Datenschutz
Einleitung, Umfang und Zweck
Diese Datenschutzrichtlinie („Richtlinie“) beschreibt die Datenschutzpraktiken von TMF bei der Verarbeitung personenbezogener Daten von betroffenen Kunden und – soweit zutreffend – von Kunden des Kunden und/oder der jeweiligen verbundenen Unternehmen des Kunden im Rahmen der Erbringung von Dienstleistungen für seine Kunden. Personenbezogene Daten können in TMF-Systemen, Kundensystemen oder Systemen Dritter gespeichert werden, auf die TMF zum Zwecke der Erbringung von Dienstleistungen Zugriff hat. Wenn TMF Dienstleistungen für seinen Kunden erbringt und personenbezogene Daten im Auftrag des Kunden verarbeitet, handelt TMF als Auftragsverarbeiter und der Kunde als Verantwortlicher.
Die Richtlinie gilt weltweit für alle Dienstleistungen, die TMF seinen Kunden gegenüber im Rahmen der Dienstleistungsverträge erbringt, bei denen TMF als Auftragsverarbeiter fungiert und die am oder nach dem Datum des Inkrafttretens dieser Richtlinie ausgeführt werden.
TMF verarbeitet personenbezogene Daten im Auftrag des Kunden in Übereinstimmung mit den Datenschutzgesetzen. Soweit erforderlich, wird der Dienstleistungsvertrag durch einen Nachtrag ergänzt, in dem alle zusätzlichen Angelegenheiten geregelt werden, die spezifisch für den Kunden sind und in dieser Richtlinie nicht geregelt werden können.
Diese Richtlinie gilt nicht für die Verarbeitung personenbezogener Daten, für die TMF als Verantwortlicher gilt. Diese Verarbeitung unterliegt der Datenschutzerklärung der TMF Group und allen anderen relevanten Datenschutzerklärungen oder -richtlinien, die dem Kunden oder anderen betroffenen Personen vorgelegt werden, deren personenbezogene Daten TMF als Verantwortlicher verarbeitet.
Die Richtlinie ist über die Website der TMF Group unter folgendem Link verfügbar: https://www.tmfgroup.com/en/legal/data-protection/. TMF behält sich das Recht vor, diese Richtlinie ohne Rücksprache oder Vorabinformation der Kunden zu aktualisieren.
Ungeachtet des Vorstehenden gilt für einen bestimmten Dienstleistungsvertrag die Version der Richtlinie, die zum Zeitpunkt des Inkrafttretens dieses Dienstleistungsvertrags in Kraft ist, und wird auch weiterhin gelten, es sei denn, es sind Änderungen erforderlich, um den Datenschutzgesetzen zu entsprechen. In diesem Fall gilt die neueste Version der Richtlinie, die auf der Website veröffentlicht ist.
1. Verarbeitung personenbezogener Daten durch TMF
Einzelheiten zu den personenbezogenen Daten, die von TMF im Auftrag des Kunden verarbeitet werden, einschließlich der Dauer, des Zwecks und der Art und Kategorien der personenbezogenen Daten sowie gegebenenfalls der Subunternehmer, finden Sie auf den Webseiten der TMF-Gruppe unter „Einzelheiten der Verarbeitung“ (https://www.tmfgroup.com/en/legal/data-protection/details-of-processing/) und zu Subunternehmern (https://www.tmfgroup.com/en/legal/data-protection/subprocessors/).
Wenn nach den geltenden Datenschutzgesetzen zusätzliche Genehmigungen oder Einwilligungen der betroffenen Kunden erforderlich sind, um personenbezogene Daten im Auftrag des Kunden zu verarbeiten, muss der Kunde diese Genehmigung oder Einwilligung der betroffenen Kunden für die jeweilige Verarbeitung der personenbezogenen Daten einholen, wie es nach den Datenschutzgesetzen erforderlich ist.
2. Verwendung personenbezogener Daten
TMF darf personenbezogene Daten nicht verarbeiten, übertragen, ändern, ergänzen oder abändern oder personenbezogene Daten an Dritte weitergeben oder die Weitergabe personenbezogener Daten an Dritte gestatten, es sei denn:
- wenn dies für die Verarbeitung personenbezogener Daten zur Erbringung von Dienstleistungen und/oder anderweitig gemäß den dokumentierten Anweisungen des Kunden erforderlich ist; oder
- wenn dies zur Einhaltung von Datenschutzgesetzen oder anderen Gesetzen, denen TMF unterliegt, erforderlich ist. In diesem Fall informiert TMF den Kunden (soweit gesetzlich zulässig) vor der Verarbeitung personenbezogener Daten über diese gesetzliche Anforderung.
Darüber hinaus ist TMF berechtigt, aggregierte Daten – soweit diese nicht mehr als personenbezogene Daten gelten und daher nicht den Datenschutzgesetzen unterliegen – zu Analysezwecken, für die Website und für interne Abläufe, einschließlich Fehlerbehebung, Datenanalyse, Tests, Forschung, für statistische Zwecke, zur Entwicklung und Verbesserung von Dienstleistungen und Produkten von TMF sowie für Benchmarking zu verwenden.
3. Subunternehmer
TMF kann verpflichtet sein, bestimmte Dritte, einschließlich Partnerunternehmen von TMF, zu benennen, die einen Teil der Dienstleistungen für den Kunden erbringen oder bei der Bereitstellung technischer Unterstützung behilflich sind, wie z. B. IT-Dienstleister oder andere Lieferanten.
Mit der Unterzeichnung des Dienstleistungsvertrags ermächtigt der Kunde TMF, die Verarbeitung personenbezogener Daten an Subunternehmer in den jeweiligen Ländern, in denen die Dienstleistungen erbracht werden, wie auf der Seite „Subunternehmern“ (https://www.tmf-group.com/en/legal/data-protection/subprocessors)
aufgeführt, weiterzugeben. Subunternehmer unterliegen in jedem Fall den Bedingungen zwischen TMF und dem Subunternehmer, die nicht weniger Schutz bieten als die in der Richtlinie und der Dienstleistungsvereinbarung festgelegten Bedingungen.
TMF informiert den Kunden auf schriftliche Anfrage über die Einzelheiten eines solchen Subunternehmers. TMF wird den Kunden im Voraus über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Austauschs von Subunternehmern informieren und dem Kunden somit die Möglichkeit geben, gegen solche Änderungen Einspruch zu erheben. Wenn der Kunde seine Kontaktdaten nicht auf der Seite des Subunternehmers angibt oder nicht innerhalb von fünfzehn (15) Kalendertagen nach Erhalt der Mitteilung schriftlich Einspruch erhebt, wird davon ausgegangen, dass der Kunde den neuen Subunternehmer akzeptiert hat. Wenn der Kunde innerhalb von fünfzehn (15) Kalendertagen nach Erhalt der Mitteilung schriftlich Einspruch erhebt, werden TMF und der Kunde innerhalb eines angemessenen Zeitrahmens und ohne Beeinträchtigung der Parteien und ihrer Einhaltung der jeweiligen Verpflichtungen aus dem Dienstleistungsvertrag mögliche Lösungen erörtern.
Wenn das Partnerunternehmen von TMF ein anderes Partnerunternehmen von TMF mit der Verarbeitung personenbezogener Kundendaten im Auftrag des Kunden beauftragt, informiert das Partnerunternehmen von TMF den Kunden im Voraus über eine solche Beauftragung und gibt dem Kunden damit die Möglichkeit, dieser Änderung zu widersprechen. Widerspricht der Kunde nicht innerhalb von fünf (5) Kalendertagen nach Erhalt der Mitteilung schriftlich, gilt dies als Zustimmung des Kunden zu dem jeweiligen Partnerunternehmen von TMF als neuen Subunternehmer.
4. Vertraulichkeit und Sicherheit
Die TMF wird personenbezogene Daten vertraulich behandeln und sicherstellen, dass ihr Personal und die Subunternehmer denselben Vertraulichkeitsverpflichtungen unterliegen. Die TMF wird angemessene technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau für personenbezogene Daten sicherzustellen, das dem Risiko gemäß den geltenden Datenschutzgesetzen angemessen ist, und alle Maßnahmen ergreifen, die gemäß Artikel 32 der DSGVO (Sicherheit der Verarbeitung) sowie anderen, entsprechend schützenden Anforderungen unter den Datenschutzgesetzen erforderlich sind.
Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt TMF insbesondere die Risiken, die mit der Verarbeitung verbunden sind, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
Die Sicherheitsmaßnahmen werden im Dokument „Erklärung zur Kontinuität“ näher beschrieben und spezifiziert, das auf der TMF-Website (https://www.tmf-group.com/en/legal/dataprotection/). veröffentlicht ist. Alle nachfolgenden Versionen des Dokuments „Erklärung zur Kontinuität“ gelten für den Dienstleistungsvertrag und ihr Inhalt ist nicht weniger streng als die vorherige Version.
5. Zusammenarbeit mit Kundenanfragen
TMF wird auf Anfrage und im Rahmen der Datenschutzgesetze mit Anfragen des Kunden in Bezug auf die Verarbeitung personenbezogener Daten zusammenarbeiten. Insbesondere wird TMF bei Anfragen kooperieren, die sich auf die Rechte der betroffenen Kunden, Datenschutz-Folgenabschätzungen und Datenschutz-Audit-Rechte beziehen, wie unten beschrieben.
Rechte betroffener Kunden: TMF wird auf Wunsch des Kunden kooperieren, um es dem Kunden zu ermöglichen, seinen Verpflichtungen bei der Ausübung von Rechten betroffener Kunden in Bezug auf personenbezogene Daten nachzukommen, und den Kunden bei der Einhaltung von Bewertungen, Anfragen, Mitteilungen oder Untersuchungen, die gemäß den Datenschutzgesetzen erforderlich sind, angemessen zu unterstützen. Falls die von TMF für den Kunden erbrachte Unterstützung die angemessene Unterstützung übersteigt, hat der Kunde TMF alle Kosten (einschließlich interner Ressourcen und Kosten Dritter), die TMF bei der Erbringung der Unterstützung, die die angemessenen Grenzen bei der Erfüllung seiner Verpflichtung zur Unterstützung des Kunden bei der Einhaltung der Bestimmungen dieses Abschnitts übersteigt, entstanden sind, in voller Höhe zu erstatten.
Datenschutz-Folgenabschätzung: TMF wird den Kunden bei allen Datenschutz-Folgenabschätzungen, die nach den Datenschutzgesetzen, einschließlich Artikel 35 DSGVO oder anderen entsprechenden Verpflichtungen, die sich aus den Datenschutzgesetzen ergeben, erforderlich sind, sowie bei allen vorherigen Konsultationen mit einer Aufsichtsbehörde des Kunden, die nach den Datenschutzgesetzen, einschließlich Artikel 36 DSGVO oder anderen entsprechenden Verpflichtungen, die sich aus den Datenschutzgesetzen ergeben, erforderlich sind, in angemessener Weise unterstützen, und zwar jeweils in Bezug auf die Verarbeitung personenbezogener Daten durch TMF im Auftrag des Kunden und unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen. Datenschutzgesetzen, einschließlich Artikel 36 DSGVO oder anderer entsprechender Verpflichtungen, die durch Datenschutzgesetze festgelegt sind, in jedem Fall in Bezug auf die Verarbeitung personenbezogener Daten durch TMF im Auftrag des Kunden und unter Berücksichtigung der Art der Verarbeitung und der TMF zur Verfügung stehenden Informationen.
Prüfungsrechte: Auf angemessene Anfrage und Ankündigung hin wird TMF bei der Durchführung von Datenschutzprüfungen oder -inspektionen kooperieren, die vernünftigerweise erforderlich sind, um die Einhaltung der in den Datenschutzgesetzen und der Richtlinie im Zusammenhang mit dem Dienstleistungsvertrag festgelegten Verpflichtungen des Verarbeiters durch TMF nachzuweisen, vorausgesetzt, dass TMF durch diese Anforderung nicht verpflichtet wird, Zugang zu Informationen zu gewähren oder zu gestatten, die Folgendes betreffen: (i) interne Preisinformationen von TMF, (ii) Informationen über andere Kunden von TMF, (iii) nicht öffentliche externe Berichte von TMF oder (iv) interne Berichte, die von der internen Revisionsabteilung von TMF erstellt wurden.
Der Kunde hat im Rahmen einer solchen Datenschutzprüfung oder -inspektion Schäden, Verletzungen oder Störungen an der Ausrüstung, dem Personal und dem Geschäftsbetrieb von TMF zu vermeiden.
In einem Zeitraum von zwölf (12) Monaten kann maximal eine Datenschutzprüfung gemäß diesem Abschnitt ohne zusätzliche Kosten für den Kunden durchgeführt werden, es sei denn, (i) die Prüfung erfolgt im Anschluss an eine von TMF im selben Zeitraum verursachte Verletzung des Schutzes personenbezogener Daten, (ii) die vom Kunden im selben Zeitraum gestellt wurde, die wirtschaftlich angemessenen Standardkosten für Marktprüfungen übersteigen würde und/oder (iii) die vom Kunden im selben Zeitraum gestellte Anfrage für eine Datenschutzprüfung die Zuweisung interner TMF-Ressourcen für mehr als einen (1) Werktag erfordern würde, um die Anfrage zu erfüllen. In den vorgenannten Fällen wird TMF den Kunden unverzüglich im Voraus über solche zusätzlich zu erwartenden Kosten informieren, für die der Kunde und TMF vor der Einleitung der genannten Anfrage für eine Datenschutzprüfung eine Einigung über diese Kosten erzielen werden. Alle weiteren Datenschutzprüfungen innerhalb des genannten Zeitraums von zwölf (12) Monaten gehen zu Lasten des Kunden.
Die in diesem Abschnitt 6 der Richtlinie genannten Anfragen des Kunden werden in enger Zusammenarbeit mit und unter Aufsicht des Chief Security and Resilience Officer von TMF, des Chief Privacy Officer von TMF oder ähnlicher Interessenvertreter der örtlichen TMF-Vertreter bearbeitet.
6. Löschung oder Rückgabe personenbezogener Kundendaten
TMF wird nach Wahl des Kunden personenbezogene Daten nach Abschluss der Bereitstellung der Dienste, die eine Verarbeitung beinhalten, löschen oder zurückgeben, es sei denn, (i) Datenschutzgesetze, (ii) Gesetze, Statuten, Anordnungen, Vorschriften, Regeln, Anforderungen, Praktiken und Richtlinien einer Regierung, Regulierungsbehörde oder Selbstregulierungsorganisation, die für die Dienstleistungen in dem Land gelten, in dem diese Dienstleistungen erbracht werden, oder (iii) ein zuständiges Gericht, eine Aufsichts- oder Regulierungsbehörde die Aufbewahrung dieser personenbezogenen Daten durch TMF verlangen.
7. Störfallmanagement
TMF benachrichtigt den Kunden unverzüglich, nachdem TMF von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, und stellt dem Kunden ausreichende Informationen zur Verfügung, damit dieser seinen Verpflichtungen zur Meldung einer Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
Auf Anfrage des Kunden wird TMF uneingeschränkt mit dem Kunden zusammenarbeiten und die vom Kunden angeordneten angemessenen Schritte unternehmen, um bei der Untersuchung, Minderung und Behebung jedes Verstoßes gegen den Schutz personenbezogener Daten zu helfen, damit der Kunde (i) eine gründliche Untersuchung des Verstoßes gegen den Schutz personenbezogener Daten durchführen und Einzelheiten des Vorfalls gemäß den Datenschutzgesetzen wie Artikel 33(3) DSGVO oder anderen entsprechenden Verpflichtungen, die durch Datenschutzgesetze festgelegt sind, (ii) eine korrekte Reaktion zu formulieren und (iii) geeignete weitere Schritte in Bezug auf die Verletzung personenbezogener Daten zu unternehmen, um alle Anforderungen der Datenschutzgesetze zu erfüllen („Abhilfemaßnahmen“).
Wenn TMF die Verletzung personenbezogener Daten verursacht hat, trägt TMF die angemessenen Kosten der von TMF ergriffenen Abhilfemaßnahmen.
Wenn und soweit die Kosten, die TMF im Zusammenhang mit den vom Kunden angeordneten Abhilfemaßnahmen entstehen, mit der vom Kunden verursachten Verletzung des Schutzes personenbezogener Daten zusammenhängen, hat der Kunde die angemessenen Kosten der von TMF ergriffenen Abhilfemaßnahmen zu tragen. Alle Kosten, die TMF entstehen und die diese angemessenen Kosten für Abhilfemaßnahmen übersteigen, sind von den Parteien der Dienstleistungsvereinbarung im Voraus einvernehmlich zu vereinbaren.
Die Abhilfemaßnahmen müssen: (i) unverzüglich eingeleitet werden, (ii) innerhalb eines angemessenen Zeitraums abgeschlossen werden, nachdem TMF von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, und (iii) innerhalb der regulären Geschäftszeiten von TMF durchgeführt werden, wenn Abhilfemaßnahmen erforderlich sind.
8. Internationale Übermittlung personenbezogener Daten
Vorbehaltlich der Abschnitte 3 und 4 der Richtlinie und für den Fall, dass die Dienste internationale Übermittlungen personenbezogener Daten zwischen TMF, Partnerunternehmen von TMF und/oder einem oder mehreren Subunternehmern erfordern, gilt Folgendes (soweit relevant):
a. Übermittlung an Partnerunternehmen von TMF in oder aus der EU. Personenbezogene Daten können übermittelt werden an:
(i) einem oder mehreren Partnerunternehmen von TMF in einem oder mehreren Mitgliedstaaten des Europäischen Wirtschaftsraums („EWR“), der Schweiz oder dem Vereinigten Königreich auf der Grundlage von Datenschutzgesetzen oder (ii) einem oder mehreren Partnerunternehmen von TMF in einem oder mehreren Drittländern auf der Grundlage der verbindlichen Unternehmensregeln, die auf der Website der TMF-Gruppe (https://www.tmfgroup.com/en/legal/data-protection/binding-corporate-rules/) veröffentlicht sind,.
Der Kunde oder das betreffende Partnerunternehmen von TMF stellt der betroffenen Person auf Anfrage eine Kopie dieser verbindlichen Unternehmensregeln und dieser Richtlinie zur Verfügung (ohne sensible oder vertrauliche Geschäftsinformationen). Soweit nach den Datenschutzgesetzen zulässig, holt TMF alle erforderlichen Genehmigungen oder Erlaubnisse für eine solche Übermittlung personenbezogener Daten auf der Grundlage dieser verbindlichen Unternehmensregeln ein. Wenn es TMF nach den Datenschutzgesetzen nicht gestattet ist, eine solche Genehmigung oder Erlaubnis für sich selbst einzuholen, muss der Kunde TMF und allen anderen relevanten Partnerunternehmen von TMF rechtzeitig eine erforderliche Genehmigung erteilen.
Falls die verbindlichen unternehmensinternen Vorschriften nach den Datenschutzgesetzen einer bestimmten Gerichtsbarkeit nicht anerkannt oder anwendbar sind, werden TMF und die betreffenden Partnerunternehmen von TMF die erforderlichen Maßnahmen ergreifen, um die Anforderungen an die grenzüberschreitende Übermittlung personenbezogener Daten gemäß den Datenschutzgesetzen dieser Gerichtsbarkeit zu erfüllen.
b. Übermittlung an Subunternehmer in oder aus der EU. Personenbezogene Daten können übermittelt werden an:
(i) einem oder mehreren Subunternehmern (anderen als Partnerunternehmen von TMF) in einem oder mehreren Mitgliedstaaten des EWR, der Schweiz oder dem Vereinigten Königreich auf der Grundlage von Datenschutzgesetzen gemäß der Genehmigung des Kunden gemäß Abschnitt 4 dieser Richtlinie; oder
(ii) einem oder mehreren dieser Subunternehmer in einem oder mehreren Drittländern auf der Grundlage einer Ausnahme gemäß den Datenschutzgesetzen; oder
(iii) auf der Grundlage angemessener Schutzmaßnahmen, die entweder, soweit nach den Datenschutzgesetzen zulässig, von TMF hinzugefügt werden, um den Schutz personenbezogener Daten zu gewährleisten, oder vom Kunden, in welchem Fall TMF mit dem Kunden zusammenarbeitet, um eine angemessene Grundlage für die grenzüberschreitende Übermittlung personenbezogener Daten an diesen Subunternehmer zu schaffen. Auf Wunsch des Kunden informiert TMF den Kunden über die anwendbare Grundlage für die grenzüberschreitende Übermittlung personenbezogener Daten.
c. Übertragung zwischen dem Kunden und TMF. Wenn die von TMF erbrachten Dienstleistungen eine internationale Übertragung personenbezogener Daten von einer der Parteien, entweder dem Kunden oder TMF, mit Sitz in einem Mitgliedstaat des EWR an eine andere Partei, entweder den Kunden oder TMF, mit Sitz in einem Land, das nicht durch eine Angemessenheitsentscheidung der EU-Kommission für die grenzüberschreitende Übermittlung von 14 personenbezogenen Daten, werden der Kunde und TMF die entsprechenden EU-Standardvertragsklauseln für eine solche spezifische Übermittlung gemäß den Anforderungen der DSGVO ordnungsgemäß ausführen.
d. Sonstige Übertragungen. Gemäß den Datenschutzgesetzen außerhalb des EWR, der Schweiz oder des Vereinigten Königreichs, die für die Verarbeitung personenbezogener Daten zur Erbringung der Dienstleistungen gelten, stellt der Kunde – der als Verantwortlicher handelt – sicher, dass jede grenzüberschreitende Übertragung personenbezogener Daten von TMF an einen Subunternehmer zulässig ist, indem er zusätzliche Sicherheitsvorkehrungen trifft, wie sie nach diesen Datenschutzgesetzen erforderlich sind. Wenn solche Datenschutzgesetze die Bereitstellung weiterer Informationen an die betroffenen Kunden oder die Einholung weiterer Einwilligungen durch den Verantwortlichen erfordern würden, muss der Kunde diese zusätzlichen Schritte unternehmen, bevor die Übermittlung an TMF und/oder Partnerunternehmen von TMF erfolgt.
9. Haftung
Der Kunde garantiert, dass die von TMF im Auftrag des Kunden verarbeiteten personenbezogenen Daten vom Kunden in Übereinstimmung mit den Datenschutzgesetzen verarbeitet wurden und werden, einschließlich, aber nicht beschränkt auf:
a. Sicherstellung, dass alle Benachrichtigungen an und Genehmigungen von Aufsichtsbehörden, die nach den Datenschutzgesetzen erforderlich sind, vom Kunden vorgenommen und aufrechterhalten werden; und
b. Sicherstellung, dass alle personenbezogenen Daten fair und rechtmäßig verarbeitet werden, korrekt und aktuell sind und dass der Kunde den betroffenen Kunden eine faire Mitteilung zukommen lässt, in der die von TMF oder seinen Subprozessoren gemäß den im Dienstleistungsvertrag vereinbarten Dienstleistungen durchzuführende Verarbeitung beschrieben wird.
TMF haftet nur dann für Schäden, die durch die Verarbeitung entstehen, wenn TMF die Verpflichtungen aus den Datenschutzgesetzen, die sich speziell an den Auftragsverarbeiter richten, nicht eingehalten hat oder wenn TMF außerhalb oder entgegen den rechtmäßigen Anweisungen des Kunden, wie im Dienstleistungsvertrag angegeben, gehandelt hat. Der Kunde haftet für Schäden, die durch eine Verarbeitung durch den Kunden entstehen, die gegen die Datenschutzgesetze verstößt. TMF ist von der Haftung gemäß diesem Abschnitt 10 der Richtlinie befreit, wenn es nachweist, dass es in keiner Weise für das schadensverursachende Ereignis verantwortlich ist.
Sind mehrere Verantwortliche oder Auftragsverarbeiter oder sowohl Verantwortliche als auch Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß dem Dienstleistungsvertrag für Schäden verantwortlich, die der betroffenen Person durch die Verarbeitung entstehen, haftet jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden, um eine wirksame Entschädigung der betroffenen Person(en) zu gewährleisten. Hat der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den vollen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser für die Verarbeitung Verantwortliche oder Auftragsverarbeiter berechtigt, von dem/den anderen für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern, die an derselben Verarbeitung beteiligt sind, den Teil des Schadenersatzes zurückzufordern, der ihrem Teil der Verantwortung für den Schaden entspricht, und zwar gemäß den im vorherigen Absatz festgelegten Bedingungen.
Mit Ausnahme dieses Abschnitts 10, dritter Absatz der Richtlinie gelten die in der Dienstleistungsvereinbarung festgelegten Entschädigungen, Haftungen und Ausschlüsse oder Beschränkungen auch für die Verpflichtungen der Parteien gemäß der Richtlinie und der Dienstleistungsvereinbarung und haben im Falle eines Konflikts Vorrang.
10. Kontaktieren Sie uns
Bei Fragen zur Richtlinie oder zu den Datenschutzpraktiken der TMF Group senden Sie bitte eine E-Mail an dataprotection@tmf-group.com und geben Sie die Art Ihrer Anfrage an.
Informationen über die Rechte von Kunden oder betroffenen Personen, deren personenbezogene Daten TMF als Verantwortlicher verarbeitet, einschließlich Einzelheiten zu den Verarbeitungsaktivitäten in Bezug auf ihre personenbezogenen Daten, zur Übermittlung ihrer personenbezogenen Daten innerhalb der TMF-Group und zu den von der TMF-Group angewandten Grundsätzen für die Verarbeitung ihrer personenbezogenen Daten, sind in der Datenschutzerklärung der TMF Group enthalten, die auf der Website der TMF-Group (https://www.tmf-group.com/en/legal/privacy-statement/) verfügbar ist.
Definitionen und Abkürzungen
Die nachfolgend aufgeführten Begriffe und Abkürzungen haben in dieser Richtlinie die folgende Bedeutung:
| Definition | Bedeutung |
| Kunde | bezeichnet die Gegenpartei des Dienstleistungsvertrags mit TMF. |
| Verbundenes Unternehmen des Kunden | bezeichnet jede juristische Person, die mit dem Kunden verbunden ist. |
| Betroffene Personen des Kunden | bezeichnet die ehemaligen und aktuellen Mitarbeiter und Kunden des Kunden und der verbundenen Unternehmen des Kunden sowie alle anderen Kategorien von betroffenen Personen, mit deren personenbezogenen Daten der Kunde TMF zur Erbringung von Dienstleistungen betraut. |
| Verantwortlicher | bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. |
| Datenschutzaudit | bezeichnet Audits, einschließlich Fragebögen zur Einhaltung des Datenschutzes, die vom Kunden oder einem Dritten im Auftrag des Kunden durchgeführt werden, um die Einhaltung der im Servicevertrag und in der Richtlinie festgelegten Datenschutzverpflichtungen durch TMF zu überprüfen. |
| Datenschutzgesetze | In Bezug auf personenbezogene Daten, die im Rahmen der Erfüllung des Servicevertrags verarbeitet werden, die DSGVO zusammen mit allen umsetzenden Gesetzen und anderen geltenden Datenschutzgesetzen, Datenschutzbestimmungen oder Datenschutzverordnungen. Datenschutzbestimmungen. Verweise auf bestimmte Klauseln der DSGVO in der Richtlinie sind auch als Verweise auf die entsprechenden Klauseln anderer anwendbarer Datenschutzgesetze, Datenschutzgesetze oder Datenschutzbestimmungen zu verstehen, falls zutreffend. |
| Betroffene Person(en): | (i) eine identifizierte oder identifizierbare natürliche Person; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Identifikationsnummer oder auf einen oder mehrere Faktoren, die für ihre physische, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind; und (ii) nur wenn dies durch die nationalen Gesetze eines bestimmten Landes vorgesehen ist – eine juristische Person. |
| DSGVO | bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Amtsblatt der Europäischen Union, L 119/1). |
| Personenbezogene Daten | sind alle Informationen, die der Kunde TMF zur Verarbeitung anvertraut und durch die ein Kunde oder ein betroffener Kunde direkt oder indirekt identifiziert werden kann, einschließlich aller anderen Informationen, wenn und soweit diese Informationen durch Datenschutzgesetze geschützt sind. |
| Verletzung personenbezogener Daten | ist eine Sicherheitsverletzung, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt. |
| Verarbeitung | bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. |
| Auftragsverarbeiter | bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. |
| Abhilfemaßnahmen | haben die in Abschnitt 8 der Richtlinie festgelegte Bedeutung. |
| Dienstleistungen | bezeichnet Dienstleistungen, die TMF Kunden im Rahmen eines Dienstleistungsvertrags erbringt. |
| Dienstleistungsvertrag | bezeichnet jeden schriftlichen Vertrag, jede schriftliche Leistungsbeschreibung oder jede andere schriftliche verbindliche Vereinbarung, einschließlich aller Anhänge dazu, zwischen TMF und dem Kunden. |
| EU-Standardvertragsklauseln | bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch den Beschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 angenommen wurden, in der jeweils aktualisierten Fassung. |
| Subunternehmer | bezeichnet die natürliche oder juristische Person, die öffentliche Stelle, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. |
| TMF | bezeichnet das Partnerunternehmen von TMF, das die Vertragspartei des Dienstleistungsvertrags ist. |
| TMF-Partnerunternehmen | bezeichnet in Bezug auf eine bestimmte Person oder Organisation jede andere Person oder Organisation, die direkt oder indirekt die TMF Group B.V. kontrolliert oder von ihr kontrolliert wird oder unter direkter oder indirekter gemeinsamer Kontrolle mit ihr steht, einschließlich der TMF Group B.V. selbst. Für die Zwecke dieser Definition bedeutet „Kontrolle“, wenn sie in Bezug auf eine bestimmte Person oder Organisation verwendet wird, die Befugnis, die Leitung oder die Richtlinien dieser Person oder Organisation zu bestimmen oder bestimmen zu lassen, sei es durch Eigentum an stimmberechtigten Wertpapieren oder durch Vertrag oder anderweitig. Die Begriffe „kontrollierend“ und „Kontrolle“ haben eine dem Vorstehenden entsprechende Bedeutung. Von dieser Definition ausdrücklich ausgenommen sind die Beteiligungsgesellschaften, die die TMF Group B.V. kontrollieren. |
Verweis auf zugehörige Dokumente
| Verwandte Normen |
| Partnerunternehmen: | jede juristische Person, die mit dem Kunden verbunden ist. |
| Kunde: | die Gegenpartei des Dienstleistungsvertrags mit TMF. |
| Verwandte interne Dokumente |
| BCR-Controller-Extrakt | bezeichnet jede mit dem Kunden verbundene juristische Person. |
Revisionsverlauf und Aufzeichnungen
| Version | Datum | Autor | Details |
| v.1.0 | 01-03-2018 | Chief Privacy Officer | Erste Version genehmigt. |
| v.2.0e | 29-04-2019 | Chief Privacy Officer | Abschnitte 1, 3, 6, 7, 9, 10 und 11 überarbeitet, um die Rolle und Pflichten der TMF Group bei der Verarbeitung personenbezogener Daten zu verdeutlichen. |
| v.2.1 | 24-01-2020 | Chief Privacy Officer | Abschnitte 3 und 5 wurden überarbeitet, um die Details der Verarbeitung und die Liste der Links zu den Subunternehmern aufzunehmen. |
| v.2.2 | 17-05-2021 | Group Privacy Office |
Abschnitt 1 wurde überarbeitet, um die anwendbare Version der Richtlinie für die Dienstleistungsvereinbarung sowie die gesetzlich vorgeschriebenen Änderungen zu präzisieren. Abschnitt 2 wurde aktualisiert und enthält nun Definitionen für „Datenschutzprüfung“ und „Verletzung des Schutzes personenbezogener Daten“. Abschnitt 5 wurde überarbeitet, um die Anzahl der Tage zu erhöhen, innerhalb derer der Verantwortliche der Ernennung neuer Subunternehmer widersprechen kann, und um die Sprache für mögliche Lösungen bei Widerspruch zu präzisieren. Abschnitt 6 wurde überarbeitet, um die Anwendung weiterer Versionen der Kontinuitätserklärung zu präzisieren. Abschnitt 7 wurde sprachlich überarbeitet, um die Verpflichtungen aus den Datenschutzgesetzen zu präzisieren, neue definierte Begriffe aufzunehmen und aufgrund organisatorischer Änderungen zu aktualisieren. Abschnitt 9 wurde aktualisiert und enthält nun die Kostenzuweisung für Verstöße gegen den Schutz personenbezogener Daten, die durch TMF verursacht wurden |
| v.3.0 | 20-05-2022 | Senior Privacy Officer |
Vorlage auf die neueste Version aktualisiert. Abschnitt 1 wurde überarbeitet, um die Rolle des Partnerunternehmens von TMF als Auftragsverarbeiter für die Zwecke dieser Richtlinie zu klären, und es wird auf die Datenschutzerklärung der TMF Group verwiesen, in der Links für Situationen verfügbar sind, in denen das Partnerunternehmen von TMF personenbezogene Daten als Verantwortlicher verarbeitet. Der frühere Abschnitt 2 (Definitionen) wurde in einen Anhang verschoben – Definitionen und Abkürzungen. Abschnitt 2 wurde aktualisiert, um die Verpflichtungen von Kunden gegenüber betroffenen Personen im Rahmen der Datenschutzgesetze zu berücksichtigen. Abschnitt 3 wurde sprachlich überarbeitet, um das Konzept der aggregierten Daten zu verdeutlichen. Abschnitt 4 wurde sprachlich aktualisiert, um den Benachrichtigungsmechanismus und die Widerspruchsfrist zu verdeutlichen: Es wurde eine Formulierung für die Benachrichtigungs- und Genehmigungspflichten hinzugefügt, falls das Partnerunternehmen von TMF als Subunternehmer fungiert. Abschnitt 5: Überarbeitete Formulierung zur Klärung der rechtlichen Abdeckung von Sicherheitsanforderungen gemäß Datenschutzgesetzen. Abschnitt 6: Überarbeitete Formulierung zur Einbeziehung von kommerziellen Kosten, die sich aus Datenschutzprüfungen ergeben. Abschnitt 8: Überarbeitete Formulierung zur Berücksichtigung der Einhaltung zusätzlicher rechtlicher Anforderungen in Bezug auf Verstöße gegen den Schutz personenbezogener Daten. Abschnitt 9: Überarbeitete Formulierung zur Einhaltung der Anforderungen an internationale Datenübermittlungen gemäß den geltenden Datenschutzgesetzen, einschließlich der EU-Standardvertragsklauseln. Abschnitt 10 wurde überarbeitet und enthält nun die Haftung des Partnerunternehmens von TMF für ernannte Subunternehmer. Abschnitt 11 wurde aktualisiert und enthält nun einen Verweis auf den BCR-Auszug des Verantwortlichen. Definitionen und Abkürzungen – aktualisiert, um die Definition „EU-Standardvertragsklauseln“ aufzunehmen, und überarbeitete Formulierungen zu den Definitionen „Datenschutzgesetze“, „personenbezogene Daten“, „Subunternehmer“ und „Partnerunternehmen von TMF“ hinzugefügt, um die Anforderungen der Datenschutzgesetze rechtlich abzudecken und zu klären. |
| v.3.1 | 18-08-2022 | Senior Privacy Officer |
Die Nummerierung wurde angepasst. Abschnitt 3 wurde in Bezug auf die Zwecke, für die aggregierte Daten verwendet werden könnten, aktualisiert. |
| v.3.2 | 21-03-2023 | Privacy Officer |
Abschnitt 1 - überarbeitet, um bei Bedarf die Definition von betroffenen Kundendaten zu verwenden und den Anwendungsbereich der Datenschutzerklärung der TMF Group zu klären. Abschnitt 4 – geringfügig aktualisiert, um die Einheitlichkeit zu gewährleisten und die verwendete Formulierung für die Art der Tage für Einwände (Kalendertage) anzupassen. Abschnitt 6 – überarbeitete Formulierung zur Klarstellung der Kosten, die sich aus der Unterstützung von TMF für den Kunden ergeben, die über die angemessene Unterstützung in Bezug auf die Rechte der betroffenen Kunden hinausgeht. Abschnitt 6 enthält eine angepasste Formulierung, um die entsprechenden Interessenvertreter des lokalen TMF-Büros einzubeziehen, ähnlich wie der Chief Security and Resilience Officer von TMF und der Chief Privacy Officer von TMF, die in die Zusammenarbeit und Aufsicht im Falle einer Datenschutzprüfung einbezogen werden sollen. Abschnitt 9 – aktualisierte Fassung der vorab unterzeichneten Version der EU-Standardvertragsklauseln. Abschnitt 10 – überarbeitet, um klarzustellen, dass der Kunde dafür verantwortlich ist, den betroffenen Kunden eine Mitteilung zukommen zu lassen, in der die Verarbeitung durch TMF oder seine Subunternehmer gemäß den im Dienstleistungsvertrag vereinbarten Dienstleistungen beschrieben wird. Abschnitt 11 – aktualisiert, um einen Verweis auf die in der Datenschutzerklärung der TMF Group enthaltenen Einzelheiten zu den Verarbeitungsaktivitäten aufzunehmen. Definitionen und Abkürzungen – aktualisiert, um die Definition „Verarbeiter“ aufzunehmen. |
| v.3.3 | 25-04-2024 | Group Privacy Office | Überprüft. Keine Änderungen erforderlich.. |
Downloads
Richtlinie zum Schutz personenbezogener Daten– TMF Group | version 1.0 | 1. März 2018
Richtlinie zum Schutz personenbezogener Daten– TMF Group | version 2.0 | 5. Juli 2019
Richtlinie zum Schutz personenbezogener Daten– TMF Group | version 2.1 | 30. Januar 2020
Richtlinie zum Schutz personenbezogener Daten – TMF Group | version 2.2 | 15. Juni 2021
Richtlinie zum Schutz personenbezogener Daten– TMF Group | version 3.0 | Mai 2022
Richtlinie zum Schutz personenbezogener Daten– TMF Group | version 3.1 | September 2022
Richtlinie zum Schutz personenbezogener Daten– TMF Group | version 3.2 | April 2023
Richtlinie zum Schutz personenbezogener Daten– TMF Group | version 3.3 | April 2024
Wir machen eine komplexe Welt einfach
TMF Group ist ein führender Anbieter von essenziellen administrativen Dienstleistungen und unterstützt Kunden weltweit dabei, sicher zu investieren und zu operieren. Mit über 13.000 Kollegen in mehr als 125 Büros in 87 Rechtsgebieten bieten wir lokale Expertise. Unsere Standorte decken 92 % des globalen BIP und 95 % der FDI-Zuflüsse ab.
Wir sind ein wesentlicher Bestandteil der Governance unserer Kunden und bieten Buchhaltungs-, Steuer-, Gehaltsabrechnungs-, Fondsverwaltungs- und Dienstleistungen zur Verwaltung rechtlicher Einheiten an, die für ihren Erfolg entscheidend sind. Wir stellen sicher, dass Regeln eingehalten, Reputationen geschützt und betriebliche Compliance gewährleistet werden. Wir arbeiten mit der Mehrheit der Fortune Global 500, FTSE 100 und den 300 größten Private-Equity-Unternehmen zusammen.
Führen Sie Ihr Unternehmen erfolgreich in internationale Märkte.
Nehmen Sie Kontakt mit uns auf, um herauszufinden, wie wir Ihre Organisation in einer komplexen Welt beim Wachstum unterstützen können.
Kontaktieren sie uns Kontaktieren sie uns