1. Einführung
Der Total-Konzern („Total“) fördert eine Unternehmenskultur und Praktiken, mit denen personenbezogene Daten (1) gemäß den geltenden Vorschriften geschützt werden. Zu diesem Zweck hat Total Binding Corporate Rules („BCR“) eingeführt.
Im vorliegenden Dokument werden die Grundsätze unserer BCR für den Schutz personenbezogener Daten und die damit einhergehenden Rechte erläutert.
2. Ziel
Bei den BCR handelt es sich um ein System zwingender interner Vorschriften, die für alle Konzerngesellschaften gelten, die sie angenommen haben. Sie wurden von den europäischen Datenschutzbehörden genehmigt.
Sie gestatten den Konzerngesellschaften die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum („EWR“) (2) an Gesellschaften mit Sitz außerhalb des EWR im Einklang mit den geltenden Vorschriften.
3. Anwendungsbereich
Unsere BCR gelten für sämtliche personenbezogenen Daten aus dem EWR, die von den Konzerngesellschaften verarbeitet werden, insbesondere Daten zu Mitarbeitern, Bewerbern, Kunden, potenziellen Kunden, Lieferanten, Zulieferern und Beschäftigten von Drittunternehmen, die auf Rechnung der Konzerngesellschaften handeln, sowie Aktionären (im Folgenden „betroffene Personen“).
4. Grundsätze des Datenschutzes
Folgende in unseren BCR verankerten Grundsätze müssen beachtet werden:
Rechtmäßigkeit
Jede Verarbeitung (3) innerhalb des Konzerns basiert auf einer im geltenden Recht vorgesehenen Rechtsgrundlage.
Personenbezogene Daten dürfen nur legitimen und rechtmäßigen Zwecken verarbeitet werden. Die Daten dürfen anschließend nicht auf eine Weise verarbeitet werden, die mit diesen Zwecken nicht vereinbar ist.
Angemessenheit
Personenbezogene Daten müssen korrekt sein und in Qualität und Quantität dem Zweck der Datenverarbeitung angemessen sein.
Transparenz
Personenbezogene Daten müssen rechtmäßig und nach Treu und Glauben erhoben werden. Die betroffenen Personen müssen über die Art der Verarbeitung und ihre Rechte unterrichtet werden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßig hohen Aufwand verbunden.
Sicherheit
Für personenbezogene Daten müssen geeignete Sicherheitsmaßnahmen getroffen werden, um das Risiko eines unbefugten Zugriffs, der Vernichtung, Veränderung oder des Verlusts der Daten zu begrenzen.
Wenn die Konzerngesellschaft Dritte mit der Verarbeitung personenbezogener Daten beauftragt, vergewissert sie sich, dass diese ausreichende Garantien im Hinblick auf die Sicherheit und Vertraulichkeit der Daten bieten.
Speicherung
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies angesichts des Zwecks der Datenverarbeitung angemessen ist, nicht länger. Nach Ablauf der Speicherfrist werden die Daten gelöscht, anonymisiert oder archiviert.
Internationale Übermittlung (4) personenbezogener Daten
Total übermittelt personenbezogene Daten aus einem Land des EWR nicht direkt an eine Konzerngesellschaft mit Sitz in einem Land, das kein angemessenes Datenschutzniveau gewährleistet, es sei denn, diese hat die BCR ausdrücklich angenommen oder nutzt eines der von der Europäischen Kommission anerkannten Rechtsinstrumente.
Total übermittelt personenbezogene Daten aus dem EWR nicht direkt an eine konzernfremde Gesellschaft (Verantwortlicher oder Auftragsverarbeiter) in einem Land, das kein angemessenes Datenschutzniveau gewährleistet, wenn das geltende Recht keine entsprechende Rechtsgrundlage vorsieht und keine Vorkehrungen für ausreichende Garantien wie die Standardvertragsklauseln getroffen wurden.
Ebenso muss ein Datenimporteur, der personenbezogene Daten aus dem EWR später an eine konzernfremde Gesellschaft (Verantwortlicher oder Auftragsverarbeiter) mit Sitz in einem Land, das kein angemessenes Datenschutzniveau gewährleistet, übermittelt, mit dieser Drittgesellschaft einen Vertrag schließen, in dem sich diese zur Einhaltung der Grundsätze der BCR verpflichtet.
5. Rechte betroffener Personen
Mit unseren BCR werden den betroffenen Personen, deren personenbezogene Daten verarbeitet werden, folgende Rechte eingeräumt:
- Auskunftsrecht bezüglich der Daten
- Recht auf Berichtigung, Löschung oder Sperrung der Daten
- Widerspruchsrecht gegen die Verarbeitung
- Recht auf Einschränkung der Verarbeitung
- [Eine detaillierte Aufstellung der Rechte findet sich in Anhang 1].
Jede Person kann ihre Rechte ausüben, indem sie eine Anfrage an die Ansprechperson sendet, die in den Informationen zur Verarbeitung ihrer personenbezogenen Daten angegeben ist. Total verpflichtet sich, innerhalb einer angemessenen Frist zu antworten.
Zudem kann eine Person eine Beschwerde an den Konzern richten, wenn sie der Meinung ist, eine Konzerngesellschaft habe gegen unsere BCR verstoßen:
per E-Mail an [email protected]
oder
per Post an folgende Adresse: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.
Die Person wird über den Status ihrer Beschwerde und ggf. die von Total daraufhin geplanten Maßnahmen informiert.
Das interne Beschwerdeverfahren wird in Anhang 2 beschrieben.
Die Einreichung einer Beschwerde bei Total bewirkt keinerlei Einschränkung des Rechts auf Beschwerde bei den zuständigen Behörden für den Schutz personenbezogener Daten aus dem EWR oder des Klagerechts vor Gericht in dem Land des EWR, in dem die Konzerngesellschaft ansässig ist, die für die Übermittlung der personenbezogenen Daten verantwortlich ist.
6. Aktualisierung der BCR von Total
Unsere BCR können bei Bedarf ergänzt oder aktualisiert werden.
7. Weitere Informationen
Ein Exemplar der vollständigen Fassung unserer BCR und eine Liste der Konzerngesellschaften, die diese angenommen haben, können per E-Mail unter folgender Adresse angefordert werden: [email protected]
(1) Als personenbezogene Daten gelten sämtliche Informationen, mit denen eine natürliche Person direkt oder indirekt identifiziert werden kann.
(2) EWR: Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.
(3) Unter Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten zu verstehen (z. B. Erhebung, Erfassung, Speicherung, Vernichtung usw.).
(4) Als Übermittlung gilt jeder virtuelle oder physische Austausch personenbezogener Daten aus dem EWR von einem Land in ein anderes.
Anhang 1 - Rechte Drittbegünstigter
Mit den BCR von Total wird den betroffenen Personen das Recht eingeräumt, diese BCR in ihrer Eigenschaft als Drittbegünstigte auf die in den einzelnen Abschnitten der BCR angegebene Weise anwenden zu lassen.
Insbesondere können sie gemäß den in den vorliegenden BCR formulierten Modalitäten und Bedingungen die Anwendung folgender Grundsätze verlangen:
Jede Verarbeitung innerhalb des Konzerns basiert auf einer im geltenden Recht vorgesehenen Rechtsgrundlage.
Total muss die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erheben und verarbeiten und darf die personenbezogenen Daten anschließend nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeiten.
Total darf nur personenbezogene Daten verarbeiten, die für die Zwecke, für die sie die erhoben werden, angemessen sind; die Daten müssen korrekt sein und bei Bedarf aktualisiert werden.
Die betroffenen Personen können jederzeit einfach auf die Informationen zu den Rechten zugreifen, die ihnen laut BCR zustehen.
Die betroffenen Personen, deren personenbezogene Daten aus dem EWR stammen, haben ein Auskunftsrecht, ein Recht auf Berichtigung ihrer Daten und Widerspruch gegen die Verarbeitung ihrer Daten gemäß geltendem Recht.
Die betroffenen Personen, deren personenbezogene Daten aus dem EWR stammen, sind nicht an eine Entscheidung gebunden, die rechtliche Auswirkungen auf sie hat oder sie maßgeblich beeinträchtigt, wenn diese Entscheidung ausschließlich auf der Grundlage einer automatisierten Datenverarbeitung zur Bewertung bestimmter Aspekte ihrer Persönlichkeit getroffen wurde, es sei denn, eine solche Entscheidung: erfolgt im Rahmen des Abschlusses oder der Ausführung eines Vertrags, sofern dem Antrag der betroffenen Person nach Abschluss oder Ausführung des Vertrags stattgegeben wurde oder geeignete Maßnahmen wie die Möglichkeit zur Stellungnahme ergriffen wurden, um die Wahrung ihres legitimen Interesses zu garantieren; oder
ist nach dem geltenden Recht zulässig, in dem auch die Maßnahmen zur Wahrung des berechtigten Interesses der betroffenen Person genannt werden.
Total muss geeignete Vorkehrungen zum Schutz der Sicherheit und Vertraulichkeit der Daten treffen, die dem Stand der Technik und den damit verbundenen Kosten Rechnung tragen.
Total muss eine schriftliche Auftragsvereinbarung mit sämtlichen Dienstleistern schließen, die personenbezogene Daten verarbeiten. Darin ist vorzusehen, dass der Dienstleister auf Anweisung von Total handeln und geeignete Vorkehrungen zum Schutz der Sicherheit und Vertraulichkeit der Daten treffen muss.
Total übermittelt keine Daten aus einem Mitgliedstaat des EWR oder aus dem EWR stammenden Daten an eine konzernfremde Gesellschaft in einem Land, das kein angemessenes Datenschutzniveau gewährleistet (externer Verantwortlicher oder Auftragsverarbeiter), wenn das geltende Recht keine entsprechende Rechtsgrundlage vorsieht und keine Vorkehrungen für ausreichende Garantien getroffen wurden.
Wenn eine Konzerngesellschaft der Ansicht ist, dass die für sie geltende Gesetzgebung die Erfüllung ihrer aus den BCR von Total resultierenden Verpflichtungen gefährdet und möglicherweise negative Auswirkungen auf die durch diese BCR gebotenen Garantien hat, muss sie den Datenexporteur sofort in Kenntnis setzen, es sei denn, dies wird von einer für die Einhaltung des Gesetzes zuständigen Behörde unterbunden, insbesondere aufgrund eines strafrechtlichen Verbots zur Wahrung des Ermittlungsgeheimnisses.
Dank des internen Beschwerdeverfahren kann jede betroffene Person gemäß den Bedingungen im Abschnitt „Beschwerdemanagement“ bei Total Beschwerde einreichen.
Die Konzerngesellschaften, die die BCR angenommen haben, müssen mit den zuständigen Aufsichtsbehörden zusammenarbeiten, deren Empfehlungen bezüglich der internationalen Übermittlung von Daten im Falle einer Beschwerde oder einer speziellen Anfrage dieser Behörden einhalten und sich sämtlichen Kontrollen der Aufsichtsbehörde im Land ihrer Niederlassung unterziehen.
Jede betroffene Person kann Beschwerde bei den nationalen Aufsichtsbehörden oder Klage vor Gericht in dem EWR-Mitgliedstaat einlegen, in dem der Datenexporteur ansässig ist, um die Anwendung der oben genannten Grundsätze zu erwirken und ggf. Schadenersatz für den Schaden zu erhalten, der durch Verstoß gegen die BCR von Total entstanden ist. Wenn der Datenimporteur bei einer Übermittlung personenbezogener Daten außerhalb des EWR die BCR von Total nicht einhält, obliegt es dem Datenexporteur, die Beschwerde anzufechten, nachzuweisen, dass der Datenimporteur nicht gegen die BCR verstoßen hat, und die betroffene Person für den durch diesen Verstoß entstandenen Schaden zu entschädigen.
Anhang 2 - Internes Beschwerdeverfahren
Wenn eine betroffene Person meint, eine Konzerngesellschaft habe die BCR von Total nicht eingehalten, kann sie nach dem Verfahren, das in den Informationen zur Datenverarbeitung oder im geltenden Vertrag aufgeführt wird, oder nach dem unten beschriebenen Verfahren Beschwerde einreichen.
1. Einreichen der Beschwerde
Die betroffene Person kann Beschwerde einreichen:
per E-Mail an [email protected]
oder
per Post an folgende Adresse: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.
In der Beschwerde muss das aufgetretene Problem genau so genau wie möglich beschrieben werden. Dabei ist unter anderem anzugeben:
Land und betroffene Konzerngesellschaft, mutmaßlicher Verstoß gegen die BCR und geforderte Entschädigung
Name, Vorname und Kontaktdaten der betroffenen Person sowie eine Kopie ihres Personalausweises oder eines anderen Ausweispapiers
Bisheriger Schriftverkehr zu dem geschilderten Problem
2. Antwort von Total
Innerhalb von drei Monaten nach Eingang der Beschwerde wird die betroffene Person schriftlich über die Zulässigkeit ihrer Beschwerde und, wenn diese für zulässig befunden wurde, über die von Total ergriffenen oder geplanten Abhilfemaßnahmen informiert. Der zuständige Datenschutzbeauftragte („Branch Data Privacy Lead“, kurz „BDPL“) achtet darauf, dass bei Bedarf geeignete Abhilfemaßnahmen umgesetzt werden, damit die BCR von Total eingehalten werden.
Der zuständige BDPL sendet eine Kopie der Beschwerde und jeder schriftlichen Antwort an den Datenschutzbeauftragten des Konzerns („Corporate Data Privacy Lead“, kurz „CDPL“).
3. Rechtsmittel
Wenn die betroffene Person mit der Antwort des zuständigen BDPL nicht zufrieden ist (z. B. wenn die Beschwerde abgewiesen wurde), kann sie sich per E-Mail oder per Post unter der oben genannten Adresse an den CDPL wenden. Der CDPL prüft die Beschwerde und entscheidet innerhalb von drei Monaten nach Eingang der Anfrage. Innerhalb dieser Frist teilt der CDPL der betroffenen Person mit, ob er die ursprüngliche Antwort bestätigt, und legt andernfalls eine neue Antwort vor.
Unbeschadet der Möglichkeit, dass betroffene Personen Beschwerde bei Total einreichen können, haben sie das Recht, in dem EWR-Mitgliedstaat, in dem der Datenexporteur ansässig ist, Beschwerde bei der zuständigen nationalen Aufsichtsbehörde einzureichen oder Klage vor Gericht zu erheben.