Leitwerte zum Datenschutz bei Bloomreach

Die Privatsphäre von Personen, deren personenbezogene Daten wir verarbeiten, sei es im Auftrag anderer (wie etwa unserer Kunden und deren Endbenutzer) oder innerhalb von BloomReach, ist BloomReach äußerst wichtig.

Nachfolgend sind die Datenschutzgrundsätze (“Grundsätze”) aufgeführt, die wir weltweit anwenden, wann immer wir personenbezogene Daten in unseren Produkten und Dienstleistungen sowie in der gesamten BloomReach-Unternehmensgruppe erfassen, verwenden oder verwalten.

Der Zweck dieser Grundsätze besteht darin, Mindeststandards dafür festzulegen, wie wir personenbezogene Daten zu verarbeiten haben, um zu garantieren, dass wir in der gesamten Organisation einheitlich und in Übereinstimmung mit geltendem Recht arbeiten.

TDie Grundsätze gelten für alle Mitarbeiter von BloomReach und sind der Maßstab dafür, wie wir unsere Produkte und Dienstleistungen entwickeln, von uns erfasste Daten verwalten, unsere Partner auswählen und mit diesen interagieren und unseren Umgang mit der Öffentlichkeit gestalten.  

 

GRUNDSÄTZE

1. TRANSPARENZ: Wir müssen offen und ehrlich mit der Frage umgehen, welche Daten wir verarbeiten.

Wir müssen gegenüber Personen und anderen Parteien, von denen wir personenbezogene Daten erfassen, stets transparent sein. Dies bedeutet, dass wir diesen Rechtssubjekten genaue, transparente und einfach zugängliche Informationen darüber zur Verfügung stellen müssen, wie und warum wir ihre personenbezogenen Daten verwenden und weitergeben, sowie alle weiteren Informationen, die benötigt werden, um eine angemessene und geltendem Recht entsprechende Nutzung zu gewährleisten. Die von uns bereitgestellten Informationen müssen ausreichen, damit sie eine fundierte Entscheidung über die Nutzung ihrer personenbezogenen Daten treffen können.

Wenn wir Informationen direkt von Einzelpersonen sammeln, müssen wir diese davon in Kenntnis setzen, sobald personenbezogene Daten gesammelt werden (oder so bald wie möglich danach). Wenn wir personenbezogene Daten nicht unmittelbar beim betroffenen Rechtssubjekt, sondern bei Dritten sammeln (z. B. bei LinkedIn oder anderen öffentlich zugänglichen Quellen), müssen wir das Rechtssubjekt so schnell wie möglich informieren, es sei denn, dies ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden.

 

2. LEGITIME GESCHÄFTLICHE ZWECKE: Wir dürfen personenbezogene Daten nur für festgelegte, angemessene und rechtmäßige Zwecke verwenden

Wir dürfen personenbezogene Daten nur verarbeiten, wenn wir nachweisen können, dass wir eine Rechtsgrundlage für die Verwendung der Daten haben, und müssen diese Daten in rechtmäßiger und angemessener Weise verarbeiten.

Soweit möglich, sollten wir uns auf Gründe berufen, die nicht auf einer Einwilligung beruhen (wie etwa unsere berechtigten Interessen oder die Erfüllung unserer vertraglichen Verpflichtungen) und vermeiden, uns auf die Einwilligung zur Verarbeitung personenbezogener Daten zu verlassen, sofern dies nicht gesetzlich vorgeschrieben ist.

Wir dürfen personenbezogene Daten nur in einer Weise erfassen und verwenden, die mit den diesbezüglichen Hinweisen übereinstimmt, die den Betroffenen zum Zeitpunkt der Erfassung bereitgestellt werden.

Wir dürfen die personenbezogenen Daten einer Person nur an Dritte weitergeben, wenn wir über die erforderlichen Genehmigungen verfügen oder es einen stichhaltigen geschäftlichen Grund gibt, die personenbezogenen Daten weiterzugeben.

 

3. INDIVIDUELLE AUSWAHL UND KONTROLLE: In bestimmten Situationen müssen wir eine individuelle Zustimmung zur Verarbeitung personenbezogener Daten einholen und es Einzelpersonen ermöglichen, die Verarbeitung ihrer personenbezogenen Daten zu kontrollieren.

In bestimmten Situationen müssen wir möglicherweise die Zustimmung einer Person einholen, ehe wir ihre personenbezogenen Daten verarbeiten. Zum Beispiel verlangt das Gesetz, dass wir die Zustimmung von Personen zur Erhebung, Verwendung oder Offenlegung „sensibler“ personenbezogener Daten wie etwa Gesundheits- und Finanzdaten, genetischer Daten, Geolokalisierungsdaten oder biometrischer Daten zur eindeutigen Identifizierung oder personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft oder die sexuelle Orientierung hervorgehen, einholen.   

Wenn wir desweiteren beabsichtigen, personenbezogene Daten in anderer Weise als zum Zeitpunkt der Erfassung beschrieben oder anders als gesetzlich vorgeschrieben zu verwenden oder offenzulegen, müssen wir möglicherweise ebenso die vorherige Zustimmung einer Person einholen.

Wenn wir die Einwilligung einer Person einholen, müssen wir darüber Protokoll führen, um nachzuweisen, wozu die Person eingewilligt hat, was ihr mitgeteilt wurde sowie wann und wie sie eingewilligt hat.

Datenschutzgrundsätze sind darüber hinaus Dokumente, die Einzelpersonen die Kontrolle darüber geben, welche personenbezogenen Daten Organisationen von ihnen sammeln und wie diese Daten verwendet werden. In bestimmten Situationen möchten wir Einzelpersonen möglicherweise das Recht einräumen, bestimmten Funktionen, welche die Erfassung personenbezogener Daten beinhalten, zuzustimmen oder diese abzulehnen.

Wir dürfen Direktmarketing-Nachrichten nur in Übereinstimmung mit ihren Marketingpräferenzen und dem rechtlichen Rahmen für Direktmarketing an Einzelpersonen senden. Wir müssen Einzelpersonen auch die Möglichkeit geben, sich jederzeit von unserem Direktmarketing abzumelden.

 

4. DATENSPARSAMKEIT: Wir dürfen nur notwendige und relevante personenbezogene Daten erheben.

Wir dürfen personenbezogene Daten nur für rechtmäßige geschaftliche Zwecke erheben und wir dürfen nur so viele personenbezogene Daten erheben, wie für diesen Zweck erforderlich und relevant sind. Wir müssen dafür Sorge tragen, dass unsere Produkte, Dienstleistungen und Geschäftsprozesse darauf ausgelegt sind, so wenige personenbezogene Daten wie möglich zu erfassen.

 

5. HAFTBARKEIT: Wir sind dafür verantwortlich, wie wir und unsere Dienstleister personenbezogene Daten verarbeiten.

Wir müssen die Verantwortung dafür übernehmen, wie wir personenbezogene Daten verarbeiten, ob diese personenbezogenen Daten direkt von uns erfasst werden oder ob wir sie im Auftrag unserer Kunden verarbeiten. Wir sind auch für die Verarbeitung personenbezogener Daten durch unsere Dienstleister oder andere Rechtssubjekte verantwortlich, die personenbezogene Daten in unserem Auftrag oder in unserem Namen verarbeiten.

Wir müssen Verfahren bereithalten, um unsere Rechtskonformität und Rechenschaftspflicht im Hinblick auf die Grundsätzen des Umgangs mit personenbezogenen Daten nachzuweisen, sowie Nachweise darüber, dass solche Verfahren überwacht und bewertet und ggf. erforderliche Maßnahmen oder Änderungen umgesetzt werden. Solche Verfahren sollten die Führung bestimmter Aufzeichnungen über alle personenbezogenen Daten umfassen, für die wir verantwortlich sind oder die wir im Auftrag unserer Kunden verarbeiten.

 

6. AUFBEWAHRUNG/LÖSCHUNG: Wir dürfen personenbezogene Daten nicht länger als notwendig verwenden und aufbewahren.

Wir dürfen personenbezogene Daten nur behalten, wenn wir dazu tatsächliche geschäftliche oder rechtliche Gründe haben; wir dürfen diese Daten ausschließlich für jene Zwecke behalten, die den Personen oder anderen Parteien, deren personenbezogene Daten wir verarbeiten, mitgeteilt wurden. Wir dürfen personenbezogene Daten nicht unbegrenzt behalten. Sobald personenbezogene Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich oder veraltet sind, sollten sie gelöscht oder sicher gelöscht werden, sofern gesetzlich nichts anderes vorgeschrieben ist. Es sollten alle angemessenen Schritte unternommen werden, um ungenaue Daten zu löschen oder zu berichtigen.  

Wenn wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten, werden diese Daten von uns nur so lange verwendet und gespeichert, wie unser Kunde es verlangt, es sei denn, dies ist gesetzlich vorgeschrieben oder notwendig, um eine bestehende Geschäftsbeziehung zu verwalten.  

 

7. GENAUIGKEIT: Wir müssen dafür Sorge tragen, dass personenbezogene Daten korrekt, vollständig und aktuell sind.

Wir müssen sämtliche zweckmäßigen Maßnahmen ergreifen, um zu garantieren, dass die von uns verarbeiteten personenbezogenen Daten korrekt, vollständig und aktuell sind. Zu diesen Maßnahmen gehört es, eine Quellen personenbezogener Daten, unabhängig davon, ob es sich um die betroffene Person oder ein anderes Rechtssubjekt handelt, regelmäßig aufzufordern, die Richtigkeit und Vollständigkeit der personenbezogenen Daten in unseren Aufzeichnungen zu überprüfen; Sofern möglich sind Self-Service-Tools bereitzustellen, mit denen Einzelpersonen ihre personenbezogenen Daten in unseren Aufzeichnungen aktualisieren können.

 

8. KUNDENHINWEISE: Wir müssen uns an die Verarbeitungshinweise unserer Kunden halten.

Wenn wir personenbezogene Daten im Auftrag unserer Kunden erfassen, speichern und verwenden, dürfen wir diese personenbezogenen Daten nur gemäß Anweisung bzw. Genehmigung unserer Kunden verwenden und nicht für unsere eigenen Zwecke (oder die Zwecke Dritter). Wir müssen die Vertraulichkeit und Sicherheit der personenbezogenen Daten unserer Kunden gemäß unseren vertraglichen Verpflichtungen, die wir diesen gegenüber haben, jederzeit wahren. Wenn wir Fragen oder Anfragen in Bezug auf personenbezogene Daten erhalten, die wir im Auftrag unserer Kunden verwenden, müssen wir den betreffenden Kunden informieren und bei der Beantwortung dieser Anfrage unterstützen.

 

9. INDIVIDUELLE ZUGRIFFSRECHTE: Wir müssen die Rechte und Entscheidungen von Einzelpersonen respektieren

Einzelpersonen haben bestimmte Rechte und Wahlmöglichkeiten in Bezug auf die Verwendung ihrer personenbezogenen Daten, einschließlich des Rechts, zu verlangen, dass wir bestimmte Informationen über ihre von uns gespeicherten personenbezogenen Daten bestätigen. Sie können uns auch bitten, ungenaue personenbezogene Daten, die wir gespeichert haben, zu korrigieren oder ihre personenbezogenen Daten zu löschen.

In einigen Regionen (wie dem Europäischen Wirtschaftsraum) haben Einzelpersonen das Recht, eine Kopie aller über sie gespeicherten personenbezogenen Daten zu erhalten. Unter bestimmten, genau abgegrenzten Umständen können sie auch berechtigt sein, zu verlangen, dass wir ihre Daten an andere Dritte übermitteln.

Auf Fragen, Beschwerden und Anfragen von Personen oder Dritten, von denen wir personenbezogene Daten im Zusammenhang mit der Ausübung dieser Rechte erheben, müssen wir innerhalb einer angemessenen Frist und rechtskonform reagieren.

Darüber hinaus müssen wir, sofern gesetzlich vorgeschrieben, Einzelpersonen erlauben, die Verwendung ihrer personenbezogenen Daten für Direktmarketingzwecke sowohl vor als auch nach der Erfassung dieser Daten abzulehnen. Wir müssen von Einzelpersonen geäußerte Marketingpräferenzen stets respektieren.

Wenn wir personenbezogene Daten im Namen unserer Kunden verarbeiten, unterstützen wir sämtliche Kunden bei Bedarf dabei, der Anfrage einer Person nachzukommen, die ihre Rechte wahrnehmen möchte.

 

10. SICHERHEITS- UND VERLETZUNGSMELDUNG: Wir müssen angemessene Sicherheitsvorkehrungen treffen und sicherstellen, dass Sicherheitsverletzungen in geeigneter Weise gemeldet werden

Wir müssen geeignete physische, technische und administrative Sicherheitsmaßnahmen treffen, um die von uns verarbeiteten personenbezogenen Daten vor unbefugter oder rechtswidriger Verarbeitung oder Offenlegung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen.

Wenn wir einen Drittanbieter beauftragen, für uns personenbezogene Daten zu sammeln, zu speichern oder zu verwenden, müssen wir diesem strenge vertragliche Verpflichtungen hinsichtlich Datenschutz und -Sicherheit auferlegen.  

Wir müssen dafür Sorge tragen, dass Sicherheitsverletzungen, sofern dies gesetzlich vorgeschrieben ist, den zuständigen Aufsichtsbehörden und/oder den betroffenen Personen gemäß geltendem Recht innerhalb einer angemessenen Frist gemeldet werden.  

 

11. INTERNATIONALE DATENTRANSFERS: Wir müssen bei internationalen Übertragungen personenbezogener Daten die Sicherheit dieser Daten gewährleisten

In einigen Regionen ist keine Übertragung personenbezogener Daten in andere Regionen zulässig, es sei denn, es besteht ein angemessenes Datenschutzniveau für die personenbezogenen Daten bei ihrem Empfang.  

Wir dürfen personenbezogene Daten nicht international übermitteln, es sei denn, wir haben zuvor geeignete Schritte unternommen, wie z. B. die von der Europäischen Kommission genehmigten Vertragsklauseln (die sogenannten „Musterklauseln“), um die übermittelten personenbezogenen Daten zu schützen.    

 

12. EINGEBAUTER DATENSCHUTZ (PRIVACY BY DESIGN): Wir müssen durch geeignete Maßnahmen gewährleisten, dass die Prinzipien von "Privacy by Design and Default" in unsere Prozesse und Systeme integriert sind

Wir müssen interne Richtlinien einführen und Maßnahmen implementieren, welche die Grundsätze "Privacy by Design and Default" befolgen und einbetten.  

Dies bedeutet, dass wir beim Entwerfen, Entwickeln und Betreiben von Produkten, Dienstleistungen und Geschäftsprozessen verstehen sollten, welche personenbezogenen Daten wie verarbeitet werden sollen und warum sie in der vorgesehenen Weise verarbeitet werden sollen; soweit möglich, müssen wir die Verarbeitung personenbezogener Daten minimieren und Informationen so schnell wie möglich pseudonymisieren oder anonymisieren. Datenschutz-Folgenabschätzungen (PIAs) sollten, wo angemessen oder gesetzlich vorgeschrieben, in die Produktüberprüfung und die Onboarding-Prozesse für Lieferanten integriert werden.

 

BloomReach Inc. und seine Tochtergesellschaften

STAND: 18. MAI 2018