Informationen zum Datenschutz für Lieferanten, Dienstleistungsanbieter, Verkäufer und Partner von W. R. Grace & Co.
Die Datensicherheit und der Datenschutz für diejenigen, mit denen wir in Kontakt stehen (nachstehend „unsere Kontaktpersonen" genannt), sind für W. R. Grace & Co. („Grace", „wir", „uns") zentrale Prioritäten. Wir verarbeiten personenbezogene Daten nur in Übereinstimmung mit den geltenden Gesetzen, einschließlich der Datenschutz-Grundverordnung der Europäischen Union (DSGVO), die am 25. Mai 2018 in Kraft getreten ist.
1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Die für die Datenverarbeitung zuständige Stelle ist
IITR Datenschutz GmbH
Marienplatz 2
80331 München
email@iitr.de
Tel. +49 (0)89 1891 7360
Unseren Datenschutzbeauftragten, Dr. Sebastian Kraska, erreichen Sie
per Post an: IITR Datenschutz GmbH, Data Protection Officer, Marienplatz 2, 80331 München, Germany
per E-Mail an: email@iitr.de
2. Welche Quellen und Daten verwenden wir?
Wir erfassen die persönlichen Angaben unserer Kontaktpersonen direkt von unseren Kontaktpersonen oder von unseren Lieferanten, Dienstleistungsanbietern, Verkäufern und Partnern im Rahmen unseres Vertragsverhältnisses.
Wir verarbeiten die folgenden Kategorien personenbezogener Daten:
- Kontaktinformationen unserer Kontaktpersonen (Vor- und Nachname; Adresse und Telefonnummer, Handynummer, Faxnummer und E-Mail-Adresse);
- Andere personenbezogene Daten, die zur Erfüllung eines Vertrags benötigt werden, bzw. um einen Vertrag abzuschließen.
- Protokolldaten, die während der Verwendung der von GRACE bereitgestellten IT-Systeme aufgezeichnet werden
- Ergebnisse von Sicherheitstests und Vertragserfüllung, falls unsere Kontaktpersonen an unseren Standorten arbeiten
Wir verarbeiten personenbezogene Daten unserer Geschäftspartner sowie anderer betroffener Personen nur in dem Umfang, in dem dies für die Verwaltung unserer Geschäftsbeziehungen, einschließlich der Lieferung von Produkten und Dienstleistungen, erforderlich ist.
Falls unsere Kontaktpersonen unsere Standorte betreten, werden zusätzliche personenbezogene Daten erfasst, um die Standortsicherheit zu gewährleisten. Detaillierte Informationen dazu, wie GRACE personenbezogene Daten von Personen, die GRACE-Standorte betreten, verarbeitet und verwendet, finden Sie in den entsprechenden Datenschutzhinweisen im Aushang der Standorte.
3. Zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten wir personenbezogene Daten?
In Übereinstimmung mit den Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) und des Bundesdatenschutzgesetzes (BDSG) verarbeiten wir personenbezogene Daten für die unten genannten Zwecke und auf Basis der unten genannten Rechtsgrundlagen.
Die Datenverarbeitung dient den folgenden Zwecken:
- Planung, Ausführung oder Verwaltung unserer Vertragsverhältnisse mit unseren Lieferanten, Dienstleistungsanbietern, Verkäufern und Partnern, z.B. um Bestellungen zu bearbeiten, für Buchhaltungszwecke, oder um die Bereitstellung von Dienstleistungen oder Transport auszuführen und zu organisieren;
- Planung, Ausführung oder Verwaltung von Transport und Lieferung unserer Produkte und Waren;
- Aufrechterhaltung und Schutz der Sicherheit unseres Netzwerkes und Sicherheit und Funktionalität unserer Webseiten; Vermeidung und Erkennung von Sicherheitsrisiken, betrügerischen Aktivitäten oder anderen kriminellen oder böswilligen Handlungen;
- Aufrechterhaltung und Schutz der Sicherheit unserer Firmengelände und Einrichtungen (z.B. Zugangskontrollen durchführen, vorübergehende Zugangsgenehmigungen erteilen);
- Einhaltung rechtlicher Vorgaben (z.B. Einhaltung steuerlicher oder handelsrechtlicher Aufbewahrungspflichten; Vermeidung von Geldwäsche oder Wirtschaftskriminalität)
- Lösen von Rechtsstreitigkeiten und Rechtsprozessen, Vollstreckung von oder Verteidigung gegenüber Rechtsansprüchen oder Gerichtsverfahren, Durchsetzung bestehender Verträge
Die Verarbeitung der oben erwähnten Datenkategorien ist notwendig, um diese Zwecke zu erreichen.
Die Rechtsgrundlage für die Verarbeitung ist, sofern nicht ausdrücklich anderweitig vorgegeben, Artikel 6 Abs. 1 Buchstaben (a) aufgrund Ihrer Zustimmung und/oder (b) zur Einhaltung von vertraglichen Verpflichtungen und/oder (f) im Rahmen des Interessenausgleichs der EU-Datenschutz-Grundverordnung.
Falls wir vorhaben, die personenbezogenen Daten unserer Kontaktpersonen für einen anderen außer den oben aufgeführten Zwecken zu verwenden, werden wir unsere Kontaktpersonen vor einer derartigen Verarbeitung darüber in Kenntnis setzen.
Falls wir die oben erwähnten Datenkategorien nicht erhalten, sind wir möglicherweise nicht in der Lage, die beschriebenen Zwecke zu erreichen.
4. Mit wem wird Grace meine Daten teilen?
Innerhalb von Grace sind nur diejenigen Personen zum Zugriff auf Ihre Daten berechtigt, die sie benötigen, um wie vorstehend beschrieben Geschäfte tätigen zu können. Auch die von uns beauftragten Dienstleister und Vertreter können zu diesen Zwecken Zugang zu Daten erhalten, sofern sie die geltenden Vorschriften einschließlich des Bankgeheimnisses einhalten. Zu diesen Vertretern und Dienstleistern gehören Unternehmen in den Bereichen Einkauf, Finanzwesen, Produktion und Sicherheit, IT-Services und Logistik.
Im Hinblick auf die gemeinsame Nutzung von Daten außerhalb von Grace werden alle lieferantenbezogenen Fakten und Bewertungen, die uns bekannt werden, vertraulich behandelt.
Wir teilen Informationen über unsere Lieferanten nur im gesetzlich erforderlichen Umfang, mit Zustimmung des Lieferanten oder wenn wir dazu berechtigt sind.
Unter diesen Umständen können wir personenbezogene Daten beispielsweise mit den folgenden Empfängern teilen:
- Von uns eingesetzte Auftragsverarbeiter (Art. 28 DSGVO), insbesondere in den Bereichen IT-Services, Logistik und Druck, die Ihre Daten in unserem Auftrag nach unseren Vorgaben verarbeiten
- Datenverarbeitungsdienstleister
5. Werden Daten in ein anderes Land oder eine internationale Organisation übertragen?
Soweit wir personenbezogene Daten an Dienstleister oder die Grace-Unternehmensgruppe außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, findet eine solche Übertragung nur statt, wenn die EU-Kommission bestätigt hat, dass das Drittland Daten angemessen schützt oder dass andere angemessene Datenschutzgarantien (z. B. verbindliche Unternehmensregeln oder EU-Standardvertragsklauseln) vorhanden sind. Unter den oben angegebenen Kontaktdaten können Sie weitere Informationen anfordern.
Das bedeutet:
Bei der Übertragung in ein Drittland, für das eine Entscheidung der EU-Kommission über die Angemessenheit des Datenschutzes vorliegt:
Daten werden nur in Länder außerhalb der EU oder des EWR (als „Drittländer" bezeichnet) übertragen, sofern dies für die Durchführung von Geschäften oder nach den gesetzlichen Vorschriften erforderlich ist, wenn die Zustimmung des Nutzers vorliegt oder im Rahmen der Verarbeitung im Auftrag von Grace (der „Verantwortliche"). Diese Übertragungen stehen im Einklang mit den Angemessenheitsentscheidungen der EU-Kommission hinsichtlich der Übertragung von Daten an die Drittländer der Dienstleister oder Dritten.
Bei der Übertragung in ein Drittland, für das keine Entscheidung der EU-Kommission über die Angemessenheit des Datenschutzes vorliegt:
Daten werden nur in Länder außerhalb der EU oder des EWR (als „Drittländer" bezeichnet) übertragen, sofern dies für die Durchführung von Geschäften oder nach den gesetzlichen Vorschriften erforderlich ist, wenn die Zustimmung des Nutzers vorliegt oder im Rahmen der Verarbeitung im Auftrag des Verantwortlichen. Die Daten werden auf der Grundlage von EU-Standardvertragsklauseln, die die Einhaltung durch angemessene und geeignete Schutzmaßnahmen abdecken, an die Drittländer der Dienstleister oder Dritten übertragen.
Die Übertragung von Daten an Einrichtungen in Drittländern ist in folgenden Fällen vorgesehen:
- Soweit im Einzelfall erforderlich, können personenbezogene Daten an einen IT-Dienstleister in den USA oder in einem anderen Drittland übermittelt werden, um den IT-Betrieb unter Einhaltung des europäischen Datenschutzniveaus zu ermöglichen.
- Mit Zustimmung der betroffenen Person können auch personenbezogene Daten von Lieferanten im Lieferantenportal SAP Ariba in den USA verarbeitet werden.
- Mit Zustimmung der betroffenen Person oder aufgrund gesetzlicher Bestimmungen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen sowie im Rahmen des Interessenausgleichs werden personenbezogene Daten im Einzelfall unter Beachtung des europäischen Datenschutzniveaus übertragen.
6. Wie lange bewahrt Grace meine Daten auf?
Grace löscht Ihre personenbezogenen Daten, sobald sie für die oben genannten Zwecke nicht mehr benötigt werden. Nach Beendigung des Vertrags- oder Dienstleistungsverhältnisses werden Ihre personenbezogenen Daten gespeichert, solange wir von Gesetzes wegen zu ihrer Speicherung verpflichtet sind. Entsprechende gesetzliche Dokumentations- und Aufbewahrungspflichten sind unter anderem im lokalen Handelsgesetzbuch und in den Steuervorschriften festgelegt. Demnach müssen die Daten in der Regel für einen Zeitraum von bis zu 10 Jahren gespeichert werden. Darüber hinaus können personenbezogene Daten für die Dauer der Geltendmachung von Ansprüchen gegen uns gespeichert werden (gesetzliche Verjährungsfrist zwischen 3 und 30 Jahren).
Darüber hinaus können wir handels- und steuerrechtlichen Aufbewahrungspflichten unterliegen. Die darin festgelegten Aufbewahrungs- und/oder Dokumentationsfristen liegen in der Regel zwischen 2 und 10 Jahren.
7. Welche Datenschutzrechte habe ich?
Jede betroffene Person hat ein Auskunftsrecht gemäß Artikel 15 DSGVO, das Recht auf Berichtigung gemäß Artikel 16 DSGVO, das Recht auf Löschung gemäß Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO, das Widerspruchsrecht gemäß Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO. Hinsichtlich des Auskunfts- und Löschungsrechts gelten die Einschränkungen gemäß den lokalen Datenschutzbestimmungen. Es besteht das Recht, bei einer zuständigen Aufsichtsbehörde Beschwerde einzureichen (Artikel 77 DSGVO). Sie können Ihre Zustimmung zur Verarbeitung von personenbezogenen Daten jederzeit widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die uns vor dem Inkrafttreten der DSGVO (25. Mai 2018) erteilt wurden. Der Rücktritt ist erst nach dem Widerruf wirksam. Vor dem Widerruf durchgeführte Datenverarbeitungen sind nicht betroffen.
8. Muss ich Daten zur Verfügung stellen?
Im Rahmen unserer Geschäftsbeziehung sind Sie verpflichtet, diejenigen personenbezogenen Daten zur Verfügung zu stellen, die zur Begründung, Erfüllung und Beendigung einer Geschäftsbeziehung sowie zur Erfüllung der damit verbundenen vertraglichen Verpflichtungen erforderlich sind oder die wir gesetzlich zu erheben haben. Ohne diese Daten sind wir in der Regel nicht in der Lage, einen Vertrag mit Ihnen abzuschließen, zu erfüllen und zu beenden.
9. Inwieweit wird die automatisierte Entscheidungsfindung genutzt?
In der Regel verwenden wir keine vollautomatisierten Entscheidungsprozesse nach Artikel 22 DSGVO für die Begründung und Erfüllung der Geschäftsbeziehung. Soweit wir solche Verfahren im Einzelfall anwenden, informieren wir Sie darüber und über Ihre damit verbundenen Rechte im gesetzlich vorgegebenen Umfang.
10. Wird Profiling verwendet?
Wir verarbeiten einige Daten automatisch mit dem Ziel, bestimmte persönliche Aspekte zu bewerten („Profiling").
Wir verwenden Profiling zum Beispiel in Rahmen von Lieferantenbewertungen und aufgrund gesetzlicher und aufsichtsrechtlicher Anforderungen um Geldwäsche, Terrorismusfinanzierung und Eigentumsrechtsstraftaten zu bekämpfen. Dabei führen wir Datenanalysen durch (z. B. zu Daten im Zahlungsverkehr). Diese Maßnahmen dienen auch zu Ihrem Schutz.
11. Wo können Beschwerden eingereicht werden?
Unabhängig von anderen verwaltungsrechtlichen oder gerichtlichen Abhilfemaßnahmen haben Sie das Recht, bei der Aufsichtsbehörde Beschwerde einzureichen, insbesondere in dem Mitgliedstaat, in dem Sie ansässig sind oder in dem der behauptete Verstoß stattgefunden hat, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die EU-Datenschutz-Grundverordnung verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wird, teilt dem Beschwerdeführer die Situation und die Ergebnisse der Beschwerde mit, einschließlich der Möglichkeit eines Rechtsbehelfs gemäß Artikel 78 EU-DSGVO.
Die für Grace zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Deutschland
Informationen zu Ihrem Widerspruchsrecht gemäß Artikel 21 DSGVO
Recht auf Widerspruch im Einzelfall
Falls die Verarbeitung auf einer Einverständniserklärung basiert, sind unsere Kontaktpersonen berechtigt, der Verarbeitung der sie betreffenden personenbezogenen Daten jederzeit zu widersprechen. Falls wir personenbezogene Daten unserer Kontaktpersonen verarbeiten, um unsere rechtmäßigen Interessen zu schützen, können unsere Kontaktpersonen der Verarbeitung jederzeit aus Gründen widersprechen, die sich aus ihrer konkreten Situation ergeben. Im Falle eines Einspruchs unterlassen wir die weitere Verarbeitung der personenbezogenen Daten der betroffenen Person, sofern wir keine über- zeugenden Gründe vorbringen können, die Vorrang vor den Interessen, Rechten und Freiheiten unsere Kontaktpersonen haben oder beweisen, dass die Verarbeitung dem Nachweisen, Ausüben oder Verteidigen von Rechtsansprüchen oder Gerichtsverfahren dient.
Empfänger eines Widerspruchs
Der Widerspruch kann formlos unter Angabe Ihres Namens, Ihrer Anschrift und Ihres Geburtsdatums eingereicht werden und sollte an folgende Adresse gerichtet werden:
Grace GmbH, Datenschutzbeauftragter, In der Hollerhecke 1, 67547 Worms, Deutschland