).
• Recht auf Datenübertragbarkeit: Die betroffene Person kann fordern, die sie betreffenden personenbezogenen Daten in einem gängigen und maschinenlesbaren Format zu erhalten, wenn die personenbezogenen Daten von der betreffenden Person selbst zur Verfügung gestellt wurden und zusätzlich eine der folgenden Bedingungen erfüllt ist:
  • Die Verarbeitung basiert auf der Zustimmung der betroffenen Person oder auf einem Vertrag mit der betroffenen Person.
  • Die Verarbeitung erfolgt mit automatisierten Mitteln.
• Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten: Die betroffene Person kann aufgrund seiner persönlichen Situation der Verarbeitung seiner personenbezogenen Daten auf der Grundlage eines berechtigten oder öffentlichen Interesses widersprechen. Ein solcher Antrag muss geprüft werden. Außerdem kann der Betroffene der Direktwerbung und dem Profiling widersprechen. Die Verarbeitung muss dann gestoppt werden.
• Recht auf Schutz vor automatisierten Entscheidungen: Die betroffene Person hat das Recht, keiner automatisierten Entscheidungsfindung (einschließlich Profiling) unterzogen zu werden, die der Person gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen könnte, es sei denn;
  • sie ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich und es sei denn
  • sie beruht auf der ausdrücklichen Einwilligung der betroffenen Person.

Zugang zu den BCR

Die BCR müssen für den Einzelnen in geeigneter Weise zugänglich sein und werden im Internet und im Intranet veröffentlicht.

Mitarbeiter als auch externe Personen können die BCR vom zuständigen Datenschutzbeauftragten sowie von jedem Mitglied der Datenschutzorganisation anfordern.

Beschwerdebehandlung im Rahmen der BCR

Jede Person hat das Recht:

• einen Verstoß gegen die BCR, geltende Datenschutzgesetze, Beschlüsse oder Verfügungen von Aufsichtsbehörden, interne Richtlinien und Leitlinien oder freiwillige Selbstverpflichtungen mit Datenschutzbezug anzuzeigen
• ihre Rechte als betroffene Person auszuüben
• Jedes sonstige Recht im Rahmen der BCR durchzusetzen

Beschwerden können telefonisch oder schriftlich (z.B. per E-Mail oder Brief) sowie mündlich gegenüber dem zuständigen Datenschutzbeauftragten, dem zuständigen (lokalen) Datenschutzberater oder der Compliance-Hotline mitgeteilt werden.

Wird die Beschwerde als berechtigt eingestuft, ergreift das Unternehmen eine oder mehrere angemessene Maßnahmen, um die Beschwerde zu bearbeiten und die betroffene Person innerhalb eines Monats darüber zu informieren.

Haftung und Durchsetzung

Betroffene Personen, die einen Schaden erlitten haben, sind berechtigt, diese Teile der BCR geltend zu machen und gegebenenfalls vor einem zuständigen Gericht Schadensersatz zu erhalten.

Bei nachgewiesenen Verstößen durch Fresenius-Unternehmen außerhalb der EU bzw. des EWR übernimmt die Fresenius SE (FSE) die Verantwortung und die Haftung für jegliche den betroffenen Personen entstandenen Schäden. Das schadensverursachende Fresenius-Unternehmen hat die FSE angemessen bei der zeitnahen Bearbeitung von Beschwerden und Anträgen zu unterstützen.

Kooperation mit Aufsichtsbehörden

Jedes Fresenius-Unternehmen muss mit den Aufsichtsbehörden zusammenarbeiten, Empfehlungen bezüglich der Auslegung dieser BCR umsetzen und Audits durch die zuständigen Aufsichtsbehörden zulassen.

Schulung

Jedes Fresenius-Unternehmen meldet seine Mitarbeiter zu Schulungen über die BCR und die geltenden Datenschutzgesetze an und verpflichtet diese zur Teilnahme, sowie zur regelmäßigen Wiederholung dieser Schulungen. Allgemeine Datenschutz Schulungen müssen allen Mitarbeitern mindestens alle zwei Jahre angeboten werden. Des Weiteren werden rollenspezifische Schulungen (z.B. für die Einkaufsabteilungen) bereitgestellt, bei denen die besonderen Anforderungen der Rollen/Personen berücksichtigt wird.

Audits

Alle Fresenius-Unternehmen verpflichten sich zur Teilnahme an regelmäßigen Audits (in Form von angekündigten und Ad-hoc-Audits), in deren Rahmen die Einhaltung der BCR bewertet und getestet wird. Ferner implementieren sie angemessene und ausreichende Mechanismen zur Behebung von Verstößen gegen die BCR. Die Datenschutzorganisation führt eine Nachverfolgung aller durchgeführten Audits durch, um zu prüfen, ob vorgeschlagene Korrekturmaßnahmen angemessen umgesetzt wurden, und dokumentiert alle Ergebnisse im Auditbericht. Alle Unternehmen stellen den Aufsichtsbehörden die Auditberichte auf Anfrage zur Verfügung.

Aktualisierung der BCR

Alle Fresenius-Unternehmen prüfen lokale Datenschutzgesetze und melden, wenn Änderungen der BCR erforderlich sind. Fresenius kann die BCR bei Bedarf ändern. Alle wesentlichen Änderungen der BCR werden allen Unternehmen und der Aufsichtsbehörde unverzüglich mitgeteilt. Sämtliche anderen nicht wesentlichen Änderungen an den BCR werden den Parteien so schnell wie möglich mitgeteilt.