Binding corporate rules (BCR)

Diese „Verbindlichen internen Datenschutzvorschriften - Verantwortlicher“ („Binding Corporate Rules - Controller“ (nachfolgend: „BCR-C“)) gelten, wenn CGI als Verantwortlicher handelt und wenn CGI als Auftragsverarbeiter im Namen von CGI handelt, auch als Interner Auftragsverarbeiter bezeichnet.

 

1. Definitionen

Für die Zwecke dieser „Verbindlichen internen Datenschutzvorschriften - Verantwortlicher“ („Binding Corporate Rules - Controller“ (kurz: „BCR-C“)) gelten die folgenden Definitionen:

"Anwendbares Datenschutzrecht" bezieht sich auf (i) die Europäische Verordnung 2016/679 über die Verarbeitung personenbezogener Daten zum Zeitpunkt ihres Inkrafttretens und (ii) alle Ausführungsgesetze zu dieser Datenschutz-Grundverordnung.

"CGI" bezieht sich je nach Fall auf eine, mehrere oder alle beteiligten juristischen Personen, die von CGI Inc. kontrolliert werden oder ihr gehören. sowie die strategischen Geschäftseinheiten und die in ihrem Namen handelnden Geschäftseinheiten, die Personenbezogene Daten verarbeiten und deren Einhaltung dieser BCRC nicht gegen lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse, verbindliche Normen oder verbindliche Verpflichtungen verstößt oder diesen widerspricht. Die teilnehmenden CGI-Unternehmen sind in Annex A aufgeführt. Diese Liste kann von Zeit zu Zeit aktualisiert werden. 

"Verantwortlicher" bezieht sich auf jede juristische Person, die allein oder gemeinsam mit anderen für die Verarbeitung Verantwortlichen die Zwecke und Mittel der Verarbeitung Personenbezogener Daten bestimmt. 

"Auftragsverarbeiter" bezieht sich auf jede juristische Person, die im Auftrag eines Verantwortlichen handelt.

"Betroffene Person" bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, deren Personenbezogene Daten von CGI verarbeitet werden, einschließlich aller CGI-Member, externer Berater von CGI oder Mitarbeiter oder Endnutzer eines CGI-Kunden.

"Europäischer Wirtschaftsraum" oder "EWR" bezieht sich auf die EU-Mitgliedstaaten (Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern) sowie Norwegen, Liechtenstein und Island, im Folgenden auch als "Mitgliedstaaten" bezeichnet.

"DSGVO" bezeichnet die Europäische Verordnung 2016/679 mit dem Titel Datenschutz-Grundverordnung.

"Interner Auftragsverarbeiter" bezieht sich auf jedes in Annex A aufgeführte CGI-Unternehmen, das als Auftragsverarbeiter im Auftrag eines anderen in Annex A aufgeführten CGI-Unternehmens handelt, das als Verantwortlicher fungiert.

"Lokale Gesetzgebung" hat die Bedeutung, die diesem Ausdruck in Abschnitt 13.5 zugeschrieben wird.

"Member" bezieht sich auf einen oder mehrere CGI-Mitarbeiter.

"Personenbezogene Daten" sind alle Informationen über eine betroffene Person, die direkt oder indirekt identifiziert werden können, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den Personenbezogenen Daten gehören auch sensible personenbezogene Daten.

"Sensible personenbezogene Daten" beziehen sich auf bestimmte Kategorien Personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie auf die Verarbeitung genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten und von Daten zum Sexualleben oder die sexuelle Orientierung einer natürlichen Person. 

"Dritte" beziehen sich auf Lieferanten und Unterauftragnehmer von CGI sowie auf jede andere Einrichtung oder öffentliche Stelle, an die Personenbezogene Daten weitergegeben werden können. 

"Übermittlung Personenbezogener Daten" bezieht sich auf die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in ein Land außerhalb des EWR. 

2. Umfang

2.1 Abgedeckte Aktivitäten 

Diese „Verbindlichen internen Datenschutzvorschriften - Verantwortlicher“ („Binding Corporate Rules - Controller“ (nachfolgend: „BCR-C“)) gelten, wenn CGI als Verantwortlicher handelt und wenn CGI als Auftragsverarbeiter im Namen von CGI handelt, auch als Interner Auftragsverarbeiter bezeichnet. Die Kategorien von Verarbeitungen, betroffenen Personen und Personenbezogenen Daten, die unter diese BCR-C fallen, sind in Annex B aufgeführt.

2.2 Abgedeckte Gebiete 

Die hier genannten Grundsätze gelten für die Übermittlung Personenbezogener Daten in den folgenden Fällen: 

• von CGI im EWR zu CGI außerhalb des EWR;
• von CGI außerhalb des EWR an CGI innerhalb oder außerhalb des EWR, jedoch nur in dem Umfang, in dem Personenbezogene Daten von betroffenen Personen, die sich im EWR befinden, verarbeitet werden;
• von CGI im EWR an Dritte außerhalb des EWR;
• von Dritten außerhalb des EWR an CGI im EWR, jedoch nur in dem Umfang, in dem Personenbezogene Daten von betroffenen Personen, die sich im EWR befinden, verarbeitet werden. 

3. Verantwortlichkeit und Einhaltung dieser BCR-C

3.1 Verantwortlichkeit von CGI 

Diese BCR-C sind für CGI verbindlich, einschließlich aller teilnehmenden CGI-Unternehmen, die in Annex A aufgeführt sind. Jedes in Annex A aufgeführte CGI-Unternehmen, das als Verantwortlicher oder als Interner Auftragsverarbeiter handelt, ist für den Nachweis der Einhaltung dieser BCR-C verantwortlich. 

3.2 Einhaltung durch die Member

Alle CGI-Member (Mitarbeiter) sind an diese BCR-C gebunden, indem sie sich in allen Arbeitsverträgen verpflichten, die geltenden Vertraulichkeits- und Datenschutzverpflichtungen sowie die Richtlinien, Verfahren und Standards von CGI einzuhalten, die im Ethikkodex von CGI enthalten sind. CGI-Member werden diesen BCR-C, soweit einschlägig, jährlich zusammen mit dem Ethikkodex anerkennen.
Wie in den Abschnitten 13.1 und 14 dieser BCR-C näher ausgeführt, werden die CGI-Member durch interne Kommunikation und Schulungen auf die BCR-C aufmerksam gemacht. CGI-Member werden auch darauf aufmerksam gemacht, dass die Nichteinhaltung des Ethikkodex und in diesem speziellen Fall der BCR-C zu Sanktionen gemäß den geltenden lokalen Gesetzen führen kann.

3.3 Einhaltung der Vorschriften in Bezug auf CGI-Lieferanten, Subunternehmer und andere Dritte 

Jeder Dritte, der Personenbezogene Daten im Auftrag von CGI verarbeitet, ist verpflichtet, geeignete organisatorische Maßnahmen zu ergreifen, um die Einhaltung der Grundsätze und Anforderungen dieser BCR-C zu gewährleisten.

Ein CGI-Unternehmen, das als Verantwortlicher oder Interner Auftragsverarbeiter agiert, erlaubt anderen CGI- Unternehmen oder Dritten nur dann Personenbezogene Daten in ihrem Namen zu verarbeiten, wenn ein Vertrag zwischen ihnen besteht, der die in Artikel 28 (3) DSGVO festgelegten Anforderungen erfüllt.

4. CGI-Grundprinzipien für die Verarbeitung Personenbezogener Daten

Die Einhaltung der folgenden Grundsätze erfüllt oder übertrifft nicht nur das Anwendbare Datenschutzrecht, sondern entspricht auch den höchsten Marktstandards und Praktiken für die Verarbeitung Personenbezogener Daten. 

4.1 Anwendbare Grundsätze, wenn CGI als Verantwortlicher handelt 

(i) Transparenz, Fairness und Rechtmäßigkeit

CGI verarbeitet Personenbezogene Daten rechtmäßig, fair und auf transparente Weise in Bezug auf die betroffene Person, in Übereinstimmung mit den Anforderungen dieser BCR-C und insbesondere den Abschnitten 4.1 und 13. 

(ii) Zweckbestimmung

Jeder Verarbeitung Personenbezogener Daten durch CGI, insbesondere ihrer Erhebung, geht die Festlegung des spezifischen Zwecks für diese Verarbeitung voraus. Dieser Zweck muss ausdrücklich und rechtmäßig sein. Personenbezogene Daten dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesem Zweck unvereinbar ist.

(iii) Datenminimierung

Sobald der Zweck für die Verarbeitung Personenbezogener Daten feststeht, erhebt CGI Personenbezogene Daten nur in dem Umfang, der für die Erreichung dieses Zwecks erforderlich ist. Jedes Detail der Verarbeitung wird innerhalb der frühen Phasen der Lösungsentwicklung überprüft und in den Prozess der Überprüfung der Datenschutz-Checkliste oder auf andere Weise einbezogen, um sicherzustellen, dass die Personenbezogenen Daten angemessen, relevant und auf das beschränkt sind, was in Bezug auf den Zweck, für den sie verarbeitet werden, erforderlich ist.

(iv)Qualität der Personenbezogenen Daten

Während des gesamten Lebenszyklus der Verarbeitung stellt CGI sicher, dass die gesammelten Personenbezogenen Daten korrekt und auf dem neuesten Stand bleiben. Es werden alle angemessenen Schritte unternommen, um sicherzustellen, dass Personenbezogene Daten, die unrichtig sind, unverzüglich gelöscht oder berichtigt werden, einschließlich, aber nicht beschränkt auf Selfservice-Optionen für betroffene Personen. Insbesondere wird CGI den betroffenen Personen angemessene Mittel zur Verfügung stellen, um CGI im Falle einer Änderung ihrer Personenbezogenen Daten zu informieren. CGI wird außerplanmäßige Audits durchführen, wie in Abschnitt 15 näher definiert. 

(v) Beschränkung der Datenaufbewahrung

CGI stellt sicher, dass Personenbezogene Daten nicht länger aufbewahrt werden als unbedingt notwendig, um den Zweck, für den die Personenbezogenen Daten erhoben wurden, zu erreichen. Folglich wird CGI vor Beginn der Verarbeitung eine angemessene Aufbewahrungsfrist festlegen. Dabei berücksichtigt CGI die Zeitspanne, in der die Personenbezogenen Daten zur Erreichung des Zwecks der Verarbeitung erforderlich sind, wobei die folgenden Faktoren berücksichtigt werden:

• Zeitraum, nach dem die Aufbewahrung dieser Personenbezogenen Daten Auswirkungen auf das Recht der betroffenen Person auf Vergessenwerden haben kann; 
• Gesetzliche Verpflichtungen, die eine Mindestaufbewahrungsfrist für Daten vorschreiben, wie sie in der CGI-Richtlinie zur Aufbewahrung von Aufzeichnungen und dem Aufbewahrungsplan für Aufzeichnungen oder anderweitig definiert sein können. 

(vi)Sicherheitsmaßnahmen

CGI ergreift geeignete betriebliche und technische Maßnahmen, die mindestens den in den Sicherheitsrichtlinien und -standards von CGI vorgeschriebenen Maßnahmen entsprechen, um unrechtmäßigen Zugriff, Verlust, Zerstörung, Änderung und/oder Verarbeitung Personenbezogener Daten zu verhindern. 

Insbesondere gewährt CGI den Membern nur dann Zugang zu Personenbezogenen Daten, wenn dies zur Erfüllung der zugewiesenen Aufgaben erforderlich ist, die mit dem Zweck, für den die Personenbezogenen Daten verarbeitet werden, im Einklang stehen. 

Im Falle eines unrechtmäßigen Zugriffs und/oder einer unrechtmäßigen Verarbeitung hält sich CGI an seine  Informationssicherheitspolitik und die entsprechenden Verfahren.

(vii) Festlegeung einer Rechtsgrundlage

Zusätzlich zu den oben genannten Grundsätzen darf die Verarbeitung nur erfolgen, wenn: 

• diese notwendig ist, um einer gesetzlichen Verpflichtung nachzukommen, die für CGI gilt (z. B. Meldung von Daten an die Steuerbehörden); oder
• diese im Zusammenhang mit einem Vertrag mit einer betroffenen Person erforderlich ist (z. B. Arbeitsvertrag); oder 
• soweit kein Vertrag mit einer betroffenen Person vorliegt, die Verarbeitung für das berechtigte Interesse von CGI erforderlich ist, welches mit den Interessen der betroffenen Person abgewogen wird. Ein berechtigtes Interesse liegt vor, wenn:

1. Die Verarbeitung zur Verwirklichung des von CGI verfolgten berechtigten Interesses erforderlichist, ohne dass dadurch die Interessen der betroffenen Person beeinträchtigt werden,
2. das Interesse von CGI nicht von den Grundrechten oder Interessen der betroffenen Personen überlagert wird, und
3. CGI sich an die geltenden Rechtsvorschriften hält und seine Verpflichtungen auf transparente Weise erfüllt.

Dieses berechtigte Interesse wird daher unter Berücksichtigung des Kerngeschäfts von CGI und des geltenden Rechts sowie etwaiger negativer Auswirkungen auf die Privatsphäre der betroffenen Personen bestimmt.

• Wenn die Verarbeitung nicht unter einen der oben genannten Punkte fällt, holt CGI die vorherige Zustimmung der betroffenen Person ein, bevor sie ihre Personenbezogenen Daten verarbeitet. Die Zustimmung ist wirksam, wenn:
• sie freiwillig durch eine eindeutige, bejahende Handlung erteilt wird; und
• sie eine spezifische, informierte und unmissverständliche Angabe der Einwilligung der betroffenen Person zur Verarbeitung ihrer Personenbezogenen Daten darstellt. 

Die Verarbeitung Personenbezogener Daten durch CGI kann als rechtmäßig angesehen werden, wenn die  Verarbeitung für das lebenswichtige Interesse der betroffenen Person erforderlich ist oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse gemäß dem Anwendbaren Datenschutzrecht durchgeführt wird.

5. Verarbeitung sensibler personenbezogener Daten

Die Verarbeitung sensibler personenbezogener Daten erfordert die Anwendung verstärkter Garantien, wie sie im Folgenden beschrieben werden.

CGI wird Sensible personenbezogene Daten nur dann verarbeiten, wenn dies unbedingt erforderlich ist. Bei der 
Verarbeitung Sensibler personenbezogener Daten in eigenem Namen stellt CGI sicher, dass mindestens eine 
der folgenden Bedingungen erfüllt ist:

• Die betroffene Person hat ihre vorherige Einwilligung gegeben;
• Die Verarbeitung ist für die Erfüllung der Pflichten und die Ausübung bestimmter Rechte des Verantwortlichen oder der betroffenen Person im Bereich des Arbeits- und Sozialversicherungsrechts und des Sozialschutzes erforderlich;
• Wenn die betroffene Person nicht in der Lage ist, ihre Einwilligung zu geben (z. B. aus medizinischen Gründen), ist die Verarbeitung erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen;
• Die Verarbeitung ist im Rahmen der Präventivmedizin oder der medizinischen Diagnose durch einen 
• Angehörigen der Gesundheitsberufe nach nationalem Recht erforderlich;
• Die betroffene Person hat die betreffenden sensiblen Personenbezogenen Daten bereits offensichtlich öffentlich gemacht; 
• Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen unerlässlich, sofern kein Grund zu der Annahme besteht, dass die betroffene Person ein überwiegendes schutzwürdiges Interesse daran hat, dass die sensiblen personenbezogenen Daten nicht verarbeitet werden; oder
• Die Verarbeitung ist ausdrücklich durch die Gesetze des EWR/Mitgliedstaates erlaubt (z. B. Registrierung/Schutz von Minderheitengruppen).

In jedem Fall wird CGI sensible personenbezogene Daten in Übereinstimmung mit dem Anwendbaren  Datenschutzrecht verarbeiten. Wenn ein solches Gesetz besondere Bedingungen für das Hosting und die 
Verarbeitung vorschreibt, wird CGI entweder die erforderliche Zertifizierung oder Qualifikation einholen oder 
einen Dritten beauftragen, der bereits für diesen Zweck zertifiziert oder qualifiziert ist.

6. Übermittlung personenbezogener Daten an Drittländer

Eine Übermittlung personenbezogener Daten liegt vor, wenn eine außerhalb des EWR ansässige Stelle an der Verarbeitung durch eine im EWR ansässige Stelle beteiligt ist.

Eine Übermittlung personenbezogener Daten kann zusätzliche Garantien oder Bedingungen erfordern, wie nachstehend näher beschrieben. 

6.1    Übermittlung von personenbezogenen Daten innerhalb von CGI 

Diese BCR-C bieten angemessene Garantien in Bezug auf die Übermittlung personenbezogener Daten: 

• von CGI im EWR, die als Verantwortlicher handelt, an außerhalb des EWR angesiedelte CGI-Unternehmen, die als Verantwortlicher oder als Interner Auftragsverarbeiter handeln;
• von CGI mit Sitz außerhalb des EWR, die als Verantwortliche handelt und personenbezogene Daten verarbeitet, die in den Anwendungsbereich dieser BCR-C fallen, an CGI-Unternehmen, die entweder als Verantwortliche oder als Interner Auftragsverarbeiter handeln, unabhängig davon, wo sie sich befindet.
• Die voraussichtlichen Zwecke einer solchen Übermittlung personenbezogener Daten gestalten sich wie in Abschnitt 2.1 oben beschrieben.

6.2    Übermittlung von personenbezogenen Daten außerhalb von CGI 

Wenn eine Übermittlung Personenbezogener Daten zwischen CGI im EWR und einer Drittpartei außerhalb des EWR stattfindet, beinhaltet die Übermittlung personenbezogener Daten je nach Fall eine der folgenden angemessenen Schutzmaßnahmen:

•  Die Übernahme der EU-Standarddatenschutzklauseln durch die Parteien, die sich aus dem Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ergeben.
• Alle anderen angemessenen Garantien, die von dem Anwendbaren Datenschutzrecht anerkannt sind, die das gleiche oder ein höheres Schutzniveau für personenbezogene Daten verlangen, als in der Datenschutz-Grundverordnung 2016/679 vorgesehen ist, wie z. B. ein Angemessenheitsbeschluss, genehmigte Verhaltensregeln oder ein geeigneter Zertifizierungsmechanismus.

Alle anderen Datenströme, bei denen es sich nicht um personenbezogene Daten handelt und die nicht von einer EWR-Einrichtung stammen, gelten nicht als Übermittlung personenbezogener Daten im Sinne dieser BCR-C. Folglich unterliegt eine solche Übermittlung nicht den hierin enthaltenen Anforderungen. Die an solchen Übermittlungen beteiligten CGI-Unternehmen werden jedoch alle notwendigen und angemessenen technischen und organisatorischen Maßnahmen ergreifen, die den mit einer solchen Verarbeitung verbundenen Risiken entsprechen, und zwar in Übereinstimmung mit diesen BCR-C und den geltenden Sicherheitsrichtlinien von CGI.

7. Rechte von Drittbegünstigten

7.1    Wenn CGI als Verantwortlicher handelt 

Im Falle eines Verstoßes gegen diese BCR-C durch CGI haben die betroffenen Personen das Recht, die folgenden Bestimmungen dieser BCR-C als Drittbegünstigte durchzusetzen:

• Abschnitt 4: CGI-GRUNDPRINZIPIEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
• Abschnitt 5: VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN
• Abschnitt 6: ÜBERMITTLUNG PERSONENBEZOGENER DATEN AN DRITTLÄNDER
• Abschnitt 7: RECHTE VON DRITTBEGÜNSTIGTEN
• Abschnitt 8: HAFTUNG VON CGI BEI VERSTÖßEN GEGEN DIE BCR-R
• Abschnitt 9: VERFAHREN ZUR BEARBEITUNG VON BETROFFENENANFRAGEN UND BESCHWERDEN
• Abschnitt 10: BETROFFENENRECHTE
• Abschnitt 11: DATENSCHUTZ DURCH TECHNIK / DATENSCHUTZ DURCH VOREINSTELLUNGEN
• Abschnitt 13.1: (TRANSPARENZ) BEZÜGLICH DER BCR-C-INHALTE
• Abschnitt 13.4: ZUSAMMENARBEIT MIT DEN DATENSCHUTZBEHÖRDEN
• Abschnitt 13.5: WANN LOKALES RECHT VORRANG VOR DIESEN BCR-C HAT

Im Falle einer Verletzung der in diesen BCR-C garantierten Rechte können die betroffenen Personen und CGI eine gütliche Einigung im Rahmen einer gemäß Abschnitt 9 dieser BCR-C geschlossenen Vereinbarung anstreben ("Verfahren zur Bearbeitung von betroffenenanfragen und Beschwerden"). 

Betroffene Personen haben außerdem das Recht, direkt bei der zuständigen Datenschutzbehörde des Mitgliedstaates, in dem sie ihren gewöhnlichen Aufenthalt oder ihren Arbeitsplatz haben oder am Ort des mutmaßlichen Verstoßes, eine Beschwerde einzureichen oder direkt vor dem Gericht des Mitgliedstaates, in dem CGI France SAS eine Niederlassung hat oder in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, Rechtsmittel gegen eine Verletzung der in diesen BCR-C garantierten Rechte einzulegen und gegebenenfalls eine Entschädigung für materielle oder immaterielle Schäden zu verlangen, die sich aus einer solchen Verletzung ergeben. CGI ermutigt die betroffenen Personen jedoch, dieses spezielle Beschwerdeverfahren zu nutzen, auch wenn es ihnen freisteht, es nicht in Anspruch zu nehmen.

7.2    Gerichtsbarkeit

Beabsichtigt eine betroffene Person, eine Beschwerde gemäß Abschnitt 7.1 wegen einer Verletzung eines der in diesen BCR-C gewährten Rechte im Zusammenhang mit einer in den Anwendungsbereich dieser BCR-C fallenden Verarbeitung einzureichen, so sind die folgenden Behörden oder Gerichte zuständig:

• Wenn der Verstoß auf eine Verarbeitung durch CGI mit Sitz im EWR zurückzuführen ist, hat die betroffene Person das Recht, bei einer der folgenden Behörden eine Beschwerde gegen CGI einzureichen:
  • bei einer Datenschutzaufsichtsbehörde in dem Mitgliedstaat, in dem er seinen gewöhnlichen Aufenthalt, seinen Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes hat;
  • vor den Gerichten des Mitgliedstaats, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat;
  • bei den Gerichten des Mitgliedstaats, in dem CGI als Datenexporteur eine Niederlassung hat.
• Wenn der Verstoß auf eine Verarbeitung durch CGI außerhalb des EWR zurückzuführen ist, hat die betroffene Person das Recht, direkt bei der zuständigen Datenschutzbehörde in der EU ihres Wohnsitzes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes oder vor dem Gericht des Mitgliedstaates, in dem die betroffene Person ihren Wohnsitz hat oder in dem CGI eine Niederlassung unterhält, eine Beschwerde gegen CGI France SAS einzureichen. 

8. Haftung von CGI bei Verstößen gegen die BCR-C

Im Falle eines Verstoßes gegen diese BCR-C durch CGI mit Sitz außerhalb des EWR ist CGI France SAS für diesen Verstoß verantwortlich und wird die erforderlichen Maßnahmen ergreifen, um den Verstoß zu beheben und den daraus resultierenden Schaden zu ersetzen. CGI France SAS trägt auch die Beweislast dafür, dass CGI für einen angeblichen Verstoß gegen die BCR-C nicht haftbar ist. 

Im Falle eines Verstoßes gegen diese BCR-C durch CGI mit Sitz im EWR ist CGI France SAS für diesen Verstoß verantwortlich und wird die erforderlichen Maßnahmen ergreifen, um den Verstoß zu beheben und den daraus resultierenden Schaden zu ersetzen. Eine solche von CGI France SAS zu leistende Entschädigung muss von CGI Inc. bestätigt werden, dem beherrschenden Unternehmen aller operativen Tochtergesellschaften von CGI, wodurch bestätigt wird, dass CGI France SAS die Haftung für die Handlungen der operativen Tochtergesellschaften von CGI, die durch diese Richtlinie außerhalb der EU gebunden sind, übernommen hat und über ein ausreichendes Vermögen verfügt, um den aus dem Verstoß gegen diese Richtlinie resultierenden Schaden zu ersetzen. CGI France SAS trägt auch die Beweislast für den Nachweis, dass CGI nicht für einen angeblichen Verstoß gegen die BCR-C haftet. 

In jeder der oben genannten Situationen haben die Betroffenen Personen das Recht, unter den in Abschnitt 7.1 genannten Bedingungen eine Beschwerde einzureichen. 

9. Verfahren zur Bearbeitung von betroffenenanfragen und Beschwerden

Das in diesem Abschnitt beschriebene Verfahren gilt für die Beschwerde einer betroffenen Person oder für den Fall, dass eine betroffene Person ihr Recht auf Auskunft, Aktualisierung oder Löschung ihrer personenbezogenen Daten ausübt. 

Betroffene Personen können eine Beschwerde oder einen Antrag bezüglich der Verarbeitung personenbezogener Daten einreichen, wenn sie der Meinung sind, dass CGI gegen diese BCR-C verstößt. Die Beschwerde oder der Antrag können gegen das CGI-Unternehmen gerichtet werden, das ihrer Meinung nach gegen die BCR-C verstößt. Wenn der Verstoß wahrscheinlich auf eine Handlung eines CGI-Unternehmens außerhalb des EWR zurückzuführen ist, kann die betroffene Person die Beschwerde oder den Antrag direkt gegen CGI France SAS einreichen. 

Eine solche Beschwerde oder ein solcher Antrag muss über die im Intranet und auf der Website von CGI zur Verfügung gestellten Kontaktdaten beim Datenschutzbeauftragten des Unternehmens eingereicht werden. Die Beschwerde oder der Antrag wird von Enterprise Data Privacy mit Unterstützung der zuständigen Stellen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Beschwerde oder des Antrags, bearbeitet.

10. Betroffenenrechte

Wenn CGI als Verantwortlicher handelt, können die betroffenen Personen auch jederzeit: 

• Auskunft zu personenbezogenen Daten verlangen, die sie betreffen und von CGI verarbeitet werden;
• Die Berichtigung oder Löschung von unrichtigen oder unvollständigen personenbezogenen Daten verlangen, die sie betreffen oder die nicht mehr für einen gültigen oder angemessenen Zweck verarbeitet werden;
• Der Verarbeitung ihrer personenbezogenen Daten widersprechen, es sei denn, eine solche Verarbeitung ist nach geltendem Recht des betroffenen EWR/Mitgliedstaates erforderlich, vorausgesetzt, die betroffene Person weist nach, dass sie einen Grund hat, der sich auf ihre besondere Situation bezieht (z. B. eine betroffene Person widerspricht mit der Begründung, dass die Verarbeitung ihr erheblichen Schaden oder Kummer zufügt, wie z. B. einen finanziellen Verlust; ein CGI-Member bittet CGI, sein Foto aus einem Organigramm zu entfernen, weil es sein Aussehen falsch darstellt). 
• Das Recht geltend machen, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
• Die Einschränkung der Verarbeitung verlangen, wenn die personenbezogenen Daten nicht mehr zutreffend oder notwendig sind, die Verarbeitung unrechtmäßig ist oder die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, während der für die Verarbeitung Verantwortliche die Rechtsgrundlage für die Verarbeitung prüft; oder
• ihre personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten, wenn die personenbezogenen Daten mit Zustimmung der betroffenen Person oder im Rahmen eines Vertrags mit ihr erhoben wurden.

CGI wird dafür sorgen, dass solche Anfragen ohne unangemessene Verzögerung und in Übereinstimmung mit dem Verfahren zur Bearbeitung von Beschwerden bearbeitet werden.

11. Datenschutz durch Technik / Datenschutz durch Voreinstellung

Im Einklang mit den in diesen BCR-C enthaltenen Grundsätzen wird CGI ein angemessenes Schutzniveau für die von ihr verarbeiteten personenbezogenen Daten gewährleisten. 

Um sicherzustellen, dass diese Grundsätze bei der Verarbeitung personenbezogener Daten durch CGI tatsächlich berücksichtigt werden, wird CGI während der Entwicklungs- und Erbringungszyklen aller Projekte oder Dienstleistungen, die eine Verarbeitung personenbezogener Daten beinhalten, datenschutzrechtliche Beschränkungen ermitteln und umsetzen.

12. Datenschutz-Folgenabschätzung

CGI ist für die Überwachung der Einhaltung der geltenden Datenschutzgesetze bei der Verarbeitung verantwortlich. Folglich hat CGI ein Verfahren zur Datenschutz-Folgenabschätzung implementiert, das es ihr ermöglicht:

(i)    festzustellen, welche Verarbeitungen ein besonderes Risiko für den Schutz personenbezogener Daten darstellen;
(ii)   den Grad der Einhaltung der Grundsätze der Verarbeitung des Anwendbaren Datenschutzrechts zu bewerten;
(iii)  den Schweregrad oder die Wahrscheinlichkeit des mit der Verarbeitung verbundenen Risikos zu bewerten; und
(iv)  Korrekturmaßnahmen zu bestimmen, die durchgeführt werden müssen, um sicherzustellen, dass die  Verarbeitung personenbezogener Daten im Einklang mit dem Anwendbaren Datenschutzrecht erfolgt und die Risiken gemindert werden. 

Bleiben die Risiken für die betroffenen Personen auch nach einer Risikominderung erheblich, wird die zuständige Datenschutzbehörde vor Beginn der geplanten Verarbeitung konsultiert.

13. Transparenz

13.1    Bezüglich der BCR-C-Inhalte

CGI wird das Bewusstsein für diese BCR-C schärfen, um ihre Einhaltung zu fördern. CGI wird betroffenen, deren personenbezogene Daten von CGI verarbeitet werden, die in Artikel 13 und 14 DSGVO geforderten Informationen (siehe Abschnitt 13.2), Informationen über ihre Rechte als Drittbegünstigte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und über die Mittel zur Ausübung dieser Rechte, die Vorgabe über die Haftung sowie die Vorgaben über die Datenschutzgrundsätze (d. h. die wichtigsten Anforderungendieser BCR-C, die in den Abschnitten 2, 4, 6, 7, 8, 9 und 10 aufgeführt sind) mitteilen, (d.h. die in den Abschnitten 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4 und 13.5 genannten zentralen Anforderungen dieser BCR-C) und macht diese Informationen in vollem Umfang durch Veröffentlichung im Intranet von CGI bzw. auf der öffentlich zugänglichen Website für andere betroffene Personen zugänglich.

13.2    Bezüglich der Datenverarbeitung 

Wenn CGI als Verantwortlicher agiert, stellt CGI den betroffenen Personen relevante Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung, wie im Anwendbaren Datenschutzrecht vorgeschrieben, einschließlich der folgenden Informationen:

• Identität und Kontaktangaben des Verantwortlichen; 
• Kontaktdaten des Chief Privacy Officer und seines Teams; 
• Zwecke der Verarbeitung sowie die Rechtsgrundlage für die Verarbeitung; 
• Stellen, an die die personenbezogenen Daten weitergegeben und/oder zugänglich gemacht werden; 
• Wo einschlägig das Vorhandensein einer Übermittlung personenbezogener Daten aus dem EWR, die Länder, in die die personenbezogenen Daten übermittelt werden, und die Maßnahmen, die zur Gewährleistung eines angemessenen Schutzniveaus getroffen wurden;
• Dauer der Datenaufbewahrung; 
• Rechte der betroffenen Personen, wie in Abschnitt 10 oben definiert;
• Recht auf Einreichung einer Beschwerde bei der Datenschutzbehörde; und
• dass wenn die Verarbeitung auf einem berechtigten Interesse von CGI beruht, Erläuterungen zu diesem berechtigten Interesse erforderlich sind;
• dass das Recht besteht, wenn die Verarbeitung auf einer Einwilligung beruht, diese jederzeit zu widerrufen;
• ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder eine Voraussetzung für den Abschluss eines Vertrags ist und ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, sowie über die möglichen Folgen einer Nichtbereitstellung dieser Daten;
• wenn CGI beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, wird CGI die betroffenen Personen vor dieser Verarbeitung über diesen anderen Zweck informieren und ihnen alle weiteren relevanten Informationen, wie weiter oben in diesem Artikel beschrieben, zur Verfügung stellen.

Darüber gilt Folgendes und wird über Folgendes informiert, wenn die Informationen nicht direkt bei der betroffenen Person erhoben werden:

• die Kategorien der verarbeiteten personenbezogenen Daten;
• die Quelle, aus der die personenbezogenen Daten stammen, und gegebenenfalls, ob sie aus einer öffentlich zugänglichen Quelle stammen;
• innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, mindestens jedoch innerhalb eines Monats, wobei die besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden, zu berücksichtigen sind;
• wenn die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person; oder
• wenn eine Weitergabe an einen anderen Empfänger vorgesehen ist, spätestens dann, wenn die personenbezogenen Daten erstmals weitergegeben werden.

CGI stellt diese Informationen in einer leicht verständlichen und zugänglichen Form zur Verfügung, und zwar im Allgemeinen bei der Erhebung der personenbezogenen Daten in Form einer kurzen Beschreibung mit einem Link zum Datenschutzhinweis im Intranet von CGI und auf der öffentlich zugänglichen Website für andere betroffene Personen. Für einige IT-Systeme wird beim Zugang eine kurze Beschreibung mit einem Link zu den ausführlichen Datenschutzhinweisen für das jeweilige IT-System bereitgestellt.

13.3    Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten 

Wenn CGI einen Sicherheitsvorfall feststellt, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt, wird CGI gemäß den Sicherheitsrichtlinien und -standards von CGI unverzüglich und, soweit möglich, spätestens 72 Stunden nach Kenntnisnahme des Verstoßes die zuständige Datenschutzbehörde und die betroffenen Personen und/oder den Verantwortlichen über den Vorfall und den aktuellen Stand der Dinge informieren, wie dies im Anwendbaren Datenschutzrecht und/oder in der jeweiligen Vereinbarung vorgesehen ist. In ähnlicher Weise und aus Gründen der Klarheit wird CGI France SAS im Falle einer Verletzung des Schutzes personenbezogener Daten außerhalb des EWR, die aus dem EWR übertragene personenbezogene Daten betrifft, benachrichtigt und die betroffenen Personen werden benachrichtigt, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt. Alle Verletzungen des Schutzes personenbezogener Daten werden dokumentiert und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.

13.4    Zusammenarbeit mit den Datenschutzbehörden 

CGI ist bestrebt, enge Beziehungen zu den Datenschutzbehörden zu unterhalten. CGI kooperiert mit den zuständigen Datenschutzbehörden in Bezug auf deren Anfragen, die in Übereinstimmung mit den geltenden Datenschutzgesetzen gestellt werden, einschließlich aller Prüfungsanfragen. CGI hält sich auch an die Empfehlungen der zuständigen Datenschutzbehörden in Bezug auf die Verarbeitung personenbezogener Daten durch CGI als Verantwortlicher. 

13.5    Wann die Lokale Gesetzgebung Vorrang vor diesen BCR-C hat 

Bevor eine Datenübermittlung stattfindet, prüft die datenexportierende Stelle mit Hilfe der datenimportierenden Stelle unter Berücksichtigung der Umstände der Übermittlung, ob lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse oder verbindliche Normen (im Folgenden „Lokale Gesetzgebung") CGI daran hindern, ihre Verpflichtungen gemäß den BCR-C zu erfüllen, und legt die erforderlichen ergänzenden Maßnahmen fest, die zu ergreifen sind.

Vor dem Inkrafttreten aktualisierter Lokaler Gesetzgebung und wenn die Übermittlung bereits erfolgt ist, prüft die datenexportierende Stelle mit Hilfe der datenimportierenden Stelle, ob die aktualisierte lokale Gesetzgebung CGI an der Erfüllung ihrer Verpflichtungen gemäß den BCR-C hindert, und legt die erforderlichen ergänzenden Maßnahmen fest, die zu treffen sind.

Der Chief Privacy Officer, der Chief Legal Officer und CGI France SAS überprüfen und genehmigen die dokumentierte Untersuchung und alle vorgeschlagenen zusätzlichen Maßnahmen. 

Wenn die Lokale Gesetzgebung ein höheres Schutzniveau vorschreibt, als es in diesen BCR-C vorgesehen ist, hat diese Lokale Gesetzgebung Vorrang vor diesen BCR-C, und die Verarbeitung erfolgt in Übereinstimmung mit der Lokalen Gesetzgebung.

Wenn das Ergebnis der Bewertung der Lokalen Gesetzgebung zeigt, dass zusätzliche Maßnahmen erforderlich sind, wird CGI diese umsetzen. Wenn jedoch keine zusätzlichen Maßnahmen ergriffen werden können, muss CGI die Übertragung aussetzen.

Die Ergebnisse der Bewertung und die vorgeschlagenen ergänzenden Maßnahmen werden ordnungsgemäß dokumentiert und für die Datenschutzbehörde(n) bereitgehalten.
Wenn ein CGI-Unternehmen Grund zu der Annahme hat, dass eine rechtliche Anforderung, der CGI in einem Drittland unterliegt oder unterliegen könnte, CGI daran hindert oder daran hindern könnte, seine Verpflichtungen im Rahmen der BCR-C zu erfüllen, oder eine wesentliche Auswirkung auf die von dem Anwendbaren Datenschutzrecht gebotenen Garantien hat oder haben könnte, einschließlich eines rechtsverbindlichen Ersuchens um Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde oder ein staatliches Sicherheitsorgan, werden der Chief Privacy Officer und CGI France SAS unverzüglich informiert (außer in Fällen, in denen dies von einer Strafverfolgungsbehörde untersagt wird, wie z. B. bei einem strafrechtlichen Verbot zur Wahrung der Vertraulichkeit strafrechtlichen Ermittlung). In besonderen Fällen, in denen die oben genannte Benachrichtigung untersagt ist, wird sich das betreffende CGI-Unternehmen nach besten Kräften darum bemühen, dass auf dieses Verbot verzichtet wird. Sollte das ersuchte CGI-Unternehmen trotz seiner Bemühungen nicht in der Lage sein, die zuständige(n) Datenschutzbehörde(n) zu benachrichtigen, wird es jährlich allgemeine Informationen über die bei ihm eingegangenen Ersuchen an die zuständige(n) Datenschutzbehörde(n) weiterleiten. 

In keinem Fall darf die Übermittlung personenbezogener Daten durch ein CGI-Unternehmen, das diesen BCR-C unterliegt, an eine Behörde uferlos, unverhältnismäßig und wahllos in einer Weise erfolgen, die über das hinausgeht, was in einer demokratischen Gesellschaft notwendig ist.

Nach Unionsrecht nicht zulässige Übermittlungen oder Offenlegungen.

Für CGI-Unternehmen mit Sitz im EWR können Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlandes, die einen Verantwortlichen oder einen Auftragsverarbeiter zur Übermittlung oder Offenlegung personenbezogener Daten verpflichten, nur dann anerkannt oder vollstreckt werden, wenn sie auf einem internationalen Abkommen, wie einem Rechtshilfeabkommen, beruhen, das zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat in Kraft ist, unbeschadet anderer Gründe für eine Übermittlung gemäß Kapitel V der DSGVO.

14. Schulungen

CGI wird ein Schulungsprogramm für den Datenschutz einführen und umsetzen, damit ihre Member die in diesen BCR-C enthaltenen Grundsätze und Verfahren kennen. 

Das Schulungsprogramm vermittelt den CGI-Membern folgende Kenntnisse:

• allgemeines Grundwissen über die geltenden Grundsätze bei der Verarbeitung personenbezogener Daten 
• gute Kenntnis der bestehenden Verfahren und ihrer Anwendung 
• spezifische, auf die verschiedenen Funktionen innerhalb der Organisation abgestimmte Schulungen 

Mit diesem Schulungsprogramm soll sichergestellt werden, dass die Member, deren Aufgaben die Verarbeitung personenbezogener Daten erfordern, angemessen geschult werden. 
Neben dem Einsatz geeigneter Datenschutzschulungen wird CGI auch weiterhin eine Datenschutzkultur innerhalb des Unternehmens fördern. Zu diesem Zweck wird CGI spezielle Kommunikationsmaßnahmen durchführen, darunter Sensibilisierungskampagnen, datenschutzrelevante Materialien, Webinare und Foren, um Anleitungen zu geben und Fragen zu allen Themen im Zusammenhang mit diesen BCR-C zu beantworten.

Datenschutzschulungen sind für Member, deren Aufgaben die Verarbeitung personenbezogener Daten erfordern, obligatorisch. 

15. Audits

CGI wird in sein internes Auditprogramm eine Überprüfung der Einhaltung aller Aspekte dieser BCR-C durch CGI integrieren.

Im Rahmen des internen Auditprozesses wird Folgendes festgelegt:

• Zeitplan für die Durchführung von Audits;  
• erwarteter Umfang des Audits; 
• für das Audit verantwortliches Team.

Das interne Auditverfahren kann bei Bedarf überarbeitet werden. CGI wird jedoch regelmäßig interne Audits durch ein qualifiziertes Audit-Team durchführen. Ein solches Programm wird von der internen Auditabteilung von CGI initiiert. 
Die Ergebnisse des Audits werden der CGI-Zentrale sowie der Datenschutzorganisation mitgeteilt, und die sich daraus ergebenden Maßnahmen werden definiert und nach Prioritäten geordnet, so dass die Datenschutzorganisation einen Zeitplan für die Umsetzung von Korrektur- und Präventivmaßnahmen festlegen kann.

Die zuständigen Datenschutzbehörden können Zugang zu den Prüfungsergebnissen verlangen.

16. Datenschutz-Organisation

Die Umsetzung der BCR-C setzt voraus, dass alle teilnehmenden CGI-Unternehmen, die in Annex A aufgeführt sind, sich in vollem Umfang an ihrer Anwendung beteiligen. Sie bleiben in jedem Fall für die Einhaltung dieser BCR-C selbst verantwortlich.

CGI wird eine interne Datenschutzorganisation einrichten, die für die Festlegung geeigneter Richtlinien, Verfahren und Standards für alle teilnehmenden CGI-Unternehmen sowie für die Überwachung der Einhaltung dieser BCR-C verantwortlich ist. 

Insbesondere wird CGI einen Chief Privacy Officer (CPO) und ein Netzwerk von Datenschutzbeauftragten und regionalen Privacy Business Partnern in Übereinstimmung mit dem Anwendbaren Datenschutzrecht benennen. 
Der CPO ist direkt dem Chief Legal Officer unterstellt, der wiederum direkt an den Chief Executive Officer berichtet. Im Rahmen dieser Politik hat der CPO hauptsächlich die folgenden Aufgaben: 

• Festlegung der Strategie der Gruppe in Bezug auf die Umsetzung dieser Politik und der Verfahren, die in der gesamten Organisation eingeführt werden sollen, um sicherzustellen, dass jede Strategic Business Unit (SBU) und jede Business Unit (BU) diese Politik einhält; 
• Festlegung des Schulungsprogramms; 
• Festlegung der Audit-Strategie zur Überwachung der wirksamen Anwendung dieser BCR-C;
• Beratung der Strategic Business Unit bei Bedarf. 

Für jede Strategic Business Unit jeder Region der Gruppe haben wir einen Regionalen Privacy Business Partner ernannt, der sich auf ein Netz von Privacy Business Partnern stützen kann, die auf lokaler Ebene und/oder auf Ebene der Business Unit ernannt wurden. Die SBU Privacy Business Partner stellen sicher, dass diese Richtlinie auf SBU-Ebene ordnungsgemäß umgesetzt wird und dass alle auf dieser Ebene vorgebrachten Beschwerden, einschließlich der Beschwerden betroffener Personen, angemessen und insbesondere in Übereinstimmung mit dem in diesen BCR-C beschriebenen Verfahren behandelt werden. Außerdem überwachen sie gemeinsam mit den lokalen Privacy Business Partnern, dass die Datenübermittlungen und Verpflichtungen tatsächlich umgesetzt werden.

In jedem Fall wird den betroffenen Personen bei Fragen und/oder Beschwerden ein Hauptansprechpartner mit einschlägigem Fachwissen zur Verfügung gestellt. 

17. Verarbeitungsverzeichnis

CGI führt ein Verzeichnis über die von ihr als Verantwortlicher durchgeführten Verarbeitungstätigkeiten (das "Verarbeitungsverzeichnis"), das alle folgenden Informationen enthält:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des Gemeinsamen Verantwortlichen („Joint Controller“) oder des Vertreters des Verantwortlichen und des Datenschutzbeauftragten; 
• die Verarbeitungszwecke; 
• eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
• die Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen; 
• gegebenenfalls Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe dieses Drittlandes oder dieser internationalen Organisation und der Dokumentation geeigneter Garantien; 
• soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; 
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

CGI stellt sicher, dass jede neue Verarbeitung personenbezogener Daten im Verarbeitungsverzeichnis mit relevanten Informationen über den Kontext jeder Verarbeitung personenbezogener Daten erfasst wird. CGI stellt das Verarbeitungsverzeichnis den Aufsichtsbehörden auf Anfrage zur Verfügung.

18. Aktualisierung dieser BCR-C

Diese BCR-C können von Zeit zu Zeit nach Bedarf und nach einem bestimmten Verfahren geändert werden. Wenn sich Änderungen wesentlich auf die BCR oder das gebotene Schutzniveau auswirken, informiert CGI unverzüglich die zuständige Datenschutzbehörde und alle in Annex A aufgeführten CGI-Unternehmen. Über alle anderen Änderungen der BCR-C informiert CGI mindestens einmal jährlich alle nachstehend aufgeführten Gruppen:

• Jedes umfasste CGI-Unternehmen, das in Annex A aufgeführt ist;
• CGI-Member;
• Betroffene Personen, für die CGI als Verantwortlicher handelt; und
• die zuständigen Datenschutzbehörden über die zuständige Datenschutzbehörde zusammen mit einer kurzen Erläuterung der Gründe, die die Aktualisierung rechtfertigen.

CGI wird eine aktuelle Liste der an diese BCR-C gebundenen Unternehmen führen, und die Datenschutzorganisation wird alle Aktualisierungen der Regeln verfolgen und aufzeichnen, sicherstellen, dass die Informationen zu gegebener Zeit an die oben genannten Beteiligten weitergegeben werden, und den betroffenen Personen oder den zuständigen Datenschutzbehörden auf Anfrage die erforderlichen Informationen zur Verfügung stellen. 

CGI verpflichtet sich, keine personenbezogenen Daten an eine neue CGI-Einheit zu übermitteln, die nicht tatsächlich durch diese BCR-C gemäß dem in Abschnitt 3 festgelegten Verfahren gebunden ist. 

Wenn ein in Annex A aufgeführtes, nicht dem EWR angehörendes CGI-Unternehmen in Zukunft nicht mehr zu der Gruppe der durch die BCR-C gebundenen CGI-Unternehmen gehört, muss sichergestellt werden, dass es die Anforderungen der BCR-C weiterhin auf die Verarbeitung der personenbezogenen Daten anwendet, die ihr im Rahmen der BCR übermittelt wurden, es sei denn, das ehemalige Mitglied löscht zum Zeitpunkt des Ausscheidens aus dieser Gruppe alle diese Daten oder gibt sie vollständig an Unternehmen zurück, für die die BCR-C weiterhin gelten.

19. Kommunikation 

Für CGI-Member: Fragen, Ersuchen oder Hinweise im Zusammenhang mit diesen BCR-C sind an folgende Adresse zu richten: enterprisedataprivacy@cgi.com.

Für andere betroffene Personen als CGI-Member: Fragen, Ersuchen oder Hinweise im Zusammenhang mit diesen BCR-C sind an folgende Adresse zu richten: privacy@cgi.com.

Die Kategorien von Verarbeitungen, betroffenen Personen und personenbezogenen Daten, die unter diese BCR-C fallen, sind in Anhang B aufgeführt.

• Anhang A: Liste der von den BCR C abgedeckten CGI-Unternehmen
• Anhang B: Von den BCR C abgedeckte Tätigkeiten