ADP Privacy Code für Geschäftsdaten Überblick

ADP Privacy Code für Geschäftsdaten Überblick

 

Einleitung

ADP hat als Datenverantwortliche verbindliche interne Datenschutzvorschriften (Engl. „Binding Corporate Rules“, BCR) eingeführt. BCR ist ein von den Datenschutzbehörden der Europäischen Union (EU) anerkanntes, bindendes Regelwerk interner Vorschriften zur Sicherstellung eines konzernweit einheitlichen Vorgehens zur Wahrung der Privatsphäre und zur Einhaltung des Datenschutzes durch alle zur Muttergesellschaft gehörenden Konzerngesellschaften, einschließlich solcher, die außerhalb der EU ansässig sind. Für eine Druckversion dieses Dokuments klicken Sie bitte hier.

Umfang und Anwendbarkeit

Der ADP Privacy Code für Geschäftsdaten erläutert wie ADP die Verpflichtungen, für die Verarbeitung von Personenbezogener Daten umsetzt, die sich auf die Einzelpersonen beziehen, mit denen ADP eine Geschäftsbeziehung hat (z.B. Einzelpersonen, die im Namen des Kunden handeln, Zulieferer, Geschäftspartner, andere Geschäftskontakte und Verbraucher), sowie anderer Einzelpersonen, deren Personenbezogene Daten ADP im Zusammenhang mit ihren Geschäftsaktivitäten als Datenverantwortliche verarbeitet.

Umsetzung

Das Datum des Inkrafttretens des ADP Privacy Codes für Geschäftsdaten ist der 11. April 2018. ADP wird den ADP Privacy Code für Geschäftsdaten innerhalb von 18 Monaten ab dem Datum des Inkrafttretens innerhalb der relevanten ADP Konzerngesellschaften umsetzen.

Glossar für BCR

Um auf das Glossar der Begriffe zuzugreifen, die im Zusammenhang mit ADP´s BCR verwendet werden, klicken Sie bitte hier.

Grundsätze des ADP Privacy Codes für Geschäftsdaten

Der ADP Privacy Code für Geschäftsdaten basiert auf einer Reihe von Datenschutzgrundsätzen, die nachfolgend aufgeführt sind.

Geschäftszwecke für die Verarbeitung Personenbezogener Daten

Personenbezogene Daten können von ADP im Rahmen ihrer Geschäftstätigkeit zu einem oder mehreren der folgenden Zwecke verarbeitet werden:

  1. Geschäftszwecke der Verarbeitung Personenbezogener Daten von Geschäftskontakten:
  1. zur Verwaltung einer Geschäftsbeziehung;
  2. zur Due Diligence innerhalb der Geschäftsbeziehung;
  3. Einzelfallbezogene Mitteilungen;
  4. Kundenkontoführung;
  5. Qualitätssicherung;
  6. Risikomanagement;
  7. Sicherheitsmanagement; und
  8. Anonymisierung oder Unkenntlichmachung Personenbezogener Daten.
  1. Geschäftszwecke für die Verarbeitung Personenbezogener Daten von Verbrauchern und anderen Einzelpersonen:
  1. Erbringung von angeforderten Informationen, Produkte oder Dienstleistungen;
  2. Erfüllung von Sorgfaltspflichten;
  3. Einzelfallbezogene Mitteilungen;
  4. Kundenkontoführung;
  5. Risikomanagement;
  6. Sicherheitsmanagement; und
  7. Anonymisierung und Unkenntlichmachung Personenbezogener Daten.
  1. Geschäftsnotwendige Verarbeitungstätigkeiten:
  1. Schutz der Privatsphäre und Sicherheit;
  2. Finanzgeschäfte und Gelbewegungsaktivitäten;
  3. Compliance;
  4. Unternehmensstrukturierung; und
  5. Berichterstattung und Analyse.
  1. Entwicklung und Verbesserung von Produkten und/oder Dienstleistungen; und
  2. Beziehungsmanagement und Marketing.

Wenn kein Geschäftszweck vorliegt (oder wenn Anwendbares Recht dies verlangt), wird ADP die Einwilligung der Einzelperson für die Verarbeitung einholen. Einzelpersonen können ihre Einwilligung jederzeit durch Mitteilung an ADP widerrufen.

Verwendung für anderen Zwecken

Personenbezogene Daten können für einen, dem legitimen Geschäftszweck ähnlichem, Anderen Zweck verarbeitet werden, sofern geeignete zusätzliche Maßnahmen getroffen werden. Es ist allgemein zulässig, Personenbezogene Daten für folgende Zwecke zu verarbeiten (selbst wenn sie nicht als Geschäftszweck aufgeführt sind), sofern geeignete zusätzliche Maßnahmen ergriffen werden:

  1. Notfallwiederherstellung und Geschäftskontinuität, einschließlich der Übertragung von Informationen in ein Archiv;
  2. Interne Audits oder Untersuchungen;
  3. Implementierung oder Verifizierung von Geschäftskontrollen;
  4. Statistische, historische oder wissenschaftliche Forschung;
  5. Streitbeilegung;
  6. Rechts- oder Geschäftsberatung;
  7. Einhaltung von Gesetzen und Unternehmensrichtlinien; oder
  8. Versicherungszwecke.

Zwecke für die Verarbeitung Besonderer Datenkategorien

Die folgenden Besonderen Datenkategorien können von ADP für die unten angegebenen Zwecke verarbeitet werden:  

  1. Besondere Datenkategorien offenbart durch fotografische Abbildungen. Fotos und Videoaufnahmen können für Sicherheits- und Compliance-Zwecke und andere legitime Zwecke, wie der Teilnahme an einer Videokonferenz, verarbeitet werden.
  2. Rassen- und Ethnodaten. ADP kann bei Bedarf Rassen- und Ethnodaten verarbeiten, um Lieferanten und andere Diversitätsprogramme zu ermöglichen.
  3. Strafrechtliche Daten (einschließlich Daten über das strafrechtliche Verhalten, Strafregister oder Verfahren wegen strafbaren oder rechtswidrigen Verhaltens). ADP kann strafrechtliche Daten bei Bedarf verarbeiten, um eine angemessene Sorgfaltspflicht in Bezug auf Einzelpersonen durchzuführen, und im Zusammenhang mit Sicherheits- und Compliance-Aktivitäten, um die Interessen von ADP zu schützen.     
  4. Daten zur körperlichen oder geistigen Gesundheit. ADP kann Daten zur körperlichen oder geistigen Gesundheit verarbeiten, soweit dies zur Berücksichtigung einer Behinderung oder Ernährungsanforderungen einer Person, für eine Notfallversorgung oder ähnliche Situationen erforderlich ist.
  5. Biometrische Daten (wie Fingerabdrücke). ADP kann biometrische Daten zum Schutz der Assets von ADP und ihren Mitarbeitern, der Systeme und des Standortzugangs, sowie aus Sicherheitsgründen und zur Betrugsprävention verarbeiten.
  6. Religiöse und weltanschauliche Überzeugung. ADP kann Daten in Bezug auf religiöse oder weltanschauliche Überzeugungen verarbeiten, soweit dies erforderlich ist, um die speziellen Bedürfnisse einer Einzelperson wie Ernährungsanforderungen (koscheres oder Halal-Essen) oder Einhaltung religiöser Feiertage zu erfüllen.

Besondere Datenkategorien können für jeden anderen legitimen Zweck Verarbeitet werden, wenn ADP zuvor die ausdrückliche Einwilligung der Einzelperson einholt.

Menge und Qualität der Daten

ADP wird Aufbewahrungspläne einführen und umsetzen, sodass Datensätze mit Personenbezogenen Daten nur so lange aufbewahrt werden, wie dies für die Erfüllung der jeweiligen Geschäftszwecke oder für die Einhaltung etwaiger gesetzlicher Anforderungen erforderlich ist oder angesichts anwendbarer Verjährungsvorschriften ratsam ist.

Personenbezogene Daten sollten, soweit für den anwendbaren Geschäftszweck vernünftigerweise notwendig,  zutreffend, vollständig und aktuell sein. Es liegt in der Verantwortung der jeweiligen Einzelpersonen, dafür zu sorgen, dass ihre Personenbezogenen Daten zutreffend, vollständig und aktuell sind.

Individuelle Auskunfts-, Berichtigungs- und Widerspruchsrechte

Jede Einzelperson hat das Recht, eine Kopie der Personenbezogenen Daten zu verlangen, die von oder im Namen von ADP gepflegt werden. Sofern die Personenbezogenen Daten nicht richtig, unvollständig oder nicht im Einklang mit Anwendbarem Recht oder dem ADP Privacy Code für Geschäftsdaten verarbeitet werden, hat die Einzelperson das Recht, diese Personenbezogenen Daten (wie jeweils anwendbar) berichtigen, einzuschränken oder sie löschen zu lassen.

Ferner haben Einzelpersonen das Recht a) der Verarbeitung ihrer Personenbezogenen Daten aufgrund zwingender Gründe, die sich auf die spezifische Situation beziehen, oder b) dem Erhalt von Marketingmitteilungen, zu widersprechen.

Informationen rund um den Prozess der Ausübung von Betroffenenrechten, können in Artikel 7 des ADP Privacy Codes für Geschäftsdaten gefunden werden.

Sicherheits- und Vertraulichkeitsanforderungen

ADP ergreift kommerziell angemessene und geeignete technische, physische und organisatorische Maßnahmen, um Personenbezogene Daten vor Missbrauch oder versehentlichen, unrechtmäßigen oder nicht genehmigten Vorgängen, wie Vernichtung, Verlust, Änderung, Offenlegung, Erwerb oder Zugang zu schützen.

Zugang zu Personenbezogenen Daten wird nur gewährt, soweit es für den jeweiligen Geschäftszweck erforderlich ist und ADP´s Belegschaft, welche Zugang zu Personenbezogenen Daten hat, wird an Vertraulichkeitspflichten gebunden.

ADP wird alle bekanntgewordenen oder vermuteten Datensicherheitsverletzungen untersuchen und alle diesbezüglichen Fakten, Auswirkungen und Abhilfemaßnahmen dokumentieren. ADP wird Einzelpersonen innerhalb eines angemessenen Zeitraums nach Feststellung einer Datensicherheitsverletzung über diese informieren, wenn (a) aufgrund der Datensicherheitsverletzung der Einzelperson ein hohes Schadensrisiko droht, oder (b) wenn ein einschlägiges Gesetz die Benachrichtigung verlangt (auch wenn für die Einzelperson kein hohes Schadensrisiko besteht).

Direktmarketing

ADP respektiert die Entscheidungen von Einzelpersonen und bietet den Einzelpersonen die Möglichkeit in das Direktmarketing einzuwilligen oder diesem zu widersprechen. ADP versendet Direktmarketingmitteilungen, wenn die Einzelperson ihre Einwilligung dazu erteilt oder wenn Anwendbares Recht es erlaubt, dass Marketingmitteilungen ohne ausdrückliche Einwilligung auf Basis einer vorhandenen Geschäftsbeziehung, versendet werden.

Übermittlung von Personenbezogenen Daten an Dritte und Interne Auftragsverarbeiter

ADP kann Personenbezogene Daten an Dritte und Interne Auftragsverarbeiter übermitteln, soweit die für die anwendbaren Geschäftszwecke erforderlich ist. ADP wird Personenbezogene Daten nur dann an Dritte oder Interne Auftragsverarbeiter übermitteln, wenn ein schriftlicher Vertrag mit einer ADP Konzerngesellschaft besteht, in dem sichergestellt wird, dass ein dem ADP Privacy Code für Geschäftsdaten vergleichbarer Datenschutz gewährt wird.

Aufsicht

Das ADP-Datenschutzprogramm wird von ADP´s Global Chief Privacy Officer und den Mitgliedern des Global Data Privacy and Governance Teams geleitet. ADP hat ein Privacy Network etabliert, welches aus den Mitgliedern des Global Data Privacy and Governance Teams und anderen Mitgliedern der Rechtsabteilung sowie Compliance-Fachpersonen und Datenschutzbeauftragen besteht, die für die Datenschutz-Compliance innerhalb ihrer Region, Länder, Geschäftseinheiten oder Funktionseinheiten zuständig sind. 

Privacy Stewards sind Führungskräfte, die von einer ADP Führungskraft damit beauftragt wurden, diesen Code in einer Geschäftseinheit oder einem Funktionsbereich von ADP einzuführen und umzusetzen. Privacy Stewards und ausgewählte Mitglieder des Privacy Networks arbeiten in ADP´s Privacy Leadership Council unter der Leitung des ADP Global Chief Privacy Officer, um die Einhaltung der Datenschutzbestimmungen bei ADP zu überwachen.   

Überwachung und Überprüfung

ADP wird Geschäftsprozesse und –verfahren, bei denen Personenbezogene Daten verarbeitet werden, regelmäßig daraufhin auditieren, ob sie mit dem ADP Privacy Code für Geschäftsdaten übereinstimmen. Zudem autorisiert ADP die Führende Aufsichtsbehörde und die Aufsichtsbehörden eines EWR-Landes, ihre Datenverarbeitungseinrichtungen zu auditieren, wie es im ADP Privacy Code für Geschäftsdaten definiert ist.

Der Global Chief Privacy Officer erstellt einen Jahresbericht für den ADP Führungskreis über die Einhaltung des ADP-Privacy Codes für Geschäftsdaten, etwaige Datensicherheits- und Datenschutzrisiken und andere relevante Themen. 

Beschwerdeverfahren

Einzelpersonen, die vom Geltungsbereich des ADP Privacy Codes für Geschäftsdaten umfasst sind, können, wenn sie vermuten, dass ein oder mehrere Mitglieder einer ADP Konzerngesellschaft gegen die Verpflichtungen aus dem ADP Privacy Code für Geschäftsdaten verstoßen hat bzw. haben, eine schriftliche Beschwerde einreichen, wie im ADP Privacy Code für Geschäftsdaten weiter ausgeführt ist.

Beschwerden müssen schriftlich beim ADP Global Data Privacy and Governance Team eingereicht werden. Beschwerden können eingereicht werden per E-Mail an privacy@adp.com oder per Post an:

Führende ADP Konzerngesellschaft

ADP Nederland B.V.
Lylantse Baan 1, 2908
LG CAPELLE AAN DEN IJSSELs
NIEDERLANDE

Einzelpersonen können zudem eine Beschwerde oder eine Klage vor den relevanten Aufsichtsbehörden oder Gerichten einlegen.

ADP Privacy Code für Geschäftsdaten

Um den vollständigen Text des ADP Privacy Codes für Geschäftsdaten anzuzeigen, klicken Sie bitte hier. Um eine Liste der Konzerngesellschaften, für den der ADP Privacy Code für Geschäftsdaten verbindlich ist, anzuzeigen, klicken Sie bitte hier.

Kontaktdaten

Für weitere Informationen über das ADP-Datenschutzprogramm einschließlich des ADP Privacy Codes für Geschäftsdaten, kontaktieren Sie bitte das Global Data Privacy and Governance Team  unter privacy@adp.com.