BCRs sind ein rechtsverbindlicher Standard, der es jeder CGI-Einheit erlaubt, personenbezogene Daten von Einwohnern der Europäischen Union an andere CGI-Einheiten außerhalb des Europäischen Wirtschaftsraums zu übermitteln.

CGI hat 2 Arten von BCRs:

  • Controller BCR, wenn CGI als Verantwortlicher handelt und wenn CGI als Auftragsverarbeiter im Namen von CGI handelt
  • Processor BCR, wenn CGI als Auftragsverarbeiter gemäß den Anweisungen eines in der EU ansässigen, nicht bei CGI ansässigen Verantwortlichen handelt
Diese „Verbindlichen internen Datenschutzvorschriften - Verantwortlicher“ („Binding Corporate Rules - Controller“ (nachfolgend: „BCR-C“)) gelten, wenn CGI als Verantwortlicher handelt und wenn CGI als Auftragsverarbeiter im Namen von CGI handelt, auch als Interner Auftragsverarbeiter bezeichnet.
 

 

1. Definitionen

Für die Zwecke dieser „Verbindlichen internen Datenschutzvorschriften - Verantwortlicher“ („Binding Corporate Rules - Controller“ (kurz: „BCR-C“)) gelten die folgenden Definitionen:

"Anwendbares Datenschutzrecht" bezieht sich auf (i) die Europäische Verordnung 2016/679 über die Verarbeitung personenbezogener Daten zum Zeitpunkt ihres Inkrafttretens und (ii) alle Ausführungsgesetze zu dieser Datenschutz-Grundverordnung.

"CGI" bezieht sich je nach Fall auf eine, mehrere oder alle beteiligten juristischen Personen, die von CGI Inc. kontrolliert werden oder ihr gehören. sowie die strategischen Geschäftseinheiten und die in ihrem Namen handelnden Geschäftseinheiten, die Personenbezogene Daten verarbeiten und deren Einhaltung dieser BCRC nicht gegen lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse, verbindliche Normen oder verbindliche Verpflichtungen verstößt oder diesen widerspricht. Die teilnehmenden CGI-Unternehmen sind in Annex A aufgeführt. Diese Liste kann von Zeit zu Zeit aktualisiert werden. 

"Verantwortlicher" bezieht sich auf jede juristische Person, die allein oder gemeinsam mit anderen für die Verarbeitung Verantwortlichen die Zwecke und Mittel der Verarbeitung Personenbezogener Daten bestimmt. 

"Auftragsverarbeiter" bezieht sich auf jede juristische Person, die im Auftrag eines Verantwortlichen handelt.

"Betroffene Person" bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, deren Personenbezogene Daten von CGI verarbeitet werden, einschließlich aller CGI-Member, externer Berater von CGI oder Mitarbeiter oder Endnutzer eines CGI-Kunden.

"Europäischer Wirtschaftsraum" oder "EWR" bezieht sich auf die EU-Mitgliedstaaten (Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern) sowie Norwegen, Liechtenstein und Island, im Folgenden auch als "Mitgliedstaaten" bezeichnet.

"DSGVO" bezeichnet die Europäische Verordnung 2016/679 mit dem Titel Datenschutz-Grundverordnung.

"Interner Auftragsverarbeiter" bezieht sich auf jedes in Annex A aufgeführte CGI-Unternehmen, das als Auftragsverarbeiter im Auftrag eines anderen in Annex A aufgeführten CGI-Unternehmens handelt, das als Verantwortlicher fungiert.

"Lokale Gesetzgebung" hat die Bedeutung, die diesem Ausdruck in Abschnitt 13.5 zugeschrieben wird.

"Member" bezieht sich auf einen oder mehrere CGI-Mitarbeiter.

"Personenbezogene Daten" sind alle Informationen über eine betroffene Person, die direkt oder indirekt identifiziert werden können, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den Personenbezogenen Daten gehören auch sensible personenbezogene Daten.

"Sensible personenbezogene Daten" beziehen sich auf bestimmte Kategorien Personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie auf die Verarbeitung genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten und von Daten zum Sexualleben oder die sexuelle Orientierung einer natürlichen Person. 

"Dritte" beziehen sich auf Lieferanten und Unterauftragnehmer von CGI sowie auf jede andere Einrichtung oder öffentliche Stelle, an die Personenbezogene Daten weitergegeben werden können. 

"Übermittlung Personenbezogener Daten" bezieht sich auf die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in ein Land außerhalb des EWR. 

2. Umfang

2.1 Abgedeckte Aktivitäten 

Diese „Verbindlichen internen Datenschutzvorschriften - Verantwortlicher“ („Binding Corporate Rules - Controller“ (nachfolgend: „BCR-C“)) gelten, wenn CGI als Verantwortlicher handelt und wenn CGI als Auftragsverarbeiter im Namen von CGI handelt, auch als Interner Auftragsverarbeiter bezeichnet. Die Kategorien von Verarbeitungen, betroffenen Personen und Personenbezogenen Daten, die unter diese BCR-C fallen, sind in Annex B aufgeführt.

2.2 Abgedeckte Gebiete 

Die hier genannten Grundsätze gelten für die Übermittlung Personenbezogener Daten in den folgenden Fällen: 

  • von CGI im EWR zu CGI außerhalb des EWR;
  • von CGI außerhalb des EWR an CGI innerhalb oder außerhalb des EWR, jedoch nur in dem Umfang, in dem Personenbezogene Daten von betroffenen Personen, die sich im EWR befinden, verarbeitet werden;
  • von CGI im EWR an Dritte außerhalb des EWR;
  • von Dritten außerhalb des EWR an CGI im EWR, jedoch nur in dem Umfang, in dem Personenbezogene Daten von betroffenen Personen, die sich im EWR befinden, verarbeitet werden. 
3. Verantwortlichkeit und Einhaltung dieser BCR-C

3.1 Verantwortlichkeit von CGI 

Diese BCR-C sind für CGI verbindlich, einschließlich aller teilnehmenden CGI-Unternehmen, die in Annex A aufgeführt sind. Jedes in Annex A aufgeführte CGI-Unternehmen, das als Verantwortlicher oder als Interner Auftragsverarbeiter handelt, ist für den Nachweis der Einhaltung dieser BCR-C verantwortlich. 

3.2 Einhaltung durch die Member

Alle CGI-Member (Mitarbeiter) sind an diese BCR-C gebunden, indem sie sich in allen Arbeitsverträgen verpflichten, die geltenden Vertraulichkeits- und Datenschutzverpflichtungen sowie die Richtlinien, Verfahren und Standards von CGI einzuhalten, die im Ethikkodex von CGI enthalten sind. CGI-Member werden diesen BCR-C, soweit einschlägig, jährlich zusammen mit dem Ethikkodex anerkennen.
Wie in den Abschnitten 13.1 und 14 dieser BCR-C näher ausgeführt, werden die CGI-Member durch interne Kommunikation und Schulungen auf die BCR-C aufmerksam gemacht. CGI-Member werden auch darauf aufmerksam gemacht, dass die Nichteinhaltung des Ethikkodex und in diesem speziellen Fall der BCR-C zu Sanktionen gemäß den geltenden lokalen Gesetzen führen kann.

3.3 Einhaltung der Vorschriften in Bezug auf CGI-Lieferanten, Subunternehmer und andere Dritte 

Jeder Dritte, der Personenbezogene Daten im Auftrag von CGI verarbeitet, ist verpflichtet, geeignete organisatorische Maßnahmen zu ergreifen, um die Einhaltung der Grundsätze und Anforderungen dieser BCR-C zu gewährleisten.

Ein CGI-Unternehmen, das als Verantwortlicher oder Interner Auftragsverarbeiter agiert, erlaubt anderen CGI- Unternehmen oder Dritten nur dann Personenbezogene Daten in ihrem Namen zu verarbeiten, wenn ein Vertrag zwischen ihnen besteht, der die in Artikel 28 (3) DSGVO festgelegten Anforderungen erfüllt.

4. CGI-Grundprinzipien für die Verarbeitung Personenbezogener Daten

Die Einhaltung der folgenden Grundsätze erfüllt oder übertrifft nicht nur das Anwendbare Datenschutzrecht, sondern entspricht auch den höchsten Marktstandards und Praktiken für die Verarbeitung Personenbezogener Daten. 

4.1 Anwendbare Grundsätze, wenn CGI als Verantwortlicher handelt 

(i) Transparenz, Fairness und Rechtmäßigkeit

CGI verarbeitet Personenbezogene Daten rechtmäßig, fair und auf transparente Weise in Bezug auf die betroffene Person, in Übereinstimmung mit den Anforderungen dieser BCR-C und insbesondere den Abschnitten 4.1 und 13. 

(ii) Zweckbestimmung

Jeder Verarbeitung Personenbezogener Daten durch CGI, insbesondere ihrer Erhebung, geht die Festlegung des spezifischen Zwecks für diese Verarbeitung voraus. Dieser Zweck muss ausdrücklich und rechtmäßig sein. Personenbezogene Daten dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesem Zweck unvereinbar ist.

(iii) Datenminimierung

Sobald der Zweck für die Verarbeitung Personenbezogener Daten feststeht, erhebt CGI Personenbezogene Daten nur in dem Umfang, der für die Erreichung dieses Zwecks erforderlich ist. Jedes Detail der Verarbeitung wird innerhalb der frühen Phasen der Lösungsentwicklung überprüft und in den Prozess der Überprüfung der Datenschutz-Checkliste oder auf andere Weise einbezogen, um sicherzustellen, dass die Personenbezogenen Daten angemessen, relevant und auf das beschränkt sind, was in Bezug auf den Zweck, für den sie verarbeitet werden, erforderlich ist.

(iv)Qualität der Personenbezogenen Daten

Während des gesamten Lebenszyklus der Verarbeitung stellt CGI sicher, dass die gesammelten Personenbezogenen Daten korrekt und auf dem neuesten Stand bleiben. Es werden alle angemessenen Schritte unternommen, um sicherzustellen, dass Personenbezogene Daten, die unrichtig sind, unverzüglich gelöscht oder berichtigt werden, einschließlich, aber nicht beschränkt auf Selfservice-Optionen für betroffene Personen. Insbesondere wird CGI den betroffenen Personen angemessene Mittel zur Verfügung stellen, um CGI im Falle einer Änderung ihrer Personenbezogenen Daten zu informieren. CGI wird außerplanmäßige Audits durchführen, wie in Abschnitt 15 näher definiert. 

(v) Beschränkung der Datenaufbewahrung

CGI stellt sicher, dass Personenbezogene Daten nicht länger aufbewahrt werden als unbedingt notwendig, um den Zweck, für den die Personenbezogenen Daten erhoben wurden, zu erreichen. Folglich wird CGI vor Beginn der Verarbeitung eine angemessene Aufbewahrungsfrist festlegen. Dabei berücksichtigt CGI die Zeitspanne, in der die Personenbezogenen Daten zur Erreichung des Zwecks der Verarbeitung erforderlich sind, wobei die folgenden Faktoren berücksichtigt werden:

  • Zeitraum, nach dem die Aufbewahrung dieser Personenbezogenen Daten Auswirkungen auf das Recht der betroffenen Person auf Vergessenwerden haben kann; 
  • Gesetzliche Verpflichtungen, die eine Mindestaufbewahrungsfrist für Daten vorschreiben, wie sie in der CGI-Richtlinie zur Aufbewahrung von Aufzeichnungen und dem Aufbewahrungsplan für Aufzeichnungen oder anderweitig definiert sein können. 
(vi)Sicherheitsmaßnahmen

CGI ergreift geeignete betriebliche und technische Maßnahmen, die mindestens den in den Sicherheitsrichtlinien und -standards von CGI vorgeschriebenen Maßnahmen entsprechen, um unrechtmäßigen Zugriff, Verlust, Zerstörung, Änderung und/oder Verarbeitung Personenbezogener Daten zu verhindern. 

Insbesondere gewährt CGI den Membern nur dann Zugang zu Personenbezogenen Daten, wenn dies zur Erfüllung der zugewiesenen Aufgaben erforderlich ist, die mit dem Zweck, für den die Personenbezogenen Daten verarbeitet werden, im Einklang stehen. 

Im Falle eines unrechtmäßigen Zugriffs und/oder einer unrechtmäßigen Verarbeitung hält sich CGI an seine  Informationssicherheitspolitik und die entsprechenden Verfahren.

(vii) Festlegeung einer Rechtsgrundlage

Zusätzlich zu den oben genannten Grundsätzen darf die Verarbeitung nur erfolgen, wenn: 

  • diese notwendig ist, um einer gesetzlichen Verpflichtung nachzukommen, die für CGI gilt (z. B. Meldung von Daten an die Steuerbehörden); oder
  • diese im Zusammenhang mit einem Vertrag mit einer betroffenen Person erforderlich ist (z. B. Arbeitsvertrag); oder 
  • soweit kein Vertrag mit einer betroffenen Person vorliegt, die Verarbeitung für das berechtigte Interesse von CGI erforderlich ist, welches mit den Interessen der betroffenen Person abgewogen wird. Ein berechtigtes Interesse liegt vor, wenn:
  1. Die Verarbeitung zur Verwirklichung des von CGI verfolgten berechtigten Interesses erforderlichist, ohne dass dadurch die Interessen der betroffenen Person beeinträchtigt werden,
  2. das Interesse von CGI nicht von den Grundrechten oder Interessen der betroffenen Personen überlagert wird, und
  3. CGI sich an die geltenden Rechtsvorschriften hält und seine Verpflichtungen auf transparente Weise erfüllt.

Dieses berechtigte Interesse wird daher unter Berücksichtigung des Kerngeschäfts von CGI und des geltenden Rechts sowie etwaiger negativer Auswirkungen auf die Privatsphäre der betroffenen Personen bestimmt.

  • Wenn die Verarbeitung nicht unter einen der oben genannten Punkte fällt, holt CGI die vorherige Zustimmung der betroffenen Person ein, bevor sie ihre Personenbezogenen Daten verarbeitet. Die Zustimmung ist wirksam, wenn:
  • sie freiwillig durch eine eindeutige, bejahende Handlung erteilt wird; und
  • sie eine spezifische, informierte und unmissverständliche Angabe der Einwilligung der betroffenen Person zur Verarbeitung ihrer Personenbezogenen Daten darstellt. 

Die Verarbeitung Personenbezogener Daten durch CGI kann als rechtmäßig angesehen werden, wenn die  Verarbeitung für das lebenswichtige Interesse der betroffenen Person erforderlich ist oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse gemäß dem Anwendbaren Datenschutzrecht durchgeführt wird.

5. Verarbeitung sensibler personenbezogener Daten

Die Verarbeitung sensibler personenbezogener Daten erfordert die Anwendung verstärkter Garantien, wie sie im Folgenden beschrieben werden.

CGI wird Sensible personenbezogene Daten nur dann verarbeiten, wenn dies unbedingt erforderlich ist. Bei der 
Verarbeitung Sensibler personenbezogener Daten in eigenem Namen stellt CGI sicher, dass mindestens eine 
der folgenden Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre vorherige Einwilligung gegeben;
  • Die Verarbeitung ist für die Erfüllung der Pflichten und die Ausübung bestimmter Rechte des Verantwortlichen oder der betroffenen Person im Bereich des Arbeits- und Sozialversicherungsrechts und des Sozialschutzes erforderlich;
  • Wenn die betroffene Person nicht in der Lage ist, ihre Einwilligung zu geben (z. B. aus medizinischen Gründen), ist die Verarbeitung erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen;
  • Die Verarbeitung ist im Rahmen der Präventivmedizin oder der medizinischen Diagnose durch einen 
  • Angehörigen der Gesundheitsberufe nach nationalem Recht erforderlich;
  • Die betroffene Person hat die betreffenden sensiblen Personenbezogenen Daten bereits offensichtlich öffentlich gemacht; 
  • Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen unerlässlich, sofern kein Grund zu der Annahme besteht, dass die betroffene Person ein überwiegendes schutzwürdiges Interesse daran hat, dass die sensiblen personenbezogenen Daten nicht verarbeitet werden; oder
  • Die Verarbeitung ist ausdrücklich durch die Gesetze des EWR/Mitgliedstaates erlaubt (z. B. Registrierung/Schutz von Minderheitengruppen).

In jedem Fall wird CGI sensible personenbezogene Daten in Übereinstimmung mit dem Anwendbaren  Datenschutzrecht verarbeiten. Wenn ein solches Gesetz besondere Bedingungen für das Hosting und die 
Verarbeitung vorschreibt, wird CGI entweder die erforderliche Zertifizierung oder Qualifikation einholen oder 
einen Dritten beauftragen, der bereits für diesen Zweck zertifiziert oder qualifiziert ist.

6. Übermittlung personenbezogener Daten an Drittländer

Eine Übermittlung personenbezogener Daten liegt vor, wenn eine außerhalb des EWR ansässige Stelle an der Verarbeitung durch eine im EWR ansässige Stelle beteiligt ist.

Eine Übermittlung personenbezogener Daten kann zusätzliche Garantien oder Bedingungen erfordern, wie nachstehend näher beschrieben. 

6.1    Übermittlung von personenbezogenen Daten innerhalb von CGI 

Diese BCR-C bieten angemessene Garantien in Bezug auf die Übermittlung personenbezogener Daten: 

  • von CGI im EWR, die als Verantwortlicher handelt, an außerhalb des EWR angesiedelte CGI-Unternehmen, die als Verantwortlicher oder als Interner Auftragsverarbeiter handeln;
  • von CGI mit Sitz außerhalb des EWR, die als Verantwortliche handelt und personenbezogene Daten verarbeitet, die in den Anwendungsbereich dieser BCR-C fallen, an CGI-Unternehmen, die entweder als Verantwortliche oder als Interner Auftragsverarbeiter handeln, unabhängig davon, wo sie sich befindet.
  • Die voraussichtlichen Zwecke einer solchen Übermittlung personenbezogener Daten gestalten sich wie in Abschnitt 2.1 oben beschrieben.

6.2    Übermittlung von personenbezogenen Daten außerhalb von CGI 

Wenn eine Übermittlung Personenbezogener Daten zwischen CGI im EWR und einer Drittpartei außerhalb des EWR stattfindet, beinhaltet die Übermittlung personenbezogener Daten je nach Fall eine der folgenden angemessenen Schutzmaßnahmen:

  •  Die Übernahme der EU-Standarddatenschutzklauseln durch die Parteien, die sich aus dem Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ergeben.
  • Alle anderen angemessenen Garantien, die von dem Anwendbaren Datenschutzrecht anerkannt sind, die das gleiche oder ein höheres Schutzniveau für personenbezogene Daten verlangen, als in der Datenschutz-Grundverordnung 2016/679 vorgesehen ist, wie z. B. ein Angemessenheitsbeschluss, genehmigte Verhaltensregeln oder ein geeigneter Zertifizierungsmechanismus.

Alle anderen Datenströme, bei denen es sich nicht um personenbezogene Daten handelt und die nicht von einer EWR-Einrichtung stammen, gelten nicht als Übermittlung personenbezogener Daten im Sinne dieser BCR-C. Folglich unterliegt eine solche Übermittlung nicht den hierin enthaltenen Anforderungen. Die an solchen Übermittlungen beteiligten CGI-Unternehmen werden jedoch alle notwendigen und angemessenen technischen und organisatorischen Maßnahmen ergreifen, die den mit einer solchen Verarbeitung verbundenen Risiken entsprechen, und zwar in Übereinstimmung mit diesen BCR-C und den geltenden Sicherheitsrichtlinien von CGI.

7. Rechte von Drittbegünstigten

7.1    Wenn CGI als Verantwortlicher handelt 

Im Falle eines Verstoßes gegen diese BCR-C durch CGI haben die betroffenen Personen das Recht, die folgenden Bestimmungen dieser BCR-C als Drittbegünstigte durchzusetzen:

  • Abschnitt 4: CGI-GRUNDPRINZIPIEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
  • Abschnitt 5: VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN
  • Abschnitt 6: ÜBERMITTLUNG PERSONENBEZOGENER DATEN AN DRITTLÄNDER
  • Abschnitt 7: RECHTE VON DRITTBEGÜNSTIGTEN
  • Abschnitt 8: HAFTUNG VON CGI BEI VERSTÖßEN GEGEN DIE BCR-R
  • Abschnitt 9: VERFAHREN ZUR BEARBEITUNG VON BETROFFENENANFRAGEN UND BESCHWERDEN
  • Abschnitt 10: BETROFFENENRECHTE
  • Abschnitt 11: DATENSCHUTZ DURCH TECHNIK / DATENSCHUTZ DURCH VOREINSTELLUNGEN
  • Abschnitt 13.1: (TRANSPARENZ) BEZÜGLICH DER BCR-C-INHALTE
  • Abschnitt 13.4: ZUSAMMENARBEIT MIT DEN DATENSCHUTZBEHÖRDEN
  • Abschnitt 13.5: WANN LOKALES RECHT VORRANG VOR DIESEN BCR-C HAT

Im Falle einer Verletzung der in diesen BCR-C garantierten Rechte können die betroffenen Personen und CGI eine gütliche Einigung im Rahmen einer gemäß Abschnitt 9 dieser BCR-C geschlossenen Vereinbarung anstreben ("Verfahren zur Bearbeitung von betroffenenanfragen und Beschwerden"). 

Betroffene Personen haben außerdem das Recht, direkt bei der zuständigen Datenschutzbehörde des Mitgliedstaates, in dem sie ihren gewöhnlichen Aufenthalt oder ihren Arbeitsplatz haben oder am Ort des mutmaßlichen Verstoßes, eine Beschwerde einzureichen oder direkt vor dem Gericht des Mitgliedstaates, in dem CGI France SAS eine Niederlassung hat oder in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, Rechtsmittel gegen eine Verletzung der in diesen BCR-C garantierten Rechte einzulegen und gegebenenfalls eine Entschädigung für materielle oder immaterielle Schäden zu verlangen, die sich aus einer solchen Verletzung ergeben. CGI ermutigt die betroffenen Personen jedoch, dieses spezielle Beschwerdeverfahren zu nutzen, auch wenn es ihnen freisteht, es nicht in Anspruch zu nehmen.

7.2    Gerichtsbarkeit

Beabsichtigt eine betroffene Person, eine Beschwerde gemäß Abschnitt 7.1 wegen einer Verletzung eines der in diesen BCR-C gewährten Rechte im Zusammenhang mit einer in den Anwendungsbereich dieser BCR-C fallenden Verarbeitung einzureichen, so sind die folgenden Behörden oder Gerichte zuständig:

  • Wenn der Verstoß auf eine Verarbeitung durch CGI mit Sitz im EWR zurückzuführen ist, hat die betroffene Person das Recht, bei einer der folgenden Behörden eine Beschwerde gegen CGI einzureichen:

    • bei einer Datenschutzaufsichtsbehörde in dem Mitgliedstaat, in dem er seinen gewöhnlichen Aufenthalt, seinen Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes hat;
    • vor den Gerichten des Mitgliedstaats, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat;
    • bei den Gerichten des Mitgliedstaats, in dem CGI als Datenexporteur eine Niederlassung hat.
  • Wenn der Verstoß auf eine Verarbeitung durch CGI außerhalb des EWR zurückzuführen ist, hat die betroffene Person das Recht, direkt bei der zuständigen Datenschutzbehörde in der EU ihres Wohnsitzes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes oder vor dem Gericht des Mitgliedstaates, in dem die betroffene Person ihren Wohnsitz hat oder in dem CGI eine Niederlassung unterhält, eine Beschwerde gegen CGI France SAS einzureichen. 
8. Haftung von CGI bei Verstößen gegen die BCR-C

Im Falle eines Verstoßes gegen diese BCR-C durch CGI mit Sitz außerhalb des EWR ist CGI France SAS für diesen Verstoß verantwortlich und wird die erforderlichen Maßnahmen ergreifen, um den Verstoß zu beheben und den daraus resultierenden Schaden zu ersetzen. CGI France SAS trägt auch die Beweislast dafür, dass CGI für einen angeblichen Verstoß gegen die BCR-C nicht haftbar ist. 

Im Falle eines Verstoßes gegen diese BCR-C durch CGI mit Sitz im EWR ist CGI France SAS für diesen Verstoß verantwortlich und wird die erforderlichen Maßnahmen ergreifen, um den Verstoß zu beheben und den daraus resultierenden Schaden zu ersetzen. Eine solche von CGI France SAS zu leistende Entschädigung muss von CGI Inc. bestätigt werden, dem beherrschenden Unternehmen aller operativen Tochtergesellschaften von CGI, wodurch bestätigt wird, dass CGI France SAS die Haftung für die Handlungen der operativen Tochtergesellschaften von CGI, die durch diese Richtlinie außerhalb der EU gebunden sind, übernommen hat und über ein ausreichendes Vermögen verfügt, um den aus dem Verstoß gegen diese Richtlinie resultierenden Schaden zu ersetzen. CGI France SAS trägt auch die Beweislast für den Nachweis, dass CGI nicht für einen angeblichen Verstoß gegen die BCR-C haftet. 

In jeder der oben genannten Situationen haben die Betroffenen Personen das Recht, unter den in Abschnitt 7.1 genannten Bedingungen eine Beschwerde einzureichen. 

9. Verfahren zur Bearbeitung von betroffenenanfragen und Beschwerden

Das in diesem Abschnitt beschriebene Verfahren gilt für die Beschwerde einer betroffenen Person oder für den Fall, dass eine betroffene Person ihr Recht auf Auskunft, Aktualisierung oder Löschung ihrer personenbezogenen Daten ausübt. 

Betroffene Personen können eine Beschwerde oder einen Antrag bezüglich der Verarbeitung personenbezogener Daten einreichen, wenn sie der Meinung sind, dass CGI gegen diese BCR-C verstößt. Die Beschwerde oder der Antrag können gegen das CGI-Unternehmen gerichtet werden, das ihrer Meinung nach gegen die BCR-C verstößt. Wenn der Verstoß wahrscheinlich auf eine Handlung eines CGI-Unternehmens außerhalb des EWR zurückzuführen ist, kann die betroffene Person die Beschwerde oder den Antrag direkt gegen CGI France SAS einreichen. 

Eine solche Beschwerde oder ein solcher Antrag muss über die im Intranet und auf der Website von CGI zur Verfügung gestellten Kontaktdaten beim Datenschutzbeauftragten des Unternehmens eingereicht werden. Die Beschwerde oder der Antrag wird von Enterprise Data Privacy mit Unterstützung der zuständigen Stellen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Beschwerde oder des Antrags, bearbeitet.

10. Betroffenenrechte

Wenn CGI als Verantwortlicher handelt, können die betroffenen Personen auch jederzeit: 

  • Auskunft zu personenbezogenen Daten verlangen, die sie betreffen und von CGI verarbeitet werden;
  • Die Berichtigung oder Löschung von unrichtigen oder unvollständigen personenbezogenen Daten verlangen, die sie betreffen oder die nicht mehr für einen gültigen oder angemessenen Zweck verarbeitet werden;
  • Der Verarbeitung ihrer personenbezogenen Daten widersprechen, es sei denn, eine solche Verarbeitung ist nach geltendem Recht des betroffenen EWR/Mitgliedstaates erforderlich, vorausgesetzt, die betroffene Person weist nach, dass sie einen Grund hat, der sich auf ihre besondere Situation bezieht (z. B. eine betroffene Person widerspricht mit der Begründung, dass die Verarbeitung ihr erheblichen Schaden oder Kummer zufügt, wie z. B. einen finanziellen Verlust; ein CGI-Member bittet CGI, sein Foto aus einem Organigramm zu entfernen, weil es sein Aussehen falsch darstellt). 
  • Das Recht geltend machen, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
  • Die Einschränkung der Verarbeitung verlangen, wenn die personenbezogenen Daten nicht mehr zutreffend oder notwendig sind, die Verarbeitung unrechtmäßig ist oder die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, während der für die Verarbeitung Verantwortliche die Rechtsgrundlage für die Verarbeitung prüft; oder
  • ihre personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten, wenn die personenbezogenen Daten mit Zustimmung der betroffenen Person oder im Rahmen eines Vertrags mit ihr erhoben wurden.

CGI wird dafür sorgen, dass solche Anfragen ohne unangemessene Verzögerung und in Übereinstimmung mit dem Verfahren zur Bearbeitung von Beschwerden bearbeitet werden.

11. Datenschutz durch Technik / Datenschutz durch Voreinstellung

Im Einklang mit den in diesen BCR-C enthaltenen Grundsätzen wird CGI ein angemessenes Schutzniveau für die von ihr verarbeiteten personenbezogenen Daten gewährleisten. 

Um sicherzustellen, dass diese Grundsätze bei der Verarbeitung personenbezogener Daten durch CGI tatsächlich berücksichtigt werden, wird CGI während der Entwicklungs- und Erbringungszyklen aller Projekte oder Dienstleistungen, die eine Verarbeitung personenbezogener Daten beinhalten, datenschutzrechtliche Beschränkungen ermitteln und umsetzen.

12. Datenschutz-Folgenabschätzung

CGI ist für die Überwachung der Einhaltung der geltenden Datenschutzgesetze bei der Verarbeitung verantwortlich. Folglich hat CGI ein Verfahren zur Datenschutz-Folgenabschätzung implementiert, das es ihr ermöglicht:

(i)    festzustellen, welche Verarbeitungen ein besonderes Risiko für den Schutz personenbezogener Daten darstellen;
(ii)   den Grad der Einhaltung der Grundsätze der Verarbeitung des Anwendbaren Datenschutzrechts zu bewerten;
(iii)  den Schweregrad oder die Wahrscheinlichkeit des mit der Verarbeitung verbundenen Risikos zu bewerten; und
(iv)  Korrekturmaßnahmen zu bestimmen, die durchgeführt werden müssen, um sicherzustellen, dass die  Verarbeitung personenbezogener Daten im Einklang mit dem Anwendbaren Datenschutzrecht erfolgt und die Risiken gemindert werden. 

Bleiben die Risiken für die betroffenen Personen auch nach einer Risikominderung erheblich, wird die zuständige Datenschutzbehörde vor Beginn der geplanten Verarbeitung konsultiert.

13. Transparenz

13.1    Bezüglich der BCR-C-Inhalte

CGI wird das Bewusstsein für diese BCR-C schärfen, um ihre Einhaltung zu fördern. CGI wird betroffenen, deren personenbezogene Daten von CGI verarbeitet werden, die in Artikel 13 und 14 DSGVO geforderten Informationen (siehe Abschnitt 13.2), Informationen über ihre Rechte als Drittbegünstigte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und über die Mittel zur Ausübung dieser Rechte, die Vorgabe über die Haftung sowie die Vorgaben über die Datenschutzgrundsätze (d. h. die wichtigsten Anforderungendieser BCR-C, die in den Abschnitten 2, 4, 6, 7, 8, 9 und 10 aufgeführt sind) mitteilen, (d.h. die in den Abschnitten 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4 und 13.5 genannten zentralen Anforderungen dieser BCR-C) und macht diese Informationen in vollem Umfang durch Veröffentlichung im Intranet von CGI bzw. auf der öffentlich zugänglichen Website für andere betroffene Personen zugänglich.

13.2    Bezüglich der Datenverarbeitung 

Wenn CGI als Verantwortlicher agiert, stellt CGI den betroffenen Personen relevante Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung, wie im Anwendbaren Datenschutzrecht vorgeschrieben, einschließlich der folgenden Informationen:

  • Identität und Kontaktangaben des Verantwortlichen; 
  • Kontaktdaten des Chief Privacy Officer und seines Teams; 
  • Zwecke der Verarbeitung sowie die Rechtsgrundlage für die Verarbeitung; 
  • Stellen, an die die personenbezogenen Daten weitergegeben und/oder zugänglich gemacht werden; 
  • Wo einschlägig das Vorhandensein einer Übermittlung personenbezogener Daten aus dem EWR, die Länder, in die die personenbezogenen Daten übermittelt werden, und die Maßnahmen, die zur Gewährleistung eines angemessenen Schutzniveaus getroffen wurden;
  • Dauer der Datenaufbewahrung; 
  • Rechte der betroffenen Personen, wie in Abschnitt 10 oben definiert;
  • Recht auf Einreichung einer Beschwerde bei der Datenschutzbehörde; und
  • dass wenn die Verarbeitung auf einem berechtigten Interesse von CGI beruht, Erläuterungen zu diesem berechtigten Interesse erforderlich sind;
  • dass das Recht besteht, wenn die Verarbeitung auf einer Einwilligung beruht, diese jederzeit zu widerrufen;
  • ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder eine Voraussetzung für den Abschluss eines Vertrags ist und ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, sowie über die möglichen Folgen einer Nichtbereitstellung dieser Daten;
  • wenn CGI beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, wird CGI die betroffenen Personen vor dieser Verarbeitung über diesen anderen Zweck informieren und ihnen alle weiteren relevanten Informationen, wie weiter oben in diesem Artikel beschrieben, zur Verfügung stellen.

Darüber gilt Folgendes und wird über Folgendes informiert, wenn die Informationen nicht direkt bei der betroffenen Person erhoben werden:

  • die Kategorien der verarbeiteten personenbezogenen Daten;
  • die Quelle, aus der die personenbezogenen Daten stammen, und gegebenenfalls, ob sie aus einer öffentlich zugänglichen Quelle stammen;
  • innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, mindestens jedoch innerhalb eines Monats, wobei die besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden, zu berücksichtigen sind;
  • wenn die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person; oder
  • wenn eine Weitergabe an einen anderen Empfänger vorgesehen ist, spätestens dann, wenn die personenbezogenen Daten erstmals weitergegeben werden.

CGI stellt diese Informationen in einer leicht verständlichen und zugänglichen Form zur Verfügung, und zwar im Allgemeinen bei der Erhebung der personenbezogenen Daten in Form einer kurzen Beschreibung mit einem Link zum Datenschutzhinweis im Intranet von CGI und auf der öffentlich zugänglichen Website für andere betroffene Personen. Für einige IT-Systeme wird beim Zugang eine kurze Beschreibung mit einem Link zu den ausführlichen Datenschutzhinweisen für das jeweilige IT-System bereitgestellt.

13.3    Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten 

Wenn CGI einen Sicherheitsvorfall feststellt, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt, wird CGI gemäß den Sicherheitsrichtlinien und -standards von CGI unverzüglich und, soweit möglich, spätestens 72 Stunden nach Kenntnisnahme des Verstoßes die zuständige Datenschutzbehörde und die betroffenen Personen und/oder den Verantwortlichen über den Vorfall und den aktuellen Stand der Dinge informieren, wie dies im Anwendbaren Datenschutzrecht und/oder in der jeweiligen Vereinbarung vorgesehen ist. In ähnlicher Weise und aus Gründen der Klarheit wird CGI France SAS im Falle einer Verletzung des Schutzes personenbezogener Daten außerhalb des EWR, die aus dem EWR übertragene personenbezogene Daten betrifft, benachrichtigt und die betroffenen Personen werden benachrichtigt, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt. Alle Verletzungen des Schutzes personenbezogener Daten werden dokumentiert und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt.

13.4    Zusammenarbeit mit den Datenschutzbehörden 

CGI ist bestrebt, enge Beziehungen zu den Datenschutzbehörden zu unterhalten. CGI kooperiert mit den zuständigen Datenschutzbehörden in Bezug auf deren Anfragen, die in Übereinstimmung mit den geltenden Datenschutzgesetzen gestellt werden, einschließlich aller Prüfungsanfragen. CGI hält sich auch an die Empfehlungen der zuständigen Datenschutzbehörden in Bezug auf die Verarbeitung personenbezogener Daten durch CGI als Verantwortlicher. 

13.5    Wann die Lokale Gesetzgebung Vorrang vor diesen BCR-C hat 

Bevor eine Datenübermittlung stattfindet, prüft die datenexportierende Stelle mit Hilfe der datenimportierenden Stelle unter Berücksichtigung der Umstände der Übermittlung, ob lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse oder verbindliche Normen (im Folgenden „Lokale Gesetzgebung") CGI daran hindern, ihre Verpflichtungen gemäß den BCR-C zu erfüllen, und legt die erforderlichen ergänzenden Maßnahmen fest, die zu ergreifen sind.

Vor dem Inkrafttreten aktualisierter Lokaler Gesetzgebung und wenn die Übermittlung bereits erfolgt ist, prüft die datenexportierende Stelle mit Hilfe der datenimportierenden Stelle, ob die aktualisierte lokale Gesetzgebung CGI an der Erfüllung ihrer Verpflichtungen gemäß den BCR-C hindert, und legt die erforderlichen ergänzenden Maßnahmen fest, die zu treffen sind.

Der Chief Privacy Officer, der Chief Legal Officer und CGI France SAS überprüfen und genehmigen die dokumentierte Untersuchung und alle vorgeschlagenen zusätzlichen Maßnahmen. 

Wenn die Lokale Gesetzgebung ein höheres Schutzniveau vorschreibt, als es in diesen BCR-C vorgesehen ist, hat diese Lokale Gesetzgebung Vorrang vor diesen BCR-C, und die Verarbeitung erfolgt in Übereinstimmung mit der Lokalen Gesetzgebung.

Wenn das Ergebnis der Bewertung der Lokalen Gesetzgebung zeigt, dass zusätzliche Maßnahmen erforderlich sind, wird CGI diese umsetzen. Wenn jedoch keine zusätzlichen Maßnahmen ergriffen werden können, muss CGI die Übertragung aussetzen.

Die Ergebnisse der Bewertung und die vorgeschlagenen ergänzenden Maßnahmen werden ordnungsgemäß dokumentiert und für die Datenschutzbehörde(n) bereitgehalten.
Wenn ein CGI-Unternehmen Grund zu der Annahme hat, dass eine rechtliche Anforderung, der CGI in einem Drittland unterliegt oder unterliegen könnte, CGI daran hindert oder daran hindern könnte, seine Verpflichtungen im Rahmen der BCR-C zu erfüllen, oder eine wesentliche Auswirkung auf die von dem Anwendbaren Datenschutzrecht gebotenen Garantien hat oder haben könnte, einschließlich eines rechtsverbindlichen Ersuchens um Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde oder ein staatliches Sicherheitsorgan, werden der Chief Privacy Officer und CGI France SAS unverzüglich informiert (außer in Fällen, in denen dies von einer Strafverfolgungsbehörde untersagt wird, wie z. B. bei einem strafrechtlichen Verbot zur Wahrung der Vertraulichkeit strafrechtlichen Ermittlung). In besonderen Fällen, in denen die oben genannte Benachrichtigung untersagt ist, wird sich das betreffende CGI-Unternehmen nach besten Kräften darum bemühen, dass auf dieses Verbot verzichtet wird. Sollte das ersuchte CGI-Unternehmen trotz seiner Bemühungen nicht in der Lage sein, die zuständige(n) Datenschutzbehörde(n) zu benachrichtigen, wird es jährlich allgemeine Informationen über die bei ihm eingegangenen Ersuchen an die zuständige(n) Datenschutzbehörde(n) weiterleiten. 

In keinem Fall darf die Übermittlung personenbezogener Daten durch ein CGI-Unternehmen, das diesen BCR-C unterliegt, an eine Behörde uferlos, unverhältnismäßig und wahllos in einer Weise erfolgen, die über das hinausgeht, was in einer demokratischen Gesellschaft notwendig ist.

Nach Unionsrecht nicht zulässige Übermittlungen oder Offenlegungen.

Für CGI-Unternehmen mit Sitz im EWR können Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlandes, die einen Verantwortlichen oder einen Auftragsverarbeiter zur Übermittlung oder Offenlegung personenbezogener Daten verpflichten, nur dann anerkannt oder vollstreckt werden, wenn sie auf einem internationalen Abkommen, wie einem Rechtshilfeabkommen, beruhen, das zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat in Kraft ist, unbeschadet anderer Gründe für eine Übermittlung gemäß Kapitel V der DSGVO.

14. Schulungen

CGI wird ein Schulungsprogramm für den Datenschutz einführen und umsetzen, damit ihre Member die in diesen BCR-C enthaltenen Grundsätze und Verfahren kennen. 

Das Schulungsprogramm vermittelt den CGI-Membern folgende Kenntnisse:

  • allgemeines Grundwissen über die geltenden Grundsätze bei der Verarbeitung personenbezogener Daten 
  • gute Kenntnis der bestehenden Verfahren und ihrer Anwendung 
  • spezifische, auf die verschiedenen Funktionen innerhalb der Organisation abgestimmte Schulungen 

Mit diesem Schulungsprogramm soll sichergestellt werden, dass die Member, deren Aufgaben die Verarbeitung personenbezogener Daten erfordern, angemessen geschult werden. 
Neben dem Einsatz geeigneter Datenschutzschulungen wird CGI auch weiterhin eine Datenschutzkultur innerhalb des Unternehmens fördern. Zu diesem Zweck wird CGI spezielle Kommunikationsmaßnahmen durchführen, darunter Sensibilisierungskampagnen, datenschutzrelevante Materialien, Webinare und Foren, um Anleitungen zu geben und Fragen zu allen Themen im Zusammenhang mit diesen BCR-C zu beantworten.

Datenschutzschulungen sind für Member, deren Aufgaben die Verarbeitung personenbezogener Daten erfordern, obligatorisch. 

15. Audits

CGI wird in sein internes Auditprogramm eine Überprüfung der Einhaltung aller Aspekte dieser BCR-C durch CGI integrieren.

Im Rahmen des internen Auditprozesses wird Folgendes festgelegt:

  • Zeitplan für die Durchführung von Audits;  
  • erwarteter Umfang des Audits; 
  • für das Audit verantwortliches Team.

Das interne Auditverfahren kann bei Bedarf überarbeitet werden. CGI wird jedoch regelmäßig interne Audits durch ein qualifiziertes Audit-Team durchführen. Ein solches Programm wird von der internen Auditabteilung von CGI initiiert. 
Die Ergebnisse des Audits werden der CGI-Zentrale sowie der Datenschutzorganisation mitgeteilt, und die sich daraus ergebenden Maßnahmen werden definiert und nach Prioritäten geordnet, so dass die Datenschutzorganisation einen Zeitplan für die Umsetzung von Korrektur- und Präventivmaßnahmen festlegen kann.

Die zuständigen Datenschutzbehörden können Zugang zu den Prüfungsergebnissen verlangen.

16. Datenschutz-Organisation

Die Umsetzung der BCR-C setzt voraus, dass alle teilnehmenden CGI-Unternehmen, die in Annex A aufgeführt sind, sich in vollem Umfang an ihrer Anwendung beteiligen. Sie bleiben in jedem Fall für die Einhaltung dieser BCR-C selbst verantwortlich.

CGI wird eine interne Datenschutzorganisation einrichten, die für die Festlegung geeigneter Richtlinien, Verfahren und Standards für alle teilnehmenden CGI-Unternehmen sowie für die Überwachung der Einhaltung dieser BCR-C verantwortlich ist. 

Insbesondere wird CGI einen Chief Privacy Officer (CPO) und ein Netzwerk von Datenschutzbeauftragten und regionalen Privacy Business Partnern in Übereinstimmung mit dem Anwendbaren Datenschutzrecht benennen. 
Der CPO ist direkt dem Chief Legal Officer unterstellt, der wiederum direkt an den Chief Executive Officer berichtet. Im Rahmen dieser Politik hat der CPO hauptsächlich die folgenden Aufgaben: 

  • Festlegung der Strategie der Gruppe in Bezug auf die Umsetzung dieser Politik und der Verfahren, die in der gesamten Organisation eingeführt werden sollen, um sicherzustellen, dass jede Strategic Business Unit (SBU) und jede Business Unit (BU) diese Politik einhält; 
  • Festlegung des Schulungsprogramms; 
  • Festlegung der Audit-Strategie zur Überwachung der wirksamen Anwendung dieser BCR-C;
  • Beratung der Strategic Business Unit bei Bedarf. 

Für jede Strategic Business Unit jeder Region der Gruppe haben wir einen Regionalen Privacy Business Partner ernannt, der sich auf ein Netz von Privacy Business Partnern stützen kann, die auf lokaler Ebene und/oder auf Ebene der Business Unit ernannt wurden. Die SBU Privacy Business Partner stellen sicher, dass diese Richtlinie auf SBU-Ebene ordnungsgemäß umgesetzt wird und dass alle auf dieser Ebene vorgebrachten Beschwerden, einschließlich der Beschwerden betroffener Personen, angemessen und insbesondere in Übereinstimmung mit dem in diesen BCR-C beschriebenen Verfahren behandelt werden. Außerdem überwachen sie gemeinsam mit den lokalen Privacy Business Partnern, dass die Datenübermittlungen und Verpflichtungen tatsächlich umgesetzt werden.

In jedem Fall wird den betroffenen Personen bei Fragen und/oder Beschwerden ein Hauptansprechpartner mit einschlägigem Fachwissen zur Verfügung gestellt. 

17. Verarbeitungsverzeichnis

CGI führt ein Verzeichnis über die von ihr als Verantwortlicher durchgeführten Verarbeitungstätigkeiten (das "Verarbeitungsverzeichnis"), das alle folgenden Informationen enthält:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des Gemeinsamen Verantwortlichen („Joint Controller“) oder des Vertreters des Verantwortlichen und des Datenschutzbeauftragten; 
  • die Verarbeitungszwecke; 
  • eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
  • die Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen; 
  • gegebenenfalls Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe dieses Drittlandes oder dieser internationalen Organisation und der Dokumentation geeigneter Garantien; 
  • soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; 
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

CGI stellt sicher, dass jede neue Verarbeitung personenbezogener Daten im Verarbeitungsverzeichnis mit relevanten Informationen über den Kontext jeder Verarbeitung personenbezogener Daten erfasst wird. CGI stellt das Verarbeitungsverzeichnis den Aufsichtsbehörden auf Anfrage zur Verfügung.

18. Aktualisierung dieser BCR-C

Diese BCR-C können von Zeit zu Zeit nach Bedarf und nach einem bestimmten Verfahren geändert werden. Wenn sich Änderungen wesentlich auf die BCR oder das gebotene Schutzniveau auswirken, informiert CGI unverzüglich die zuständige Datenschutzbehörde und alle in Annex A aufgeführten CGI-Unternehmen. Über alle anderen Änderungen der BCR-C informiert CGI mindestens einmal jährlich alle nachstehend aufgeführten Gruppen:

  • Jedes umfasste CGI-Unternehmen, das in Annex A aufgeführt ist;
  • CGI-Member;
  • Betroffene Personen, für die CGI als Verantwortlicher handelt; und
  • die zuständigen Datenschutzbehörden über die zuständige Datenschutzbehörde zusammen mit einer kurzen Erläuterung der Gründe, die die Aktualisierung rechtfertigen.

CGI wird eine aktuelle Liste der an diese BCR-C gebundenen Unternehmen führen, und die Datenschutzorganisation wird alle Aktualisierungen der Regeln verfolgen und aufzeichnen, sicherstellen, dass die Informationen zu gegebener Zeit an die oben genannten Beteiligten weitergegeben werden, und den betroffenen Personen oder den zuständigen Datenschutzbehörden auf Anfrage die erforderlichen Informationen zur Verfügung stellen. 

CGI verpflichtet sich, keine personenbezogenen Daten an eine neue CGI-Einheit zu übermitteln, die nicht tatsächlich durch diese BCR-C gemäß dem in Abschnitt 3 festgelegten Verfahren gebunden ist. 

Wenn ein in Annex A aufgeführtes, nicht dem EWR angehörendes CGI-Unternehmen in Zukunft nicht mehr zu der Gruppe der durch die BCR-C gebundenen CGI-Unternehmen gehört, muss sichergestellt werden, dass es die Anforderungen der BCR-C weiterhin auf die Verarbeitung der personenbezogenen Daten anwendet, die ihr im Rahmen der BCR übermittelt wurden, es sei denn, das ehemalige Mitglied löscht zum Zeitpunkt des Ausscheidens aus dieser Gruppe alle diese Daten oder gibt sie vollständig an Unternehmen zurück, für die die BCR-C weiterhin gelten.

19. Kommunikation 

Für CGI-Member: Fragen, Ersuchen oder Hinweise im Zusammenhang mit diesen BCR-C sind an folgende Adresse zu richten: enterprisedataprivacy@cgi.com.

Für andere betroffene Personen als CGI-Member: Fragen, Ersuchen oder Hinweise im Zusammenhang mit diesen BCR-C sind an folgende Adresse zu richten: privacy@cgi.com.

Die Kategorien von Verarbeitungen, betroffenen Personen und personenbezogenen Daten, die unter diese BCR-C fallen, sind in Anhang B aufgeführt.

Diese „Verbindlichen internen Datenschutzvorschriften – Auftragsverarbeiter“ („Binding Corporate Rules – Processor“ (kurz: „BCR-P“)) gelten, wenn CGI als Auftragsverarbeiter gemäß den Anweisungen eines in der EU ansässigen, nicht bei CGI ansässigen Verantwortlichen handelt.
 

 

1. Definitionen

Für die Zwecke dieser „Verbindlichen internen Datenschutzvorschriften – Auftragsverarbeiter“ („Binding Corporate Rules – Processor“ (kurz: „BCR-P“)) gelten die folgenden Definitionen:

"Anwendbares Datenschutzrecht" bezieht sich auf (i) die Europäische Verordnung 2016/679 über die Verarbeitung personenbezogener Daten zum Zeitpunkt ihres Inkrafttretens und (ii) alle Ausführungsgesetze zu dieser Datenschutz-Grundverordnung.

"CGI" bezieht sich je nach Fall auf eine, mehrere oder alle beteiligten juristischen Personen, die von CGI Inc. kontrolliert werden oder ihr gehören. sowie die strategischen Geschäftseinheiten und die in ihrem Namen handelnden Geschäftseinheiten, die personenbezogene Daten verarbeiten und deren Einhaltung dieser BCR-C nicht gegen lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse, verbindliche Normen oder verbindliche Verpflichtungen verstößt oder diesen widerspricht. Die teilnehmenden CGI-Unternehmen sind in Annex A aufgeführt. Diese Liste kann von Zeit zu Zeit aktualisiert werden.   

"Verantwortlicher" bezieht sich auf jede juristische Person, die allein oder gemeinsam mit anderen für die Verarbeitung Verantwortlichen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. 

"Auftragsverarbeiter" bezieht sich auf jede juristische Person, die im Auftrag eines Verantwortlichen handelt.

"Betroffene Person" bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von CGI verarbeitet werden, einschließlich aller CGI-Member, externer Berater von CGI oder Mitarbeiter oder Endnutzer eines CGI-Kunden.

"Europäischer Wirtschaftsraum" oder "EWR" bezieht sich auf die EU-Mitgliedstaaten (Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern) sowie Norwegen, Liechtenstein und Island, im Folgenden auch als "Mitgliedstaaten" bezeichnet.

"DSGVO" bezeichnet die Europäische Verordnung 2016/679 mit dem Titel Datenschutz-Grundverordnung.

"Lokale Gesetzgebung" hat die Bedeutung, die diesem Ausdruck in Abschnitt 12.5 zugeschrieben wird.

 "Member" bezieht sich auf einen oder mehrere CGI-Mitarbeiter.

"Personenbezogene Daten" sind alle Informationen über eine betroffene Person, die direkt oder indirekt identifiziert werden können, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den personenbezogenen Daten gehören auch Sensible personenbezogene Daten.

 
"Verarbeiten", "Verarbeitung" oder "verarbeitet" bezieht sich auf jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Ändern, Abrufen, Abfragen (einschließlich Fernzugriff), Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Angleichen oder Kombinieren, Einschränken, Löschen oder Vernichten. 

"Sensible personenbezogene Daten" beziehen sich auf bestimmte Kategorien personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie auf die Verarbeitung genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten und von Daten zum Sexualleben oder die sexuelle Orientierung einer natürlichen Person. 

"Dritte" beziehen sich auf Lieferanten und Unterauftragnehmer von CGI sowie auf jede andere Einrichtung oder öffentliche Stelle, an die personenbezogene Daten weitergegeben werden können. 

"Übermittlung personenbezogener Daten" bezieht sich auf die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in ein Land außerhalb des EWR. 

2. Umfang 

2.1    Abgedeckte Aktivitäten 

Diese „Verbindlichen internen Datenschutzvorschriften – Auftragsverarbeiter“ („Binding Corporate Rules – Processor“ (kurz: „BCR-P“)) gelten, wenn CGI als Auftragsverarbeiter gemäß den Anweisungen eines in der EU ansässigen, nicht bei CGI ansässigen Verantwortlichen handelt. 

Die Kategorien von Verarbeitungen, betroffenen Personen und personenbezogenen Daten, die unter diese BCR-P fallen, sind in Annex B aufgeführt.

2.2    Abgedeckte Gebiete 

Die hier genannten Grundsätze gelten für die Übermittlung personenbezogener Daten in den folgenden Fällen: 

  • Von CGI im EWR zu CGI außerhalb des EWR; 
  • Von CGI außerhalb des EWR an CGI innerhalb oder außerhalb des EWR, jedoch nur in dem Umfang, in dem personenbezogene Daten von betroffenen Personen, die sich im EWR befinden, verarbeitet werden;
  • Von CGI im EWR an Dritte außerhalb des EWR;
  • Von Dritten außerhalb des EWR an CGI im EWR, jedoch nur in dem Umfang, in dem personenbezogene Daten von betroffenen Personen, die sich im EWR befinden, verarbeitet werden.
3. Verantwortlichkeit und Einhaltung dieser BCR-P

3.1    Verantwortlichkeit von CGI 

Diese BCR-P sind für CGI verbindlich, einschließlich aller teilnehmenden CGI-Unternehmen, die in Annex A aufgeführt sind. 

Jedes CGI-Unternehmen, das als Auftragsverarbeiter auftritt, wird dem Verantwortlichen alle angemessenen Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen des Auftragsverarbeiters gemäß dieser BCR-P nachzuweisen.

3.2    Einhaltung durch die Member 

Alle CGI-Member (Mitarbeiter) sind an diese BCR-P gebunden, indem sie sich in allen Arbeitsverträgen verpflichten, die geltenden Vertraulichkeits- und Datenschutzverpflichtungen sowie die Richtlinien, Verfahren und Standards von CGI einzuhalten, die im Ethikkodex von CGI enthalten sind. CGI-Member werden diese BCR-P, soweit einschlägig, jährlich zusammen mit dem Ethikkodex anerkennen.

Wie in den Abschnitten 13.1 und 14 der BCR-P näher ausgeführt, werden die CGI-Member durch interne Kommunikation und Schulungen auf die BCR-P aufmerksam gemacht. CGI-Member werden auch darauf aufmerksam gemacht, dass die Nichteinhaltung des Ethikkodex und in diesem speziellen Fall der BCR-P zu Sanktionen gemäß den geltenden lokalen Gesetzen führen kann.

3.3    Einhaltung der Vorschriften in Bezug auf CGI-Kunden und andere Verantwortliche 

CGI verpflichtet sich in seiner Funktion als Auftragsverarbeiter gegenüber seinen Kunden und anderen Verantwortlichen zur Einhaltung dieser BCR-P.

CGI und ihre Member verpflichten sich, die personenbezogenen Daten des Verantwortlichen ausschließlich gemäß dessen Anweisungen zu verarbeiten, insbesondere hinsichtlich der Art, der Methode, des Zwecks und der Dauer der Verarbeitung sowie der operativen und technischen Maßnahmen, die erforderlich sind, um einen unrechtmäßigen Zugriff auf die personenbezogenen Daten zu verhindern. Gemäß Art. 28 DSGVO muss eine solche Verpflichtung ausdrücklich in einer zwischen CGI und dem Verantwortlichen abgeschlossenen Vereinbarungen festgehalten werden.

3.4    Einhaltung der Vorschriften in Bezug auf CGI-Lieferanten, Subunternehmer und andere Dritte 

Jeder Dritte, der personenbezogene Daten im Auftrag von CGI verarbeitet, ist verpflichtet, geeignete organisatorische Maßnahmen zu ergreifen, um die Einhaltung der Grundsätze und Anforderungen dieser BCR-P sowie aller anderen gemäß Artikel 28.3 DSGVO erforderlichen Vertragsbestandteile zu gewährleisten.

4. CGI-Grundprinzipien für die Verarbeitung personenbezogener Daten

Die Einhaltung der folgenden Grundsätze erfüllt oder übertrifft nicht nur das Anwendbare Datenschutzrecht, sondern entspricht auch den höchsten Marktstandards und Praktiken für die Verarbeitung personenbezogener Daten. 

Wenn CGI als Auftragsverarbeiter handelt, stellt sie sicher, dass sie personenbezogene Daten ausschließlich gemäß den Anweisungen des Verantwortlichen verarbeitet, der in den meisten Fällen ein Kunde von CGI ist.

Insbesondere muss eine solche Verarbeitung jede der folgenden Bedingungen erfüllen:

  • Die Verarbeitung erfolgt ausschließlich zu den von dem Verantwortlichen angegebenen Zwecken;
  • Die Verarbeitung wird unter den zwischen CGI und dem Verantwortlichen vereinbarten Bedingungen durchgeführt; und
  • Die Verarbeitung erfolgt nur für den Zeitraum, der vom Verantwortlichen ausdrücklich vorgeschrieben ist.

Insbesondere verarbeitet CGI als Auftragsverarbeiter personenbezogene Daten gemäß dem Anwendbaren Datenschutzrecht und den Anweisungen des Verantwortlichen, wie sie in der Vereinbarung zwischen CGI und dem Verantwortlichen festgelegt sind. Eine solche Verarbeitung wird von CGI gemäß den Anweisungen des Verantwortlichen durchgeführt und nicht für weitere unvereinbare Zwecke, es sei denn, der Verantwortliche hat dies ausdrücklich genehmigt, und vorbehaltlich des Anwendbaren Datenschutzrechts. CGI wird den Verantwortlichen unverzüglich informieren, wenn seiner Meinung nach, eine Weisung des Verantwortlichen gegen das Anwendbare Datenschutzrecht verstößt.

Der Verantwortliche ist für die Festlegung der Aufbewahrungsfrist verantwortlich, die für die Erreichung der Zwecke der Verarbeitung erforderlich ist, und CGI verpflichtet sich in dieser Hinsicht, die personenbezogenen Daten des Verantwortlichen nur gemäß den Weisungen des Letzteren zu verarbeiten.

CGI wird die personenbezogenen Daten des Verantwortlichen in transparenter Weise gemäß Abschnitt 12 dieser BCR-P verarbeiten und diese Verarbeitung nur mit allgemeiner oder spezieller vorheriger Genehmigung des Verantwortlichen und in Übereinstimmung mit Abschnitt 6 an Dritte weitergeben. CGI wird den Verantwortlichen bei der Einhaltung seiner Verpflichtungen gemäß dem Anwendbaren Datenschutzrecht unterstützen und ihm angemessene Hilfe leisten.

Darüber hinaus aktualisiert, korrigiert, anonymisiert oder löscht CGI auf Anfrage eines Verantwortlichen und gemäß dessen Weisungen personenbezogene Daten und weist gegebenenfalls Dritte an, einer solchen Anfrage nachzukommen. 

CGI wird auf Anfrage des Verantwortlichen geeignete technische und organisatorische Maßnahmen ergreifen, um die Verpflichtungen des Verantwortlichen zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Personen in Übereinstimmung mit dem entsprechenden Verfahren von CGI zu erfüllen.

Wenn CGI als Auftragsverarbeiter agiert und sofern der Verantwortliche keine anderen Weisungen erteilt, wendet CGI dieselben Sicherheitsgrundsätze an, die sie als Verantwortlicher bei der Verarbeitung personenbezogener Daten anwendet. Abhängig von der Art der Verarbeitung und den verfügbaren Informationen wird CGI den Verantwortlichen in angemessener Weise bei der Einhaltung seiner Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO unterstützen. 

Nach Beendigung der jeweiligen Vereinbarung mit dem Verantwortlichen werden CGI und Dritte alle personenbezogenen Daten des Verantwortlichen gemäß dessen Weisungen und dem Anwendbaren Datenschutzrecht entweder vernichten oder an diesen zurückgeben. Im Falle einer Rückgabe oder Löschung bestätigt CGI dem Verantwortlichen, dass die Löschung und/oder Rückgabe stattgefunden hat. Im Falle einer Rückgabe wird CGI die Vertraulichkeit der an den Verantwortlichen übermittelten personenbezogenen Daten sicherstellen. 

Die Unterstützung, die CGI dem Verantwortlichen für die Einhaltung der Vorschriften gemäß diesem Abschnitt gewährt, unterliegt den finanziellen, technischen und organisatorischen Bedingungen, die zwischen CGI und dem Verantwortlichen in der entsprechenden Dienstleistungsvereinbarung vereinbart wurden.

Um Zweifel auszuschließen, schränken diese BCR-P in keiner Weise das Recht von CGI ein, personenbezogene Daten zum Zweck bestehender Rechtsstreitigkeiten oder zur Geltendmachung oder Abwehr künftiger Ansprüche in Übereinstimmung mit den für CGI geltenden gesetzlichen Verjährungsfristen zu speichern. 

Der Verantwortliche ist allein dafür verantwortlich, dass die erforderliche Verarbeitung mit dem Anwendbaren Datenschutzrecht übereinstimmt.

5. Verarbeitung sensibler personenbezogener Daten

Die Verarbeitung Sensibler personenbezogener Daten erfordert die Anwendung verstärkter Garantien, wie sie im Folgenden beschrieben werden.

Wenn CGI von einem Verantwortlichen aufgefordert wird, sensible personenbezogene Daten zu verarbeiten, die als solche unter dem Anwendbaren Datenschutzrecht geregelt sind, bleibt dieser Verantwortliche allein dafür verantwortlich, die Sicherheitsmaßnahmen festzulegen, die er für angemessen hält, um die zugrundeliegenden Risiken in Übereinstimmung mit dem Anwendbaren Datenschutzrecht zu bewältigen. Sofern der Verantwortliche keine gegenteiligen Weisungen erteilt, wird CGI die personenbezogenen Daten gemäß den bewährten Praktiken verarbeiten, die sie normalerweise unter ähnlichen Umständen anwendet. CGI wird in jedem Fall die Weisungen des Verantwortlichen befolgen und die zwischen den Parteien vereinbarten Maßnahmen anwenden.

Wenn CGI die Verarbeitung sensibler personenbezogener Daten als Auftragsverarbeiter durchführt, muss CGI nicht sicherstellen, dass die Verarbeitung auf einer der in Artikel 9 DSGVO genannten Rechtsgrundlagen beruht.

In jedem Fall wird CGI sensible personenbezogene Daten in Übereinstimmung mit geltendem Recht verarbeiten. Wenn ein solches Gesetz besondere Bedingungen für das Hosting und die Verarbeitung vorschreibt, wird CGI entweder die erforderliche Zertifizierung oder Qualifizierung einholen oder einen Dritten beauftragen, der bereits für diesen Zweck zertifiziert oder qualifiziert ist.

6. Übermittlung personenbezogener Daten an Drittländer

Eine Übermittlung personenbezogener Daten liegt vor, wenn eine außerhalb des EWR ansässige Stelle an der Verarbeitung durch eine im EWR ansässige Stelle beteiligt ist.

Eine Übermittlung personenbezogener Daten kann zusätzliche Garantien oder Bedingungen erfordern, wie nachstehend näher beschrieben. 

6.1    Übermittlung von personenbezogenen Daten innerhalb von CGI 

Diese BCR-P bieten angemessene Garantien in Bezug auf die Übermittlung personenbezogener Daten: 

  • von CGI im EWR, die als Auftragsverarbeiter handelt, an außerhalb des EWR angesiedelte CGI-Unternehmen, die als Auftragsverarbeiter handeln;
  • von CGI mit Sitz außerhalb des EWR, die als Auftragsverarbeiter handelt und personenbezogene Daten verarbeitet, die in den Anwendungsbereich dieser BCR-P fallen, an CGI als Auftragsverarbeiter, unabhängig davon, wo sie sich befindet.

Die voraussichtlichen Zwecke einer solchen Übermittlung personenbezogener Daten gestalten sich wie in Abschnitt 2.1 oben beschrieben.

Wenn CGI als Auftragsverarbeiter auftritt, stellt sie sicher, dass sie vor jeder Übertragung personenbezogener Daten eine spezielle oder allgemeine schriftliche Genehmigung des Verantwortlichen einholt. Wenn eine allgemeine Genehmigung erteilt wird, informiert CGI den Verantwortlichen so rechtzeitig über beabsichtigte Änderungen in Bezug auf die Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters, dass der  Verantwortliche die Möglichkeit hat, der Änderung zu widersprechen oder den Vertrag zu kündigen, bevor personenbezogene Daten an den neuen Unterauftragsverarbeiter übertragen werden.

6.2    Übermittlung von personenbezogenen Daten außerhalb von CGI 

Wenn CGI als Auftragsverarbeiter im Auftrag eines im EWR ansässigen Verantwortlichen handelt und die personenbezogenen Daten des Verantwortlichen an einen außerhalb des EWR ansässigen Dritten übermittelt werden, stellt CGI sicher, dass: 

(i)    der Verantwortliche eine vorherige ausdrückliche oder allgemeine schriftliche Genehmigung für eine solche      Übermittlung erteilt und 

(ii)    dass der Verantwortliche im EWR und der außerhalb des EWR ansässige Dritte die Übermittlung personenbezogener Daten mit einer der nachstehend genannten geeigneten Garantien versehen: 

  • Die Übernahme der EU-Standarddatenschutzklauseln durch die Parteien, die sich aus dem Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ergeben.
  • Alle anderen angemessenen Garantien, die von dem geltenden Datenschutzrecht anerkannt sind, die das gleiche oder ein höheres Schutzniveau für personenbezogene Daten verlangen, als in der Datenschutz-Grundverordnung 2016/679 vorgesehen ist, wie z. B. ein Angemessenheitsbeschluss, genehmigte Verhaltensregeln oder ein geeigneter Zertifizierungsmechanismus.

Wenn eine allgemeine Ermächtigung erteilt wird, informiert CGI den Verantwortlichen so rechtzeitig über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch eines externen Unterauftragsverarbeiters, dass der Verantwortliche die Möglichkeit hat, der Änderung zu widersprechen oder den Vertrag zu kündigen, bevor personenbezogene Daten an den neuen externen Unterauftragsverarbeiter übertragen werden.

Alle anderen Datenströme, bei denen es sich nicht um personenbezogene Daten handelt und die nicht von einer EWR-Einrichtung stammen, gelten nicht als Übermittlung personenbezogener Daten im Sinne dieser BCR-P. Folglich unterliegt eine solche Übermittlung nicht den hierin enthaltenen Anforderungen. Die an solchen Übermittlungen beteiligten CGI-Unternehmen werden jedoch alle notwendigen und angemessenen technischen und organisatorischen Maßnahmen ergreifen, die den mit einer solchen Verarbeitung verbundenen Risiken entsprechen, und zwar in Übereinstimmung mit diesen BCR-P und den geltenden Sicherheitsrichtlinien von CGI.

7. Rechte von Drittbegünstigten 

In Fällen, in denen CGI als Auftragsverarbeiter auftritt, sind die betroffenen Personen berechtigt, die folgenden Bestimmungen dieser BCR-P als Drittbegünstigte direkt gegenüber CGI geltend zu machen, wenn die betreffenden Anforderungen speziell an Auftragsverarbeiter gemäß der Europäischen Verordnung 2016/679 über die Verarbeitung personenbezogener Daten gerichtet sind:

  • Abschnitt 3.3: EINAHLTUNG DER VORSCHRIFTEN IN BEZUG AUF CGI-KUNDEN UND ANDERE VERANTWORTLICHE 
  • Abschnitt 4: CGI-GRUNDPRINZIPIEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
  • Abschnitt 5: VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN
  • Abschnitt 6: ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER
  • Abschnitt 7: RECHTE VON DRITTBEGÜNSTIGTEN
  • Abschnitt 8: HAFTUNG VON CGI BEI VERSTÖßEN GEGEN DIE BCR-P
  • Abschnitt 9: VERFAHREN ZUR BEARBEITUNG VON BETROFFENENANFRAGEN UND BESCHWERDEN
  • Abschnitt 12.1: (TRANSPARENZ) BEZÜGLICH DER BCR-P-INHALTE
  • Abschnitt 12.2: (TRANSPARENZ) BEZÜGLICH DER DATENVERARBEITUNG
  • Abschnitt 12.3: BENACHTRICHTIGUNG BEI VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
  • Abschnitt 12.4 : ZUSAMMENARBEIT MIT DEN DATENSCHUTZBEHÖRDEN
  • Abschnitt 12.5 : WANN DIE LOKALE GESETZGEBUNG VORRANG VOR DIESEN BCR-P HAT

Für den Fall, dass der Verantwortliche faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist und keine andere Stelle die rechtlichen Verpflichtungen des Verantwortlichen übernommen hat, sind die betroffenen Personen berechtigt, CGI direkt zu verklagen, um die in den BCR-P enthaltenen Rechte als Drittbegünstigte geltend zu machen.  

In einem solchen Fall können die betroffenen Personen und CGI eine gütliche Einigung im Rahmen einer Vereinbarung gemäß Abschnitt 9 dieser BCR-P anstreben ("Verfahren zur Bearbeitung von Betroffenenanfragen und Beschwerden").

Wenn CGI als Auftragsverarbeiter und der Verantwortliche, die beide an einer bestimmten Verarbeitung beteiligt sind, für einen durch diese Verarbeitung verursachten Schaden verantwortlich sind, haben die betroffenen Personen das Recht, den gesamten Schaden direkt von CGI als Auftragsverarbeiter oder von dem Verantwortlichen ersetzt zu bekommen.

CGI ermutigt die betroffenen Personen, dieses spezielle Verfahren zur Bearbeitung von Beschwerden zu nutzen. Sie haben jedoch auch das Recht, direkt bei der zuständigen Datenschutzbehörde in der EU ihres gewöhnlichen Wohnsitzes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes eine Klage einzureichen oder bei einem Gericht des Mitgliedstaates, in dem CGI France SAS eine Niederlassung hat oder in dem die betroffene Person ihren gewöhnlichen Wohnsitz hat, Rechtsmittel gegen eine Verletzung der in diesen BCR-P garantierten Rechte einzulegen und gegebenenfalls eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die sich aus dieser Verletzung ergeben. 

7.2    Gerichtsbarkeit

Beabsichtigt eine betroffene Person, eine Beschwerde gemäß Abschnitt 7.1 wegen Verletzung eines der in diesen BCR-P gewährten Rechte im Zusammenhang mit einer in den Anwendungsbereich dieser BCR-P fallenden Verarbeitung einzureichen, so sind die folgenden Behörden oder Gerichte zuständig:

  • Wenn der Verstoß auf eine Verarbeitung durch CGI mit Sitz im EWR zurückzuführen ist, hat die betroffene Person das Recht, bei einer der folgenden Behörden eine Beschwerde gegen CGI einzureichen:

    • bei einer Datenschutzaufsichtsbehörde in dem Mitgliedstaat, in dem er seinen gewöhnlichen Aufenthalt, seinen Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes hat;
    • Wenn der Verstoß auf eine Verarbeitung durch CGI außerhalb des EWR zurückzuführen ist, hat die betroffene Person das Recht, direkt bei der zuständigen Datenschutzbehörde in der EU ihres Wohnsitzes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes oder vor dem Gericht des Mitgliedstaats, in dem die betroffene Person ihren Wohnsitz hat oder in dem CGI oder der Verantwortliche eine Niederlassung hat, Beschwerde gegen CGI France SAS einzulegen.
    • vor den Gerichten des Mitgliedstaats, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat;
  • bei den Gerichten des Mitgliedstaats, in dem CGI als Datenexporteur oder der Verantwortliche eine Niederlassung hat.
8. Haftung von CGI im Falle eines Verstoßes gegen die BCR-P 

Wenn CGI oder ein von CGI beauftragter externer Unterauftragsverarbeiter personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, kann er nur dann für einen durch die Verarbeitung verursachten Schaden haftbar gemacht werden, wenn er seinen Verpflichtungen nicht nachgekommen ist oder wenn er außerhalb oder entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat. Sind der Verantwortliche und CGI France SAS an derselben Verarbeitung beteiligt und sind sie für einen durch die Verarbeitung verursachten Schaden verantwortlich, können sowohl der Verantwortliche als auch CGI France SAS für den gesamten Schaden haftbar gemacht werden, um eine wirksame Entschädigung der betroffenen Person sicherzustellen.  

Wenn CGI personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, der faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist und kein Nachfolgeunternehmen die gesamten Verpflichtungen dieses Verantwortlichen vertraglich oder von Rechts wegen übernommen hat, kann die betroffene Person ihre Rechte entweder gegenüber dem Nachfolgeunternehmen, falls zutreffend, oder anderweitig gegenüber CGI France SAS geltend machen. In einem solchen Fall hat die betroffene Person das Recht, eine Beschwerde bei einem Gericht oder einer zuständigen Datenschutzbehörde einzureichen, das/die für diesen Verantwortlichen zuständig gewesen wäre oder das/die für CGI France SAS zuständig ist. In jedem Fall hat die betroffene Person das Recht, direkt bei der zuständigen Datenschutzbehörde des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt, ihren Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes hat, eine Klage einzureichen oder in dem Mitgliedstaat, in dem CGI eine Niederlassung hat oder in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, gerichtliche Rechtsbehelfe gegen CGI einzulegen, um eine Verletzung der in diesen BCR-P garantierten Rechte geltend zu machen, und hat gegebenenfalls Anspruch auf Ersatz des materiellen oder immateriellen Schadens, der sich aus dieser Verletzung ergibt.

CGI France SAS trägt auch die Beweislast für den Nachweis, dass CGI oder ein außerhalb des EWR ansässiger Dritter nicht für einen angeblichen Verstoß gegen die Richtlinie haftbar ist. Falls jedoch ein nachgewiesener Verstoß unter diesen Voraussetzungen besteht, wird CGI France SAS alle erforderlichen Schritte unternehmen um den Verstoß zu beheben und Schadensersatzzahlungen für nachgewiesene Schäden leisten. Eine solche von CGI France SAS zu leistende Entschädigung muss von CGI Inc., dem beherrschenden Unternehmen aller CGI-Tochtergesellschaften, abgesichert werden, wodurch bestätigt wird, dass CGI France SAS die Haftung für die Handlungen der CGI-Tochtergesellschaften, die außerhalb der EU an diese Richtlinie gebunden sind, übernommen hat und über ausreichende Mittel verfügt, um den aus dem Verstoß gegen diese Richtlinie resultierenden Schaden zu ersetzen.

Darüber hinaus hat der Verantwortliche das Recht, diese BCR-P gegen jedes CGI-Unternehmen durchzusetzen, das personenbezogene Daten in seinem Namen verarbeitet und gegen diese BCR-P verstößt. Falls ein solcher Verstoß ein CGI-Unternehmen oder einen von CGI beauftragten externen Unterauftragsverarbeiter außerhalb der EU betrifft, hat der Verantwortliche das Recht, diese BCR-P gegen CGI France SAS durchzusetzen, die die Haftung in der EU/im EWR übernimmt, wie weiter oben in diesem Artikel beschrieben. Der Verantwortliche hat Anspruch auf Entschädigung und gerichtliche Rechtsmittel unter den Bedingungen, die in der entsprechenden Vereinbarung zwischen CGI und dem Verantwortlichen festgelegt sind.

9. Verfahren zur Bearbeitung von Betroffenenanfragen und Beschwerden

Das in diesem Abschnitt beschriebene Verfahren gilt auch für die Ausübung des Rechts einer betroffenen Person auf Auskunft, Aktualisierung oder Löschung ihrer personenbezogenen Daten. 

Wenn eine betroffene Person eine Beschwerde oder einen Antrag direkt an CGI als Auftragsverarbeiter richtet, informiert CGI den Verantwortlichen über die Beschwerde oder den Antrag, und CGI ist rechtlich nicht für deren Bearbeitung verantwortlich. CGI ist nur für die Bearbeitung dieser Anfragen gemäß den Weisungen Verantwortlichen verantwortlich. Wenn der Verantwortliche faktisch untergegangen ist, nicht mehr existiert oder zahlungsunfähig geworden ist, bearbeitet CGI solche Anfragen direkt, soweit möglich, in Übereinstimmung mit dem entsprechenden CGI-Verfahren. 

Jede derartige Beschwerde oder Anfrage wird von CGI zu gegebener Zeit in Übereinstimmung mit dem entsprechenden CGI-Verfahren bearbeitet.

Sofern CGI nicht ein spezielles Anfrage- oder Beschwerdeformular oder eine Kontaktadresse als Teil der für den Verantwortlichen erbrachten Dienstleistungen zur Verfügung gestellt hat, können die betroffenen Personen ihre Anfragen oder Beschwerden wie im Abschnitt "Kommunikation" dieser BCR-P angegeben einreichen. 

CGI stellt sicher, dass alle relevanten Informationen, die sie von der betroffenen Person erhält, an den Verantwortlichen weitergeleitet werden, und weist diesen ausdrücklich darauf hin, dass es in der Verantwortung des Verantwortlichen liegt, solche Beschwerden oder Anfragen zu bearbeiten.

10. Datenschutz durch Technik / Datenschutz durch Voreinstellung 

Im Einklang mit den in diesen BCR-P enthaltenen Grundsätzen wird CGI ein angemessenes Schutzniveau für die von ihr verarbeiteten personenbezogenen Daten gewährleisten. 

Um sicherzustellen, dass diese Grundsätze bei der Verarbeitung personenbezogener Daten durch CGI tatsächlich berücksichtigt werden, wird CGI während der Entwicklungs- und Erbringungszyklen aller Projekte oder Dienstleistungen, die eine Verarbeitung personenbezogener Daten beinhalten, datenschutzrechtliche Beschränkungen ermitteln und umsetzen.

11. Datenschutz-Folgenabschätzung

Wenn CGI als Auftragsverarbeiter tätig ist, kann der Verantwortliche verlangen, dass CGI mit ihm zusammenarbeitet und relevante Informationen bereitstellt, damit der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen kann. CGI stellt der verantwortlichen Stelle alle ihr zur Verfügung stehenden relevanten Informationen zur Verfügung und stellt gleichzeitig sicher, dass sie bei der Durchführung einer solchen Folgenabschätzung keine Rechtsberatung leistet.

12. Transparenz 

12.1    Bezüglich der BCR-P-Inhalte

CGI wird das Bewusstsein für diese BCR-P schärfen, um ihre Einhaltung zu fördern. 
CGI stellt sicher, dass der Verantwortliche leichten Zugang zu diesen BCR-P hat, indem sie insbesondere eine öffentliche Version auf ihrer Website zur Verfügung stellt und sie durch Verweis in die mit dem Verantwortlichen geschlossene Vereinbarung aufnimmt.

12.2    Bezüglich der Datenverarbeitung 

Wenn CGI als Auftragsverarbeiter tätig ist, stellt CGI dem Verantwortlichen auf Anfrage relevante Informationen zur Verfügung, die es ihm ermöglichen, seinen eigenen Verpflichtungen gegenüber den betroffenen Personen nachzukommen. Sofern in einer vertraglichen Vereinbarung nicht anders angegeben, ist CGI nicht verpflichtet, die betroffenen Personen direkt zu informieren, da diese Verpflichtungen in der Verantwortung des Verantwortlichen bleiben. 

12.3    Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten 

Wenn CGI oder ein von CGI beauftragter externer Unterauftragsverarbeiter einen Sicherheitsvorfall feststellt, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt, wird CGI in Übereinstimmung mit den Sicherheitsrichtlinien und -standards von CGI unverzüglich den Verantwortlichen über den Sicherheitsvorfall und den aktuellen Stand informieren und, wenn dies in der entsprechenden Vereinbarung vereinbart wurde, auch die zuständige Datenschutzbehörde und/oder die betroffenen Personen, wenn die Verletzung der Rechte und Freiheiten der betroffenen Personen wahrscheinlich ein hohes Risiko darstellt. In ähnlicher Weise und aus Gründen der Klarheit wird, wie in der entsprechenden Vereinbarung festgelegt, CGI France SAS benachrichtigt werden, falls ein von CGI beauftragter externer Unterauftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten feststellt. Alle Verletzungen des Schutzes personenbezogener Daten sind zu dokumentieren und den Aufsichtsbehörden auf Anfrage zur Verfügung zu stellen.

12.4    Zusammenarbeit mit den Datenschutzbehörden 

CGI ist bestrebt, enge Beziehungen zu den Datenschutzbehörden zu unterhalten. CGI kooperiert mit den zuständigen Datenschutzbehörden, einschließlich der für den jeweiligen Verantwortlichen zuständigen Datenschutzbehörden, in Bezug auf alle ihre Anfragen, die in Übereinstimmung mit dem Anwendbaren Datenschutzrecht gestellt werden, einschließlich aller Prüfungsanfragen. CGI wird auch den Empfehlungen der zuständigen Datenschutzbehörden in Bezug auf die von CGI als Auftragsverarbeiter durchgeführte Verarbeitung personenbezogener Daten nachkommen.

 
12.5    Wann die Lokale Gesetzgebung Vorrang vor diesen BCR-P hat 

Bevor eine Datenübermittlung stattfindet, prüft die datenexportierende Stelle mit Hilfe der datenimportierenden Stelle unter Berücksichtigung der Umstände der Übermittlung, ob lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse oder verbindliche Normen (im Folgenden "Lokale Gesetzgebung") CGI daran hindern, ihre Verpflichtungen gemäß den BCR-P zu erfüllen, und legt die erforderlichen ergänzenden Maßnahmen fest, die zu ergreifen sind.

Vor dem Inkrafttreten aktualisierter Lokaler Gesetzgebung, wird die datenexportierende Stelle mit Hilfe der datenimportierenden Stelle prüfen, ob die aktualisierte lokale Gesetzgebung CGI an der Erfüllung ihrer Verpflichtungen gemäß den BCR-P hindert, und legt die erforderlichen ergänzenden Maßnahmen fest, die zu treffen sind.

Der Chief Privacy Officer, der Chief Legal Officer und CGI France SAS überprüfen und genehmigen die dokumentierte Untersuchung und alle vorgeschlagenen zusätzlichen Maßnahmen und legen diese dem Verantwortlichen zur Validierung vor.

Wenn die Lokale Gesetzgebung ein höheres Schutzniveau vorschreibt, als es in diesen BCR-P vorgesehen ist, hat diese Lokale Gesetzgebung Vorrang vor diesen BCR-P, und die Verarbeitung erfolgt im Einklang mit der Lokalen Gesetzgebung.

Wenn das Ergebnis der Bewertung der Lokalen Gesetzgebung zeigt, dass zusätzliche Maßnahmen erforderlich sind, wird CGI diese nach Rücksprache mit dem Verantwortlichen umsetzen. Wenn jedoch keine zusätzlichen Maßnahmen ergriffen werden können, wird CGI Verantwortlichen unverzüglich benachrichtigen, um ihm die Möglichkeit zu geben, die Übermittlung auszusetzen und/oder den Vertrag zu kündigen.

Die Ergebnisse der Bewertung und die vorgeschlagenen ergänzenden Maßnahmen werden ordnungsgemäß dokumentiert und für die Datenschutzbehörde(n) bereitgehalten.

Wenn ein CGI-Unternehmen Grund zu der Annahme hat, dass die Lokale Gesetzgebung CGI daran hindert oder hindern könnte, den Anweisungen eines Verantwortlichen oder ihren Verpflichtungen gemäß ihrer Vereinbarung oder den BCR-P nachzukommen, einschließlich einer rechtsverbindlichen Aufforderung zur Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde oder ein staatliches Sicherheitsorgan, werden der Chief Privacy Officer und CGI France SAS unverzüglich informiert (außer in Fällen, in denen dies von einer Strafverfolgungsbehörde untersagt wird, wie z. B. bei einem strafrechtlichen Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung).

Wenn CGI ein Ersuchen erhält, in dem eine zuständige Strafverfolgungsbehörde die Offenlegung personenbezogener Daten verlangt, wird CGI den Verantwortlichen über dieses Ersuchen informieren, soweit dies nach geltendem Recht zulässig ist. Soweit gesetzlich zulässig, wird CGI das Ersuchen zurückstellen, bis die zuständige(n) Datenschutzbehörde(n) ordnungsgemäß darüber informiert ist/sind. In besonderen Fällen, in denen die oben genannte Benachrichtigung verboten ist, wird sich das betreffende CGI-Unternehmen nach besten Kräften bemühen, dass dieses Verbot aufgehoben wird. Sollte das ersuchte CGI-Unternehmen trotz seiner Bemühungen nicht in der Lage sein, die zuständige(n) Datenschutzbehörde(n) zu benachrichtigen, wird es jährlich allgemeine Informationen über die bei ihm eingegangenen Ersuchen an die zuständige(n) Datenschutzbehörde(n) übermitteln.
In keinem Fall darf die Übermittlung personenbezogener Daten durch ein CGI-Unternehmen, die diesen BCR-P unterliegt, an eine Behörde uferlos, unverhältnismäßig und wahllos in einer Weise erfolgen, die über das hinausgeht, was in einer demokratischen Gesellschaft notwendig ist.

Nach Unionsrecht nicht zulässige Übermittlungen oder Offenlegungen. 

Für CGI-Unternehmen mit Sitz im EWR können Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlandes, die einen Verantwortlichen oder einen Auftragsverarbeiter zur Übermittlung oder Offenlegung personenbezogener Daten verpflichten, nur dann anerkannt oder vollstreckt werden, wenn sie auf einem internationales Abkommen, wie z. B. einem Rechtshilfeabkommen, beruhen, das zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat in Kraft ist, unbeschadet anderer Gründe für eine Übermittlung gemäß Kapitel V der DSGVO.

13. Schulungen

CGI wird ein Schulungsprogramm für den Datenschutz einführen und umsetzen, damit ihre Member die in diesen BCR-P enthaltenen Grundsätze und Verfahren kennen. 

Das Schulungsprogramm vermittelt den CGI-Membern folgende Kenntnisse:

  • allgemeines Grundwissen über die geltenden Grundsätze bei der Verarbeitung personenbezogener Daten 
  • gute Kenntnis der bestehenden Verfahren und ihrer Anwendung 
  • spezifische, auf die verschiedenen Funktionen innerhalb der Organisation abgestimmte Schulungen 

Mit diesem Schulungsprogramm soll sichergestellt werden, dass die Member, deren Aufgaben die Verarbeitung personenbezogener Daten erfordern, angemessen geschult werden. 
Neben dem Einsatz geeigneter Datenschutzschulungen wird CGI auch weiterhin eine Datenschutzkultur innerhalb des Unternehmens fördern. Zu diesem Zweck wird CGI spezielle Kommunikationsmaßnahmen durchführen, darunter Sensibilisierungskampagnen, datenschutzrelevante Materialien, Webinare und Foren, um Anleitungen zu geben und Fragen zu allen Themen im Zusammenhang mit diesen BCR-P zu beantworten. 
Datenschutzschulungen sind für Member, deren Aufgaben die Verarbeitung personenbezogener Daten erfordern, obligatorisch.

14. Audits

CGI wird in sein internes Auditprogramm eine Überprüfung der Einhaltung aller Aspekte dieser BCR-P durch CGI integrieren.

Im Rahmen des internen Auditprozesses wird Folgendes festgelegt:

  • Zeitplan für die Durchführung von Audits;  
  • erwarteter Umfang des Audits; 
  • für das Audit verantwortliches Team.

Das interne Auditverfahren kann bei Bedarf überarbeitet werden. CGI wird jedoch regelmäßig interne Audits durch ein qualifiziertes Audit-Team durchführen. Ein solches Programm wird von der internen Auditabteilung von CGI initiiert. 

Die Ergebnisse des Audits werden der CGI-Zentrale sowie der Datenschutzorganisation mitgeteilt, und die sich daraus ergebenden Maßnahmen werden definiert und nach Prioritäten geordnet, so dass die Datenschutzorganisation einen Zeitplan für die Umsetzung von Korrektur- und Präventivmaßnahmen festlegen kann.
Die zuständigen Datenschutzbehörden sowie wenn CGI als Auftragsverarbeiter fungiert auch die entsprechenden Verantwortlichen, können Zugang zu den Prüfungsergebnissen verlangen.

Wenn CGI als Auftragsverarbeiter handelt, kann der Verantwortliche außerdem verlangen, dass CGI Audits durchführt, um die Einhaltung der einschlägigen vertraglichen Verpflichtungen und dieser BCR-P durch CGI oder seine Unterauftragsverarbeiter zu überprüfen. Diese Audits werden von dem Verantwortlichen oder einer aus unabhängigen Mitgliedern bestehenden Prüfstelle durchgeführt.

15. Datenschutz-Organisation

Die Umsetzung der BCR-P setzt voraus, dass alle teilnehmenden CGI-Unternehmen, die in Annex A aufgeführt sind, sich in vollem Umfang an ihrer Anwendung beteiligen. Sie bleiben in jedem Fall für die Einhaltung dieser BCR-P selbst verantwortlich.

CGI wird eine interne Datenschutzorganisation einrichten, die für die Festlegung geeigneter Richtlinien, Verfahren und Standards für alle teilnehmenden CGI-Unternehmen sowie für die Überwachung der Einhaltung dieser BCR-P verantwortlich ist. 

Insbesondere wird CGI einen Chief Privacy Officer (CPO) und ein Netzwerk von Datenschutzbeauftragten und regionalen Privacy Business Partnern in Übereinstimmung mit dem Anwendbaren Datenschutzrecht benennen. 
Der CPO ist direkt dem Chief Legal Officer unterstellt, der wiederum direkt an den Chief Executive Officer berichtet. Im Rahmen dieser Politik hat der CPO hauptsächlich die folgenden Aufgaben: 

  • Festlegung der Strategie der Gruppe in Bezug auf die Umsetzung dieser Politik und der Verfahren, die in der gesamten Organisation eingeführt werden sollen, um sicherzustellen, dass jede Strategic Business Unit (SBU) und jede Business Unit (BU) diese Politik einhält; 
  • Festlegung des Schulungsprogramms; 
  • Festlegung der Audit-Strategie zur Überwachung der wirksamen Anwendung dieser BCR-C;
  • Beratung der Strategic Business Unit bei Bedarf. 

Für jede Strategic Business Unit jeder Region der Gruppe haben wir einen Regionalen Privacy Business Partner ernannt, der sich auf ein Netz von Privacy Business Partnern stützen kann, die auf lokaler Ebene und/oder auf Ebene der Business Unit ernannt wurden. Die SBU Privacy Business Partner stellen sicher, dass diese Richtlinie auf SBU-Ebene ordnungsgemäß umgesetzt wird und dass alle auf dieser Ebene vorgebrachten Beschwerden, einschließlich der Beschwerden betroffener Personen, angemessen und insbesondere in Übereinstimmung mit dem in diesen BCR-C beschriebenen Verfahren behandelt werden. Außerdem überwachen sie gemeinsam mit den lokalen Privacy Business Partnern, dass die Datenübermittlungen und Verpflichtungen tatsächlich umgesetzt werden.

In jedem Fall wird den betroffenen Personen und den Verantwortlichen (wenn CGI als Auftragsverarbeiter fungiert) ein Ansprechpartner mit einschlägigem Fachwissen zur Verfügung gestellt, falls sie Fragen und/oder Beschwerden haben. 

16. Verarbeitungsverzeichnis

CGI führt ein Verzeichnis über die von ihr als Auftragsverarbeiter im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten (das "Verarbeitungsverzeichnis"), das alle folgenden Informationen enthält:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Namen der Auftragsverarbeiter handelt, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und des Datenschutzbeauftragten; 
  • die Kategorien der Verarbeitungen, die im Auftrag des jeweiligen Verantwortlichen durchgeführt werden; 
  • gegebenenfalls Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe dieses Drittlandes oder dieser internationalen Organisation und der Dokumentation geeigneter Schutzmaßnahmen; 
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

CGI stellt sicher, dass jede neue Verarbeitung personenbezogener Daten im Verarbeitungsverzeichnis mit relevanten Informationen über den Kontext jeder Verarbeitung personenbezogener Daten erfasst wird. CGI stellt die Aufzeichnungen über die Verarbeitung den Aufsichtsbehörden auf Anfrage zur Verfügung.

17. Aktualisierung dieser BCR-P 

Diese BCR-P können von Zeit zu Zeit nach Bedarf und nach einem bestimmten Verfahren geändert werden. Wenn sich Änderungen wesentlich auf die BCR oder das gebotene Schutzniveau auswirken, wird CGI die zuständige Datenschutzbehörde und alle in Annex A aufgeführten CGI-Unternehmen unverzüglich informieren. Über alle anderen Änderungen der BCR-P informiert CGI mindestens einmal jährlich allen nachstehend aufgeführten Gruppen:

  • Jedes umfasste CGI-Unternehmen, das in Annex A aufgeführt ist;
  • CGI-Member; und
  • die zuständigen Datenschutzbehörden über die zuständige Datenschutzbehörde zusammen mit einer kurzen Erläuterung der Gründe, die die Aktualisierung rechtfertigen.

Wenn CGI als Auftragsverarbeiter auftritt, werden alle Änderungen dieser BCR-P den Verantwortlichen rechtzeitig mitgeteilt, um ihnen die Möglichkeit zu geben, der Änderung zu widersprechen oder den Vertrag zu kündigen, bevor die Änderung vorgenommen wird. 

CGI wird eine aktuelle Liste der an diese BCR-P gebundenen Unternehmen führen, und die Datenschutzorganisation wird alle Aktualisierungen der Regeln verfolgen und aufzeichnen, sicherstellen, dass die Informationen zu gegebener Zeit an die oben genannten Beteiligten weitergegeben werden, und den Verantwortlichen oder den zuständigen Datenschutzbehörden auf Anfrage die erforderlichen Informationen zur Verfügung stellen. 

CGI verpflichtet sich, keine personenbezogenen Daten an eine neue CGI-Einheit zu übermitteln, die nicht tatsächlich durch diese BCR-P gemäß dem in Abschnitt 3 festgelegten Verfahren gebunden ist. 

Wenn eine in Annex A aufgeführte nicht dem EWR angehörende CGI-Einrichtung künftig nicht mehr zur Gruppe der durch die BCR-P gebundenen CGI-Unternehmen gehört, muss sichergestellt werden, dass sie die BCR-P weiterhin auf die Verarbeitung der personenbezogenen Daten anwendet, die ihr im Rahmen der BCR übermittelt wurden, es sei denn, das ehemalige Mitglied löscht zum Zeitpunkt des Ausscheidens aus der Gruppe alle diese Daten oder gibt sie vollständig an Unternehmen zurück, für die die BCR-P weiterhin gelten.

18. Kommunikation 

Für CGI-Member: Fragen, Ersuchen oder Hinweise im Zusammenhang mit diesen BCR-P sind an folgende Adresse zu richten: enterprisedataprivacy@cgi.com.

Für andere betroffene als CGI-Member: Fragen, Ersuchen oder Hinweise im Zusammenhang mit diesen 
BCR-P sind an folgende Adresse zu richten: privacy@cgi.com.

Die Kategorien von Verarbeitungen, betroffenen Personen und personenbezogenen Daten, die unter diese BCR-P fallen, sind in Anhang B aufgeführt.