Informationen zum Datenschutz für Kunden, Interessenten und Geschäftspartner von W. R. Grace & Co.
Die Datensicherheit und der Datenschutz für diejenigen, mit denen wir in Kontakt stehen, sind für W. R. Grace & Co. („Grace", „wir", „uns") zentrale Prioritäten. Wir verarbeiten personenbezogene Daten nur in Übereinstimmung mit den geltenden Gesetzen, einschließlich der Datenschutz-Grundverordnung der Europäischen Union (DSGVO), die am 25. Mai 2018 in Kraft getreten ist.
1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Die für die Datenverarbeitung zuständige Stelle ist
IITR Datenschutz GmbH
Marienplatz 2
80331 München
email@iitr.de
Tel. +49 (0)89 1891 7360
Unseren Datenschutzbeauftragten, Dr. Sebastian Kraska, erreichen Sie
per Post an: IITR Datenschutz GmbH, Data Protection Officer, Marienplatz 2, 80331 München, Germany
per E-Mail an: email@iitr.de
2. Welche Quellen und Daten verwenden wir?
Wir verarbeiten personenbezogene Daten, die wir von unseren Kunden oder anderen Parteien (einschließlich von „betroffenen Personen" im Sinne der DSGVO) im Rahmen unserer Geschäftsbeziehungen erhalten.
Wir verarbeiten personenbezogene Daten, 1) die wir rechtmäßig aus öffentlich zugänglichen Quellen beziehen (z. B. Kreditagenturen, Handelsregister, Vereinsregister, Nachrichtenmedien, Internet), 2) die uns von anderen Gesellschaften der Grace-Unternehmensgruppe (Grace) oder von Dritten rechtmäßig zur Verfügung gestellt werden, um unsere Geschäfte in Übereinstimmung mit unseren vertraglichen Verpflichtungen, unseren Richtlinien und geltenden Gesetzen vorantreiben und durchführen zu können.
Insbesondere verarbeiten wir die folgenden personenbezogenen Daten, die für unser Geschäft relevant sind:
- Kundenstammdaten einschließlich der vom Kunden bestimmten Ansprechpartner (z. B. Name, Anschrift, Kontaktdaten, Kontonummern)
- Daten im Zusammenhang mit der Erfüllung von Bestellungen und Verträgen
- Steuerrelevante Daten (Steuernummern)
- Kundenkorrespondenz
- Werbe- und Verkaufsdaten (z. B. Produkte, an denen Kunden interessiert sein könnten)
- Daten, die sich aus der Erfüllung unserer vertraglichen Verpflichtungen ergeben
- Finanzinformationen (z. B. Bonitäts-, Scoring- oder Ratingdaten, Herkunft der Vermögenswerte)
- Dokumentationsdaten (z. B. Qualitätsmanagement, Audits)
- Andere vergleichbare Kategorien von Daten
Wir verarbeiten personenbezogene Daten unserer Kunden sowie anderer betroffener Personen nur in dem Umfang, in dem dies für die Verwaltung unserer Geschäftsbeziehungen, einschließlich der Lieferung von Produkten und Dienstleistungen, erforderlich ist.
Wir verarbeiten personenbezogene Daten unserer Kunden sowie anderer betroffener Personen nur mit deren Zustimmung. Eine Ausnahme gilt in Fällen, in denen eine vorherige Zustimmung nicht möglich ist und die Verarbeitung solcher Daten gesetzlich zulässig ist.
3. Zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten wir personenbezogene Daten?
In Übereinstimmung mit den Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) und des Bundesdatenschutzgesetzes (BDSG) verarbeiten wir personenbezogene Daten für die unten genannten Zwecke und auf Basis der unten genannten Rechtsgrundlagen.
a. Zur Einhaltung von vertraglichen Verpflichtungen (Buchstabe (b) von Art. 6 (1) DSGVO)
Die Daten werden verarbeitet, damit wir Verträge mit unseren Kunden erfüllen oder auf Wunsch der betroffenen Person vor dem Abschluss eines Vertrages Maßnahmen ergreifen können. Die Zwecke der Datenverarbeitung werden in erster Linie durch das Produkt oder die Dienstleistung und ihren Anwendungsbereich bestimmt. Dies kann produktbezogene Daten, wie Analysezertifikate sowie regulatorische (z. B. REACH-) Überwachungs- und Compliance-Daten, umfassen. Die Zwecke der Datenverarbeitung werden durch das spezifische Produkt und die vertraglichen Vereinbarungen, Bedingungen und Konditionen bestimmt.
b. Im Rahmen des Interessenausgleichs (Buchstabe (f) von Art. 6 (1) DSGVO)
Soweit dies erforderlich ist, verarbeiten wir personenbezogene Daten über den Rahmen der tatsächlichen Vertragserfüllung hinaus im Sinne der berechtigten Interessen, die wir oder Dritte verfolgen.
Dies geschieht zu folgenden Zwecken:
- Abfrage und Austausch von Daten mit Kreditauskunfteien (z. B. Dun & Bradstreet) zur Identifizierung von Kredit- und Ausfallrisiken im Zusammenhang mit Finanzvereinbarungen
- Analyse und Optimierung von Prozessen zwecks Analyse und Erfüllung von Kundenbedürfnissen
- Werbung oder Markt- und Meinungsforschung, es sei denn, Sie haben der Verwendung Ihrer Daten für diesen Zweck widersprochen
- Maßnahmen zum Schutz von Gebäuden und Systemen (z. B. physische Zugangskontrollen)
- Maßnahmen zur Wahrung des Hausrechts
- Maßnahmen der Geschäftsführung und zur Entwicklung von Dienstleistungen und Produkten
- Risikomanagement innerhalb der Gruppe
- Um Beschwerden zu bearbeiten, die langfristigen Bedürfnisse unserer Kunden zu berücksichtigen und unsere Leistung zu verbessern
- Für das Qualitätsmanagement und die Herstellung von Produkten durch unsere Geschäftspartner und andere in der Lieferkette
Unser Interesse an der Verarbeitung relevanter Daten lässt sich aus den oben genannten Zwecken ableiten und ist wirtschaftlicher oder rechtlicher Natur.
Soweit dies für einen bestimmten Zweck möglich ist, verarbeiten wir Kundendaten in pseudonymisierter oder anonymisierter Form.
c. Aufgrund Ihrer Zustimmung (Buchstabe (a) von Art. 6 (1) DSGVO)
Soweit Sie der Verarbeitung personenbezogener Daten für bestimmte Zwecke zugestimmt haben (z. B. Weitergabe von Daten innerhalb der Grace-Unternehmensgruppe, Messekontakte, Kundenbesuche zu Marketingzwecken, bei Veranstaltungen aufgenommene Fotos, Versenden von Newsletters usw.), ist diese Verarbeitung aufgrund Ihrer Zustimmung rechtmäßig. Diese Zustimmung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die uns vor dem Inkrafttreten der DSGVO (25. Mai 2018) erteilt wurden. Der Widerruf der Zustimmung ist erst nach diesem Datum wirksam und berührt nicht die Rechtmäßigkeit von Datenverarbeitungen vor dem Widerruf.
d. Zur Einhaltung von rechtlichen Verpflichtungen (Buchstabe (c) von Art. 6 (1) DSGVO) oder im öffentlichen Interesse (Buchstabe (e) von Art. 6 (1) DSGVO)
Wir verarbeiten Daten, um Risiken in der Grace-Unternehmensgruppe unter Einhaltung von verschiedenen rechtlichen Verpflichtungen, gesetzlichen Anforderungen (z. B. REACH) und regulatorischen Anforderungen (z. B. SOX) zu bewerten und zu steuern.
4. Mit wem wird Grace meine Daten teilen?
Innerhalb von Grace sind nur diejenigen Personen zum Zugriff auf Ihre Daten berechtigt, die sie benötigen, um wie vorstehend beschrieben Geschäfte tätigen zu können. Auch die von uns beauftragten Dienstleister und Vertreter können zu diesen Zwecken Zugang zu Daten erhalten, sofern sie die geltenden Vorschriften einschließlich des Bankgeheimnisses einhalten. Zu diesen Vertretern und Dienstleistern gehören Unternehmen in den Bereichen Produktion und Sicherheit, IT-Services, Logistik, Druck, Telekommunikation, Inkasso, Beratung sowie Vertrieb und Marketing.
Im Hinblick auf die gemeinsame Nutzung von Daten außerhalb von Grace werden alle kundenbezogenen Fakten und Bewertungen, die uns bekannt werden, vertraulich behandelt.
Wir teilen Informationen über unsere Kunden nur im gesetzlich erforderlichen Umfang, mit Zustimmung des Kunden oder wenn wir dazu berechtigt sind.
Unter diesen Umständen können wir personenbezogene Daten beispielsweise mit den folgenden Empfängern teilen:
- Von uns eingesetzte Auftragsverarbeiter (Art. 28 DSGVO), insbesondere in den Bereichen IT-Services, Logistik und Druck, die Ihre Daten in unserem Auftrag nach unseren Vorgaben verarbeiten
- Datenverarbeitungsdienstleister
5. Werden Daten in ein anderes Land oder eine internationale Organisation übertragen?
Soweit wir personenbezogene Daten an Dienstleister oder die Grace-Unternehmensgruppe außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, findet eine solche Übertragung nur statt, wenn die EU-Kommission bestätigt hat, dass das Drittland Daten angemessen schützt oder dass andere angemessene Datenschutzgarantien (z. B. verbindliche Unternehmensregeln oder EU-Standardvertragsklauseln) vorhanden sind. Unter den oben angegebenen Kontaktdaten können Sie weitere Informationen anfordern.
Das bedeutet:
Bei der Übertragung in ein Drittland, für das eine Entscheidung der EU-Kommission über die Angemessenheit des Datenschutzes vorliegt:
Daten werden nur in Länder außerhalb der EU oder des EWR (als „Drittländer" bezeichnet) übertragen, sofern dies für die Durchführung von Geschäften oder nach den gesetzlichen Vorschriften erforderlich ist, wenn die Zustimmung des Nutzers vorliegt oder im Rahmen der Verarbeitung im Auftrag von Grace (der „Verantwortliche"). Diese Übertragungen stehen im Einklang mit den Angemessenheitsentscheidungen der EU-Kommission hinsichtlich der Übertragung von Daten an die Drittländer der Dienstleister oder Dritten.
Bei der Übertragung in ein Drittland, für das keine Entscheidung der EU-Kommission über die Angemessenheit des Datenschutzes vorliegt:
Daten werden nur in Länder außerhalb der EU oder des EWR (als „Drittländer" bezeichnet) übertragen, sofern dies für die Durchführung von Geschäften oder nach den gesetzlichen Vorschriften erforderlich ist, wenn die Zustimmung des Nutzers vorliegt oder im Rahmen der Verarbeitung im Auftrag des Verantwortlichen. Die Daten werden auf der Grundlage von EU-Standardvertragsklauseln, die die Einhaltung durch angemessene und geeignete Schutzmaßnahmen abdecken, an die Drittländer der Dienstleister oder Dritten übertragen.
Die Übertragung von Daten an Einrichtungen in Drittländern ist in folgenden Fällen vorgesehen:
- Soweit im Einzelfall erforderlich, können personenbezogene Daten an einen IT-Dienstleister in den USA oder in einem anderen Drittland übermittelt werden, um den IT-Betrieb unter Einhaltung des europäischen Datenschutzniveaus zu ermöglichen.
- Mit Zustimmung der betroffenen Person können auch personenbezogene Daten von Kunden, die an Grace-Produkten interessiert sind, in einem CRM-System in den USA verarbeitet werden.
- Mit Zustimmung der betroffenen Person oder aufgrund gesetzlicher Bestimmungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen des Interessenausgleichs werden personenbezogene Daten im Einzelfall unter Beachtung des europäischen Datenschutzniveaus übertragen.
6. Wie lange bewahrt Grace meine Daten auf?
Grace löscht Ihre personenbezogenen Daten, sobald sie für die oben genannten Zwecke nicht mehr benötigt werden. Nach Beendigung des Vertrags- oder Dienstleistungsverhältnisses werden Ihre personenbezogenen Daten gespeichert, solange wir von Gesetzes wegen zu ihrer Speicherung verpflichtet sind. Entsprechende gesetzliche Dokumentations- und Aufbewahrungspflichten sind unter anderem im lokalen Handelsgesetzbuch und in den Steuervorschriften festgelegt. Demnach müssen die Daten in der Regel für einen Zeitraum von bis zu 10 Jahren gespeichert werden. Darüber hinaus können personenbezogene Daten für die Dauer der Geltendmachung von Ansprüchen gegen uns gespeichert werden (gesetzliche Verjährungsfrist zwischen 3 und 30 Jahren).
Darüber hinaus können wir handels- und steuerrechtlichen Aufbewahrungspflichten unterliegen. Die darin festgelegten Aufbewahrungs- und/oder Dokumentationsfristen liegen in der Regel zwischen 2 und 10 Jahren.
7. Welche Datenschutzrechte habe ich?
Jede betroffene Person hat ein Auskunftsrecht gemäß Artikel 15 DSGVO, das Recht auf Berichtigung gemäß Artikel 16 DSGVO, das Recht auf Löschung gemäß Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO, das Widerspruchsrecht gemäß Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO. Hinsichtlich des Auskunfts- und Löschungsrechts gelten die Einschränkungen gemäß den lokalen Datenschutzbestimmungen. Es besteht das Recht, bei einer zuständigen Aufsichtsbehörde Beschwerde einzureichen (Artikel 77 DSGVO). Sie können Ihre Zustimmung zur Verarbeitung von personenbezogenen Daten jederzeit widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die uns vor dem Inkrafttreten der DSGVO (25. Mai 2018) erteilt wurden. Der Rücktritt ist erst nach dem Widerruf wirksam. Vor dem Widerruf durchgeführte Datenverarbeitungen sind nicht betroffen.
8. Muss ich Daten zur Verfügung stellen?
Im Rahmen unserer Geschäftsbeziehung sind Sie verpflichtet, diejenigen personenbezogenen Daten zur Verfügung zu stellen, die zur Begründung, Erfüllung und Beendigung einer Geschäftsbeziehung sowie zur Erfüllung der damit verbundenen vertraglichen Verpflichtungen erforderlich sind oder die wir gesetzlich zu erheben haben. Ohne diese Daten sind wir in der Regel nicht in der Lage, einen Vertrag mit Ihnen abzuschließen, zu erfüllen und zu beenden.
9. Inwieweit wird die automatisierte Entscheidungsfindung genutzt?
In der Regel verwenden wir keine vollautomatisierten Entscheidungsprozesse nach Artikel 22 DSGVO für die Begründung und Erfüllung der Geschäftsbeziehung. Soweit wir solche Verfahren im Einzelfall anwenden, informieren wir Sie darüber und über Ihre damit verbundenen Rechte im gesetzlich vorgegebenen Umfang.
10. Wird Profiling verwendet?
Wir verarbeiten einige Daten automatisch mit dem Ziel, bestimmte persönliche Aspekte zu bewerten („Profiling").
Wir verwenden Profiling zum Beispiel in den folgenden Fällen:
- Wir verwenden Analysetools, um Sie mit spezifischen Informationen und Ratschlägen zu versorgen. Diese ermöglichen eine bedarfsgerechte Kommunikation und Werbung einschließlich Markt- und Meinungsforschung.
- Aufgrund gesetzlicher und aufsichtsrechtlicher Anforderungen sind wir verpflichtet, Geldwäsche, Terrorismusfinanzierung und Eigentumsrechtsstraftaten zu bekämpfen. Dabei führen wir Datenanalysen durch (z. B. zu Daten im Zahlungsverkehr). Diese Maßnahmen dienen auch zu Ihrem Schutz.
Informationen zu Ihrem Widerspruchsrecht gemäß Artikel 21 DSGVO
Recht auf Widerspruch im Einzelfall
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben (e) (Datenverarbeitung im öffentlichen Interesse) oder (f) (Datenverarbeitung auf der Grundlage der Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling wie in Artikel 4 (4) DSGVO definiert.
Wenn Sie Ihr Widerspruchsrecht ausüben, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende legitime Gründe vorbringen, die Ihre Interessen, Rechte und Freiheiten außer Kraft setzen oder dies dient der Begründung, Ausübung oder Verteidigung von Rechtsansprüchen.
Recht, der Verarbeitung für Direktmarketingzwecke zu widersprechen
In Einzelfällen verarbeiten wir Ihre Daten für Direktmarketingzwecke. Sie haben das Recht der Verarbeitung personenbezogener Daten, die Sie betreffen, jederzeit zu widersprechen; dies gilt auch für Profiling, soweit es mit einer solchen Direktwerbung zusammenhängt.
Wenn Sie von Ihrem Recht Gebrauch machen, der Verarbeitung für Direktmarketingzwecke zu widersprechen, werden wir Ihre Daten nicht mehr für solche Zwecke verarbeiten.
Empfänger eines Widerspruchs
Der Widerspruch kann formlos unter Angabe Ihres Namens, Ihrer Anschrift und Ihres Geburtsdatums eingereicht werden und sollte an folgende Adresse gerichtet werden:
Grace GmbH, Datenschutzbeauftragter, In der Hollerhecke 1, 67547 Worms, Deutschland
11. Wo können Beschwerden eingereicht werden?
Unabhängig von anderen verwaltungsrechtlichen oder gerichtlichen Abhilfemaßnahmen haben Sie das Recht, bei der Aufsichtsbehörde Beschwerde einzureichen, insbesondere in dem Mitgliedstaat, in dem Sie ansässig sind oder in dem der behauptete Verstoß stattgefunden hat, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die EU-Datenschutz-Grundverordnung verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wird, teilt dem Beschwerdeführer die Situation und die Ergebnisse der Beschwerde mit, einschließlich der Möglichkeit eines Rechtsbehelfs gemäß Artikel 78 EU-DSGVO.
Die für Grace zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Deutschland