Die Binding Corporate Rules (BCR) bilden das konzernweite Datenschutzregelwerk von CGI. Sie ermöglichen die sichere Übermittlung und Verarbeitung personenbezogener Daten auch außerhalb des Europäischen Wirtschaftsraums und stellen sicher, dass europäische Datenschutzstandards weltweit eingehalten werden.
Je nach Rolle von CGI im Rahmen einer Datenverarbeitung kommen zwei Varianten zur Anwendung:
BCR Processor (BCR P) – wenn CGI als Auftragsverarbeiter tätig wird
BCR Controller (BCR C) – wenn CGI als Verantwortlicher handelt
Die vollständigen Dokumente stehen Ihnen am Ende dieser Seite im Downloadbereich zur Verfügung
Die BCR Processor (BCR-P) kommen zur Anwendung, wenn CGI als Auftragsverarbeiter gemäß den Anweisungen eines in der EU ansässigen, nicht zu CGI gehörenden Verantwortlichen handelt.
Version 3.0 - März 2025
Diese deutsche Sprachfassung dient lediglich der einfacheren Verständlichkeit. Die englische Sprachfassung dieses Dokuments stellt die führende und einzig verbindliche Sprachfassung dar.
Für die Zwecke dieser „Verbindlichen internen Datenschutzvorschriften – Auftragsverarbeiter“ („Binding Corporate Rules – Processor“ (kurz: „BCR-P“)) gelten die folgenden Definitionen:
„AUFTRAGSVERARBEITER“ bezieht sich auf jede juristische Person, die im Auftrag eines VERANTWORTLICHEN handelt.
„ANWENDBARES DATENSCHUTZRECHT“ bezieht sich auf (i) die Europäische Verordnung 2016/679 über die VERARBEITUNG PERSONENBEZOGENER DATEN zum Zeitpunkt ihres Inkrafttretens und (ii) alle Ausführungsgesetze zu dieser Datenschutz-Grundverordnung.
„BETROFFENE PERSON“ bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, deren PERSONENBEZOGENE DATEN von CGI VERARBEITET werden, einschließlich aller CGI PARTNER.
"CGI" oder „CGI GESELLSCHAFT(EN)“ bezieht sich je nach Fall auf eine, mehrere oder alle beteiligten juristischen Personen, die von CGI Inc. kontrolliert werden oder ihr gehören, die PERSONENBEZOGENE DATEN verarbeiten und deren Einhaltung der BCR-P nicht gegen lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse, verbindliche Normen oder verbindliche Verpflichtungen verstößt oder diesen widerspricht. Die teilnehmenden CGI GESELLSCHAFTEN sind in Anhang A aufgeführt. Diese Liste kann von Zeit zu Zeit aktualisiert werden.
„CGI PARTNER“ bezieht sich auf einen oder mehrere CGI-Mitarbeiter.
"DSGVO" bezeichnet die Europäische Verordnung 2016/679 mit dem Titel Datenschutz-Grundverordnung.
„DATEN EXPORTIERENDE CGI GESELLSCHAFT“ bezeichnet die CGI GESELLSCHAFT, die als AUFTRAGSVERARBEITER fungiert und PERSONENBEZOGENE DATEN in ein DRITTLAND übermittelt.
„DATEN IMPORTIERENDE CGI GESELLSCHAFT“ bezeichnet die CGI GESELLSCHAFT, die als AUFTRAGSVERARBEITER in einem DRITTLAND fungiert und PERSONENBEZOGENE DATEN von einer DATENEXPORTIERENDEN CGI GESELLSCHAFT erhält.
„DRITTLAND“ bezeichnet jedes Land außerhalb des EWR, das gemäß der DSGVO nicht als Land mit einem angemessenen Schutzniveau anerkannt wurde.
„EUROPÄISCHER WIRTSCHAFTSRAUM“ oder „EWR“ bezieht sich auf die EU-Mitgliedstaaten (Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern) sowie Norwegen, Liechtenstein und Island, im Folgenden auch als „MITGLIEDSTAATEN“ bezeichnet.
„LOKALE GESETZGEBUNG“ hat die Bedeutung, die diesem Ausdruck in Abschnitt 12.5 zugeschrieben wird.
„PERSONENBEZOGENE DATEN“ sind alle Informationen über eine BETROFFENE PERSON, die direkt oder indirekt identifiziert werden können, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den PERSONENBEZOGENEN DATEN gehören auch SENSIBLE PERSONENBEZOGENE DATEN.
„VERANTWORTLICHER“ bezieht sich auf jede juristische Person, die allein oder gemeinsam mit anderen für die VERARBEITUNG VERANTWORTLICHEN die Zwecke und Mittel der VERARBEITUNG PERSONENBEZOGENER DATEN bestimmt.
"VERARBEITEN", "VERARBEITUNG" oder "VERARBEITET" bezieht sich auf jeden Vorgang oder jede Reihe von Vorgängen, die mit PERSONENBEZOGENEN DATEN durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Ändern, Abrufen, Abfragen (einschließlich Fernzugriff), Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Angleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.
"SENSIBLE PERSONENBEZOGENE DATEN" beziehen sich auf bestimmte Kategorien PERSONENBEZOGENER DATEN, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie auf die VERARBEITUNG genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten und von Daten zum Sexualleben oder die sexuelle Orientierung einer natürlichen Person.
"DRITTE" beziehen sich auf Lieferanten und Unterauftragnehmer von CGI sowie auf jede andere Einrichtung oder öffentliche Stelle, an die PERSONENBEZOGENE DATEN weitergegeben werden können.
„ZUSTÄNDIGE DATENSCHUTZBEHÖRDE“ bezeichnet die Aufsichtsbehörde, die für die CGI GESELLSCHAFT, die die Daten exportiert, zuständig ist.
"ÜBERMITTLUNG PERSONENBEZOGENER DATEN" bezieht sich auf die ÜBERMITTLUNG PERSONENBEZOGENER DATEN aus dem EUROPÄISCHEN WIRTSCHAFTSRAUM (EWR) in ein Land außerhalb des EWR.
2.1 Abgedeckte Aktivitäten
Diese „Verbindlichen internen Datenschutzvorschriften – Auftragsverarbeiter“ („Binding Corporate Rules – Processor“ (kurz: „BCR-P“)) gelten, wenn CGI als AUFTRAGSVERARBEITER gemäß den Anweisungen eines in der EU ansässigen VERANTWORTLICHEN handelt, der keine CGI GESELLSCHAFT ist.
Die Kategorien von VERARBEITUNGEN, BETROFFENEN PERSONEN und PERSONENBEZOGENEN DATEN, die unter diese BCR-P fallen, sind in Anhang B aufgeführt.
2.2 Abgedeckte Gebiete
Die hier genannten Grundsätze gelten für die ÜBERMITTLUNG PERSONENBEZOGENER DATEN in den folgenden Fällen:
3.1 Verantwortlichkeit von CGI
Diese BCR-P sind für alle teilnehmenden CGI GESELLSCHAFTEN verbindlich, die in Anhang A aufgeführt sind.
Jede CGI GESELLSCHAFT, die als AUFTRAGSVERARBEITER auftritt, wird dem VERANTWORTLICHEN alle angemessenen Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen des AUFTRAGSVERARBEITERS gemäß dieser BCR-P nachzuweisen.
3.2 Einhaltung durch die CGI PARTNER
Alle CGI PARTNER sind an diese BCR-P gebunden, indem sie sich in allen Arbeitsverträgen verpflichten, die geltenden Vertraulichkeits- und Datenschutzverpflichtungen sowie die Richtlinien, Verfahren und Standards von CGI einzuhalten, die im Ethikkodex von CGI enthalten sind. CGI PARTNER werden diese BCR-P, soweit einschlägig, jährlich zusammen mit dem Ethikkodex anerkennen.
Wie in den Abschnitten 13.1 und 14 der BCR-P näher ausgeführt, werden die CGI PARTNER durch interne Kommunikation und Schulungen auf die BCR-P aufmerksam gemacht. CGI PARTNER werden auch darauf aufmerksam gemacht, dass die Nichteinhaltung des Ethikkodex und in diesem speziellen Fall der BCR-P zu Sanktionen gemäß den geltenden lokalen Gesetzen führen kann.
3.3 Einhaltung der Vorschriften in Bezug auf CGI-Kunden und andere VERANTWORTLICHE
CGI verpflichtet sich in ihrer Funktion als AUFTRAGSVERARBEITER gegenüber ihren Kunden und anderen VERANTWORTLICHEN zur Einhaltung dieser BCR-P.
CGI und ihre CGI PARTNER verpflichten sich, die PERSONENBEZOGENEN DATEN des VERANTWORTLICHEN ausschließlich gemäß dessen Anweisungen zu VERARBEITEN, insbesondere hinsichtlich der Art, der Methode, des Zwecks und der Dauer der VERARBEITUNG sowie der technischen und organisatorischen Maßnahmen, die erforderlich sind, um einen unrechtmäßigen Zugriff auf die PERSONENBEZOGENEN DATEN zu verhindern. Gemäß Art. 28 DSGVO muss eine solche Verpflichtung ausdrücklich in einer zwischen CGI und dem VERANTWORTLICHEN abgeschlossenen Vereinbarungen festgehalten werden.
3.4 Einhaltung der Vorschriften in Bezug auf CGI-Lieferanten, Subunternehmer und andere Dritte
Jeder DRITTE, der PERSONENBEZOGENE DATEN im Auftrag von CGI VERARBEITET, ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Einhaltung der Grundsätze und Anforderungen dieser BCR-P sowie aller anderen gemäß Artikel 28.3 DSGVO erforderlichen Vertragsbestandteile zu gewährleisten.
Die Einhaltung der folgenden Grundsätze erfüllt oder übertrifft nicht nur das ANWENDBARE DATENSCHUTZRECHT, sondern entspricht auch den höchsten Marktstandards und Praktiken für die VERARBEITUNG PERSONENBEZOGENER DATEN.
Wenn CGI als AUFTRAGSVERARBEITER handelt, stellt sie sicher, dass sie PERSONENBEZOGENE DATEN ausschließlich gemäß den Anweisungen des VERANTWORTLICHEN verarbeitet, der in den meisten Fällen ein Kunde von CGI ist.
Insbesondere muss eine solche VERARBEITUNG jede der folgenden Bedingungen erfüllen:
Insbesondere VERARBEITET CGI als AUFTRAGSVERARBEITER PERSONENBEZOGENE DATEN gemäß dem ANWENDBAREN DATENSCHUTZRECHT und den Anweisungen des VERANTWORTLICHEN, wie sie in der Vereinbarung zwischen CGI und dem VERANTWORTLICHEN festgelegt sind. Eine solche VERARBEITUNG wird von CGI gemäß den Anweisungen des VERANTWORTLICHEN durchgeführt und nicht für weitere unvereinbare Zwecke, sofern nicht ausdrücklich vom VERANTWORTLICHEN genehmigt und vorbehaltlich des ANWENDBAREN DATENSCHUTZRECHTS. CGI wird den VERANTWORTLICHEN unverzüglich informieren, wenn ihrer Meinung nach eine Weisung des VERANTWORTLICHEN gegen das ANWENDBARE DATENSCHUTZRECHT verstößt.
Der VERANTWORTLICHE ist für die Festlegung der Aufbewahrungsfrist verantwortlich, die für die Erreichung der Zwecke der VERARBEITUNG erforderlich ist, und CGI verpflichtet sich in dieser Hinsicht, die PERSONENBEZOGENEN DATEN des VERANTWORTLICHEN nur gemäß den Weisungen des Letzteren zu verarbeiten.
CGI wird die PERSONENBEZOGENEN DATEN des VERANTWORTLICHEN in transparenter Weise gemäß Abschnitt 12 dieser BCR-P VERARBEITEN und diese VERARBEITUNG nur mit allgemeiner oder spezieller vorheriger Genehmigung des VERANTWORTLICHEN und in Übereinstimmung mit Abschnitt 6 an DRITTE weitergeben. CGI wird den VERANTWORTLICHEN bei der Einhaltung seiner Verpflichtungen gemäß dem ANWENDBAREN DATENSCHUTZRECHT unterstützen und ihm angemessene Hilfe leisten.
Darüber hinaus aktualisiert, korrigiert, anonymisiert oder löscht CGI auf Anfrage eines VERANTWORTLICHEN und gemäß dessen Weisungen PERSONENBEZOGENE DATEN und weist gegebenenfalls DRITTE an, einer solchen Anfrage nachzukommen. CGI wird auf Anfrage des VERANTWORTLICHEN geeignete technische und organisatorische Maßnahmen ergreifen, um die Verpflichtungen des VERANTWORTLICHEN zur Beantwortung von Anfragen zur Ausübung der Rechte der BETROFFENEN PERSONEN gemäß dem entsprechenden CGI-Verfahren zu erfüllen.
Wenn CGI als AUFTRAGSVERARBEITER agiert und sofern der VERANTWORTLICHE keine anderen Weisungen erteilt, wendet CGI dieselben Sicherheitsgrundsätze an, die sie als VERANTWORTLICHER bei der VERARBEITUNG PERSONENBEZOGENER DATEN anwendet. Abhängig von der Art der VERARBEITUNG und den verfügbaren Informationen wird CGI den VERANTWORTLICHEN in angemessener Weise bei der Einhaltung seiner Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO unterstützen.
Nach Beendigung der jeweiligen Vereinbarung mit dem VERANTWORTLICHEN werden CGI und DRITTE alle PERSONENBEZOGENEN DATEN des VERANTWORTLICHEN gemäß dessen Weisungen und dem ANWENDBAREN DATENSCHUTZRECHT entweder vernichten oder an diesen zurückgeben. Im Falle einer Rückgabe oder Löschung bestätigt CGI dem VERANTWORTLICHEN, dass die Löschung und/oder Rückgabe stattgefunden hat. Im Falle einer Rückgabe wird CGI die Vertraulichkeit der an den VERANTWORTLICHEN übermittelten PERSONENBEZOGENEN DATEN sicherstellen.
Die Unterstützung, die CGI dem VERANTWORTLICHEN für die Einhaltung der Vorschriften gemäß diesem Abschnitt gewährt, unterliegt den finanziellen, technischen und organisatorischen Bedingungen, die zwischen CGI und dem VERANTWORTLICHEN in der entsprechenden Dienstleistungsvereinbarung vereinbart wurden.
Um Zweifel auszuschließen, schränken diese BCR-P in keiner Weise das Recht von CGI ein, PERSONENBEZOGENE DATEN zum Zweck bestehender Rechtsstreitigkeiten oder zur Geltendmachung oder Abwehr künftiger Ansprüche in Übereinstimmung mit den für CGI geltenden gesetzlichen Verjährungsfristen zu speichern.
Der VERANTWORTLICHE ist allein dafür verantwortlich, dass die erforderliche VERARBEITUNG mit dem ANWENDBAREN DATENSCHUTZRECHT übereinstimmt.
Die VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN erfordert die Anwendung verstärkter Garantien, wie sie im Folgenden beschrieben werden.
Wenn CGI von einem VERANTWORTLICHEN aufgefordert wird, SENSIBLE PERSONENBEZOGENE DATEN zu VERARBEITEN, die als solche unter dem ANWENDBAREN DATENSCHUTZRECHT geregelt sind, bleibt dieser VERANTWORTLICHE allein dafür verantwortlich, die Sicherheitsmaßnahmen festzulegen, die er für angemessen hält, um die zugrundeliegenden Risiken in Übereinstimmung mit dem ANWENDBAREN DATENSCHUTZRECHT zu bewältigen. Sofern der VERANTWORTLICHE keine gegenteiligen Weisungen erteilt, wird CGI die PERSONENBEZOGENEN DATEN gemäß den bewährten Praktiken VERARBEITEN, die sie normalerweise unter ähnlichen Umständen anwendet. CGI wird in jedem Fall die Weisungen des VERANTWORTLICHEN befolgen und die zwischen den Parteien vereinbarten Maßnahmen anwenden.
Wenn CGI die VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN als AUFTRAGSVERARBEITER durchführt, muss CGI nicht sicherstellen, dass die VERARBEITUNG auf einer der in Artikel 9 DSGVO genannten Rechtsgrundlagen beruht.
In jedem Fall wird CGI SENSIBLE PERSONENBEZOGENE DATEN in Übereinstimmung mit geltendem Recht VERARBEITEN. Wenn ein solches Gesetz besondere Bedingungen für das Hosting und die VERARBEITUNG vorschreibt, wird CGI entweder die erforderliche Zertifizierung oder Qualifizierung einholen oder einen DRITTEN beauftragen, der bereits für diesen Zweck zertifiziert oder qualifiziert ist.
Eine ÜBERMITTLUNG PERSONENBEZOGENER DATEN liegt vor, wenn eine außerhalb des EWR ansässige Stelle an der VERARBEITUNG durch eine im EWR ansässige Stelle beteiligt ist.
Eine ÜBERMITTLUNG PERSONENBEZOGENER DATEN kann zusätzliche Garantien oder Bedingungen erfordern, wie nachstehend näher beschrieben.
6.1 ÜBERMITTLUNG von PERSONENBEZOGENEN DATEN innerhalb von CGI
Diese BCR-P bieten angemessene Garantien in Bezug auf die ÜBERMITTLUNG PERSONENBEZOGENER DATEN:
Die voraussichtlichen Zwecke einer solchen ÜBERMITTLUNG PERSONENBEZOGENER DATEN gestalten sich wie in Abschnitt 2.1 oben beschrieben.
Wenn CGI als AUFTRAGSVERARBEITER auftritt, stellt sie sicher, dass sie vor jeder ÜBERTRAGUNG PERSONENBEZOGENER DATEN eine spezielle oder allgemeine schriftliche Genehmigung des VERANTWORTLICHEN einholt. Wenn eine allgemeine Genehmigung erteilt wird, informiert CGI den VERANTWORTLICHEN so rechtzeitig über beabsichtigte Änderungen in Bezug auf die Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters, dass der VERANTWORTLICHE die Möglichkeit hat, der Änderung zu widersprechen oder den Vertrag zu kündigen, bevor PERSONENBEZOGENE DATEN an den neuen Unterauftragsverarbeiter übertragen werden.
6.2 ÜBERMITTLUNG von PERSONENBEZOGENEN
DATEN außerhalb von CGI Wenn CGI als AUFTRAGSVERARBEITER im Auftrag eines im EWR ansässigen VERANTWORTLICHEN handelt und die PERSONENBEZOGENEN DATEN des VERANTWORTLICHEN an einen außerhalb des EWR ansässigen DRITTEN übermittelt werden, stellt CGI sicher, dass:
(i) der VERANTWORTLICHE eine vorherige ausdrückliche oder allgemeine schriftliche Genehmigung für eine solche ÜBERMITTLUNG erteilt und
(ii) dass der VERANTWORTLICHE im EWR und der außerhalb des EWR ansässige DRITTE die ÜBERMITTLUNG PERSONENBEZOGENER DATEN mit einer der nachstehend genannten geeigneten Garantien versehen:
Wenn eine allgemeine Ermächtigung erteilt wird, informiert CGI den VERANTWORTLICHEN so rechtzeitig über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch eines externen Unterauftragsverarbeiters, dass der VERANTWORTLICHE die Möglichkeit hat, der Änderung zu widersprechen oder den Vertrag zu kündigen, bevor PERSONENBEZOGENE DATEN an den neuen externen Unterauftragsverarbeiter übertragen werden.
Alle anderen Datenströme, bei denen es sich nicht um PERSONENBEZOGENE DATEN handelt und die nicht von einer EWR-Einrichtung stammen, gelten nicht als ÜBERMITTLUNG PERSONENBEZOGENER DATEN im Sinne dieser BCR-P. Folglich unterliegt eine solche Übermittlung nicht den hierin enthaltenen Anforderungen. Die an solchen Übermittlungen beteiligten CGI GESELLSCHAFTEN werden jedoch alle notwendigen und angemessenen technischen und organisatorischen Maßnahmen ergreifen, die den mit einer solchen VERARBEITUNG verbundenen Risiken entsprechen, und zwar in Übereinstimmung mit diesen BCR-P und den geltenden Sicherheitsrichtlinien von CGI.
7.1 Wenn CGI als AUFTRAGSVERARBEITER handelt
In Fällen, in denen CGI als AUFTRAGSVERARBEITER auftritt, sind die BETROFFENEN PERSONEN berechtigt, die folgenden Bestimmungen dieser BCR-P als Drittbegünstigte direkt gegenüber CGI geltend zu machen, wenn die betreffenden Anforderungen speziell an AUFTRAGSVERARBEITER gemäß der Europäischen Verordnung 2016/679 über die Verarbeitung personenbezogener Daten gerichtet sind:
Für den Fall, dass der VERANTWORTLICHE faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist und keine andere Stelle die rechtlichen Verpflichtungen des VERANTWORTLICHEN übernommen hat, sind die BETROFFENEN PERSONEN berechtigt, CGI direkt zu verklagen, um die in den BCR-P enthaltenen Rechte als Drittbegünstigte geltend zu machen. In einem solchen Fall können die BETROFFENEN PERSONEN und CGI eine gütliche Einigung im Rahmen einer Vereinbarung gemäß Abschnitt 9 dieser BCR-P anstreben ("Verfahren zur Bearbeitung von Betroffenenanfragen und Beschwerden").
Wenn CGI als AUFTRAGSVERARBEITER und der VERANTWORTLICHE, die beide an einer bestimmten VERARBEITUNG beteiligt sind, für einen durch diese VERARBEITUNG verursachten Schaden verantwortlich sind, haben die BETROFFENEN PERSONEN das Recht, den gesamten Schaden direkt von CGI als AUFTRAGSVERARBEITER oder von dem VERANTWORTLICHEN ersetzt zu bekommen.
CGI ermutigt die BETROFFENEN PERSONEN, dieses spezielle Verfahren zur Bearbeitung von Beschwerden zu nutzen. Sie haben jedoch auch das Recht, direkt bei der ZUSTÄNDIGEN DATENSCHUTZBEHÖRDE in der EU ihres gewöhnlichen Wohnsitzes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes eine Klage einzureichen oder bei einem Gericht des MITGLIEDSTAATES, in dem CGI France SAS eine Niederlassung hat oder in dem die BETROFFENE PERSON ihren gewöhnlichen Wohnsitz hat, Rechtsmittel gegen eine Verletzung der in diesen BCR-P garantierten Rechte einzulegen und gegebenenfalls eine Entschädigung für alle materiellen oder immateriellen Schäden zu erhalten, die sich aus dieser Verletzung ergeben.
7.2 Gerichtsbarkeit
Beabsichtigt eine BETROFFENE PERSON, eine Beschwerde gemäß Abschnitt 7.1 wegen Verletzung eines der in diesen BCR-P gewährten Rechte im Zusammenhang mit einer in den Anwendungsbereich dieser BCR-P fallenden Verarbeitung einzureichen, so sind die folgenden Behörden oder Gerichte zuständig: •
Wenn der Verstoß auf eine VERARBEITUNG durch CGI außerhalb des EWR zurückzuführen ist, hat die BETROFFENE PERSON das Recht, direkt bei der ZUSTÄNDIGEN DATENSCHUTZBEHÖRDE in der EU ihres Wohnsitzes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes oder vor dem Gericht des Mitgliedstaats, in dem die BETROFFENE PERSON ihren Wohnsitz hat oder in dem CGI oder der VERANTWORTLICHE eine Niederlassung hat, Beschwerde gegen CGI France SAS einzulegen.
Wenn CGI oder ein von CGI beauftragter externer Unterauftragsverarbeiter PERSONENBEZOGENE DATEN im Auftrag eines VERANTWORTLICHEN verarbeitet, kann sie nur dann für einen durch die VERARBEITUNG verursachten Schaden haftbar gemacht werden, wenn sie ihren Verpflichtungen nicht nachgekommen ist oder wenn sie außerhalb oder entgegen den rechtmäßigen Weisungen des VERANTWORTLICHEN gehandelt hat. Sind der VERANTWORTLICHE und CGI France SAS an derselben VERARBEITUNG beteiligt und sind sie für einen durch die VERARBEITUNG verursachten Schaden verantwortlich, können sowohl der VERANTWORTLICHE als auch CGI France SAS für den gesamten Schaden haftbar gemacht werden, um eine wirksame Entschädigung der BETROFFENEN PERSON sicherzustellen.
Wenn CGI PERSONENBEZOGENE DATEN im Auftrag eines VERANTWORTLICHEN verarbeitet, der faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist und kein Nachfolgeunternehmen die gesamten Verpflichtungen dieses VERANTWORTLICHEN vertraglich oder von Rechts wegen übernommen hat, kann die BETROFFENE PERSON ihre Rechte entweder gegenüber dem Nachfolgeunternehmen, falls zutreffend, oder anderweitig gegenüber CGI France SAS geltend machen. In einem solchen Fall hat die BETROFFENE PERSON das Recht, eine Beschwerde bei einem Gericht oder einer ZUSTÄNDIGEN DATENSCHUTZBEHÖRDE einzureichen, das/die für diesen VERANTWORTLICHEN zuständig gewesen wäre oder das/die für CGI France SAS zuständig ist. In jedem Fall hat die BETROFFENE PERSON das Recht, direkt bei der ZUSTÄNDIGEN DATENSCHUTZBEHÖRDE des MITGLIEDSTAATS, in dem sie ihren gewöhnlichen Aufenthalt, ihren Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes hat, eine Klage einzureichen oder in dem MITGLIEDSTAAT, in dem CGI eine Niederlassung hat oder in dem die BETROFFENE PERSON ihren gewöhnlichen Aufenthalt hat, gerichtliche Rechtsbehelfe gegen CGI einzulegen, um eine Verletzung der in diesen BCR-P garantierten Rechte geltend zu machen, und hat gegebenenfalls Anspruch auf Ersatz des materiellen oder immateriellen Schadens, der sich aus dieser Verletzung ergibt.
CGI France SAS trägt auch die Beweislast für den Nachweis, dass CGI oder ein außerhalb des EWR ansässiger DRITTER nicht für einen angeblichen Verstoß gegen die Richtlinie haftbar ist. Falls jedoch ein nachgewiesener Verstoß unter diesen Voraussetzungen besteht, wird CGI France SAS alle erforderlichen Schritte unternehmen, um den Verstoß zu beheben und Schadensersatzzahlungen für nachgewiesene Schäden leisten. Eine solche von CGI France SAS zu leistende Entschädigung muss von CGI Inc., dem beherrschenden Unternehmen aller CGI-Tochtergesellschaften, abgesichert werden, wodurch bestätigt wird, dass CGI France SAS die Haftung für die Handlungen der CGI-Tochtergesellschaften, die außerhalb der EU an diese Richtlinie gebunden sind, übernommen hat und über ausreichende Mittel verfügt, um den aus dem Verstoß gegen diese Richtlinie resultierenden Schaden zu ersetzen.
Darüber hinaus hat der VERANTWORTLICHE das Recht, diese BCR-P gegen jede CGI GESELLSCHAFT durchzusetzen, die PERSONENBEZOGENE DATEN in seinem Namen verarbeitet und gegen diese BCR-P verstößt. Falls ein solcher Verstoß eine CGI GESELLSCHAFT oder einen von CGI beauftragten externen Unterauftragsverarbeiter außerhalb der EU betrifft, hat der VERANTWORTLICHE das Recht, diese BCR-P gegen CGI France SAS durchzusetzen, die die Haftung in der EU/im EWR übernimmt, wie weiter oben in diesem Artikel beschrieben. Der VERANTWORTLICHE hat Anspruch auf Entschädigung und gerichtliche Rechtsmittel unter den Bedingungen, die in der entsprechenden Vereinbarung zwischen CGI und dem VERANTWORTLICHEN festgelegt sind.
Das in diesem Abschnitt beschriebene Verfahren gilt auch für die Ausübung des Rechts einer BETROFFENEN PERSON auf Auskunft, Aktualisierung oder Löschung ihrer PERSONENBEZOGENEN DATEN.
Wenn eine BETROFFENE PERSON eine Beschwerde oder einen Antrag direkt an CGI als AUFTRAGSVERARBEITER richtet, informiert CGI den VERANTWORTLICHEN über die Beschwerde oder den Antrag, und CGI ist rechtlich nicht für deren Bearbeitung verantwortlich. CGI ist nur für die Bearbeitung dieser Anfragen gemäß den Weisungen VERANTWORTLICHEN verantwortlich. Wenn der VERANTWORTLICHE faktisch untergegangen ist, nicht mehr existiert oder zahlungsunfähig geworden ist, bearbeitet CGI solche Anfragen direkt, soweit möglich, in Übereinstimmung mit dem entsprechenden CGI-Verfahren.
Jede derartige Beschwerde oder Anfrage wird von CGI zu gegebener Zeit in Übereinstimmung mit dem entsprechenden CGI-Verfahren bearbeitet.
Sofern CGI nicht ein spezielles Anfrage- oder Beschwerdeformular oder eine Kontaktadresse als Teil der für den VERANTWORTLICHEN erbrachten Dienstleistungen zur Verfügung gestellt hat, können die BETROFFENEN PERSONEN ihre Anfragen oder Beschwerden wie im Abschnitt "Kommunikation" dieser BCR-P angegeben einreichen.
CGI stellt sicher, dass alle relevanten Informationen, die sie von der BETROFFENEN PERSON erhält, an den VERANTWORTLICHEN weitergeleitet werden, und weist diesen ausdrücklich darauf hin, dass es in der Verantwortung des VERANTWORTLICHEN liegt, solche Beschwerden oder Anfragen zu bearbeiten.
Im Einklang mit den in diesen BCR-P enthaltenen Grundsätzen wird CGI ein angemessenes Schutzniveau für die von ihr verarbeiteten PERSONENBEZOGENEN DATEN gewährleisten.
Um sicherzustellen, dass diese Grundsätze bei der VERARBEITUNG PERSONENBEZOGENER DATEN durch CGI tatsächlich berücksichtigt werden, wird CGI während der Entwicklungs- und Erbringungszyklen aller Projekte oder Dienstleistungen, die eine VERARBEITUNG PERSONENBEZOGENER DATEN beinhalten, datenschutzrechtliche Beschränkungen ermitteln und umsetzen.
Wenn CGI als AUFTRAGSVERARBEITER tätig ist, kann der VERANTWORTLICHE verlangen, dass CGI mit ihm zusammenarbeitet und relevante Informationen bereitstellt, damit der VERANTWORTLICHE eine Datenschutz-Folgenabschätzung durchführen kann. CGI stellt der VERANTWORTLICHEN STELLE alle ihr zur Verfügung stehenden relevanten Informationen zur Verfügung und stellt gleichzeitig sicher, dass sie bei der Durchführung einer solchen Folgenabschätzung keine Rechtsberatung leistet.
12.1Bezüglich der BCR-P-Inhalte
CGI wird das Bewusstsein für diese BCR-P schärfen, um ihre Einhaltung zu fördern.
CGI stellt sicher, dass der VERANTWORTLICHE leichten Zugang zu diesen BCR-P hat, indem sie insbesondere eine öffentliche Version auf ihrer Website zur Verfügung stellt und sie durch Verweis in die mit dem VERANTWORTLICHEN geschlossene Vereinbarung aufnimmt. Die öffentliche Fassung dieser BCR-P wird mindestens die wichtigsten Anforderungen der BCR-P enthalten, auf die in den Abschnitten 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 14, 16 der BCR-P und in Anhang A Bezug genommen wird.
12.2 Bezüglich der Datenverarbeitung
Wenn CGI als AUFTRAGSVERARBEITER tätig ist, stellt CGI dem VERANTWORTLICHEN auf Anfrage relevante Informationen zur Verfügung, die es ihm ermöglichen, seinen eigenen Verpflichtungen gegenüber den BETROFFENEN PERSONEN nachzukommen. Sofern in einer vertraglichen Vereinbarung nicht anders angegeben, ist CGI nicht verpflichtet, die BETROFFENEN PERSONEN direkt zu informieren, da diese Verpflichtungen in der Verantwortung des VERANTWORTLICHEN bleiben.
12.3 Benachrichtigung bei Verletzung des Schutzes PERSONENBEZOGENER DATEN
Wenn CGI oder ein von CGI beauftragter externer Unterauftragsverarbeiter einen Sicherheitsvorfall feststellt, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete PERSONENBEZOGENE DATEN führt, wird CGI in Übereinstimmung mit den Sicherheitsrichtlinien und -standards von CGI unverzüglich den VERANTWORTLICHEN über den Sicherheitsvorfall und den aktuellen Stand informieren und, wenn dies in der entsprechenden Vereinbarung vereinbart wurde, auch die ZUSTÄNDIGE DATENSCHUTZBEHÖRDE und/oder die BETROFFENEN PERSONEN, wenn die Verletzung der Rechte und Freiheiten der BETROFFENEN PERSONEN wahrscheinlich ein hohes Risiko darstellt. In ähnlicher Weise und aus Gründen der Klarheit wird, wie in der entsprechenden Vereinbarung festgelegt, CGI France SAS benachrichtigt werden, falls ein von CGI beauftragter externer Unterauftragsverarbeiter eine Verletzung des Schutzes PERSONENBEZOGENER DATEN feststellt. Alle Verletzungen des Schutzes PERSONENBEZOGENER DATEN sind zu dokumentieren und den ZUSTÄNDIGEN DATENSCHUTZAUFSICHTSBEHÖRDEN auf Anfrage zur Verfügung zu stellen.
12.4 Zusammenarbeit mit den Datenschutzbehörden
CGI ist bestrebt, enge Beziehungen zu den Datenschutzbehörden zu unterhalten. CGI kooperiert mit den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN, einschließlich der für den jeweiligen VERANTWORTLICHEN ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN, in Bezug auf alle ihre Anfragen, die in Übereinstimmung mit dem ANWENDBAREN DATENSCHUTZRECHT gestellt werden, einschließlich aller Prüfungsanfragen. CGI wird auch den Empfehlungen der ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN in Bezug auf die von CGI als AUFTRAGSVERARBEITER durchgeführte VERARBEITUNG PERSONENBEZOGENER DATEN nachkommen.
12.5 Wann die LOKALE GESETZGEBUNG Vorrang vor diesen BCR-P hat
CGI GESELLSCHAFTEN werden die BCR-P nur dann als Instrument für ÜBERMITTLUNGEN verwenden, wenn sie zu dem Schluss gekommen sind, dass die Gesetze und Praktiken des DRITTLANDES, in das die PERSONENBEZOGENEN DATEN übermittelt werden, die für die VERARBEITUNG der PERSONENBEZOGENEN DATEN durch die DATENIMPORTIERENDE CGI GESELLSCHAFT gelten, einschließlich etwaiger Anforderungen zur Offenlegung PERSONENBEZOGENER DATEN oder Maßnahmen, die den Zugriff durch Behörden genehmigen, die Erfüllung ihrer Verpflichtungen gemäß den BCR-P nicht verhindern.
Dies basiert auf der Auffassung, dass Gesetze und Praktiken, die den Kern der Grundrechte und Grundfreiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Wahrung eines der in Artikel 23 Absatz 1 DSGVO aufgeführten Ziele erforderlich und verhältnismäßig ist, nicht im Widerspruch zu den BCR-P stehen. Bei der Bewertung der Gesetze und Praktiken des DRITTLANDES, die sich auf die Einhaltung der in den BCR-P enthaltenen Verpflichtungen auswirken können, berücksichtigen die CGI GESELLSCHAFTEN insbesondere die folgenden Elemente:
(i) die besonderen Umstände der ÜBERMITTLUNG(EN) oder der Reihe von ÜBERMITTLUNGEN sowie etwaige geplante Weiterübermittlungen innerhalb desselben DRITTLANDES oder in ein anderes DRITTLAND, einschließlich:
(ii) die Gesetze und Praktiken des DRITTLANDES, in das die Daten übertragen werden, die im Hinblick auf die Umstände der ÜBERTRAGUNG relevant sind, einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden oder die Gewährung des Zugriffs durch diese Behörden vorschreiben, und derjenigen, die den Zugriff auf diese Daten während der ÜBERMITTLUNG zwischen dem Land der DATENEXPORTIERENDEN CGI GESELLSCHAFT und dem Land der DATENEXPORTIERENDEN CGI GESELLSCHAFT vorsehen, sowie die geltenden Beschränkungen und Schutzmaßnahmen;
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zur Ergänzung der Sicherheitsvorkehrungen gemäß den BCR-P getroffen wurden, einschließlich Maßnahmen, die während der ÜBERMITTLUNG und bei der VERARBEITUNG der PERSONENBEZOGENEN DATEN im Bestimmungsland angewendet werden.
Sollten zusätzlich zu den im BCR-P vorgesehenen Schutzmaßnahmen weitere Schutzmaßnahmen erforderlich sein, werden CGI France SAS und der Chief Privacy Officer darüber informiert und in die entsprechende Bewertung einbezogen.
Die CGI GESELLSCHAFTEN müssen diese Bewertung sowie die ausgewählten und umgesetzten zusätzlichen Maßnahmen angemessen dokumentieren. Sie müssen diese Unterlagen den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN und dem VERANTWORTLICHEN auf Anfrage zur Verfügung stellen.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT muss die DATENEXPORTIERENDE CGI GESELLSCHAFT unverzüglich benachrichtigen, wenn sie bei der Verwendung der BCR-P als Instrument für ÜBERMITTLUNGEN und während der Dauer der BCR-P-Mitgliedschaft Grund zu der Annahme hat, dass sie Gesetzen oder Praktiken unterliegt oder unterliegen wird, die sie an der Erfüllung ihrer Verpflichtungen gemäß der BCR-P hindern würden, einschließlich nach einer Änderung der Gesetze in dem DRITTLAND oder einer Maßnahme (z. B. einer Offenlegungsanforderung). Die DATENEXPORTIERENDE CGI GESELLSCHAFT leitet die Benachrichtigung an den VERANTWORTLICHEN weiter. Diese Informationen sollten auch an CGI France SAS weitergeleitet werden.
Nach Überprüfung dieser Benachrichtigung sollte sich die DATENEXPORTIERENDE CGI GESELLSCHAFT zusammen mit CGI France SAS und dem Chief Privacy Officer und gegebenenfalls in Absprache mit dem VERANTWORTLICHEN verpflichten, unverzüglich zusätzliche Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) zu ermitteln, die von der DATENEXPORTIERENDEN CGI GESELLSCHAFT und/oder der DATENIMPORTIERENDEN CGI GESELLSCHAFT zu ergreifen sind, damit diese ihren Verpflichtungen gemäß BCR-P nachkommen können. Das Gleiche gilt, wenn eine DATENEXPORTIERENDE CGI GESELLSCHAFT Grund zu der Annahme hat, dass eine DATENIMPORTIERENDE CGI GESELLSCHAFT ihren Verpflichtungen gemäß den BCR-P nicht mehr nachkommen kann.
Wenn die DATENEXPORTIERENDE CGI GESELLSCHAFT zusammen mit CGI France SAS und dem Chief Privacy Officer zu der Einschätzung gelangt, dass die BCR-P – selbst wenn sie durch zusätzliche Maßnahmen ergänzt wird – für eine ÜBERMITTLUNG oder eine Reihe von ÜBERMITTLUNGEN nicht eingehalten werden kann, oder wenn sie von den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN oder dem VERANTWORTLICHEN dazu aufgefordert wird, verpflichtet sie sich, die betreffende ÜBERMITTLUNG oder Reihe von ÜBERMITTLUNGEN sowie alle ÜBERMITTLUNGEN, bei denen dieselbe Bewertung und Begründung zu einem ähnlichen Ergebnis führen würde, auszusetzen, bis die Einhaltung wieder gewährleistet ist oder die ÜBERMITTLUNG beendet wird.
Nach einer solchen Aussetzung muss die DATENEXPORTIERENDE CGI GESELLSCHAFT die ÜBERMITTLUNG oder die Reihe von ÜBERMITTLUNGEN beenden, wenn die BCR-P nicht eingehalten werden können und die Einhaltung der BCR-P nicht innerhalb eines Monats nach der Aussetzung wiederhergestellt wird. In diesem Fall sollten PERSONENBEZOGENE DATEN, die vor der Aussetzung ÜBERMITTELT wurden, sowie alle Kopien davon nach Wahl der DATENEXPORTIERENDEN CGI GESELLSCHAFT an diese zurückgegeben oder vollständig vernichtet werden.
CGI France SAS und der Chief Privacy Officer informieren alle anderen CGI GESELLSCHAFTEN über die durchgeführte Bewertung und deren Ergebnisse, damit die festgelegten zusätzlichen Maßnahmen angewendet werden, falls eine andere CGI GESELLSCHAFT ähnliche Übertragungen durchführt, oder, falls keine wirksamen zusätzlichen Maßnahmen getroffen werden können, die betreffenden ÜBERTRAGUNGEN ausgesetzt oder beendet werden.
Die DATENEXPORTIERENDEN CGI GESELLSCHAFTEN überwachen fortlaufend und gegebenenfalls in Zusammenarbeit mit den DATENIMPORTIERENDEN CGI GESELLSCHAFTEN die Entwicklungen in den DRITTLÄNDERN, in die die DATENEXPORTIERENDEN CGI GESELLSCHAFTEN PERSONENBEZOGENE DATEN ÜBERMITTELT haben, die sich auf die ursprüngliche Bewertung des Schutzniveaus und die entsprechend getroffenen Entscheidungen über solche ÜBERMITTLUNGEN auswirken könnten.
12.6 Behördliche Zugriffsanfragen
Unbeschadet der Verpflichtung der DATENIMPORTIERENDEN CGI GESELLSCHAFT, die DATENEXPORTIERENDE CGI GESELLSCHAFT über ihre Unfähigkeit zur Einhaltung der in diesen BCR-P enthaltenen Verpflichtungen zu informieren (vgl. Abschnitt 12.5), wird die DATENIMPORTIERENDE CGI GESELLSCHAFT die DATENEXPORTIERENDE CGI GESELLSCHAFT unverzüglich benachrichtigen, wenn sie:
(i) eine rechtlich bindende Anfrage einer öffentlichen Behörde gemäß den Gesetzen des Bestimmungslandes oder eines anderen DRITTLANDES zur Offenlegung von im Rahmen dieser BCR-P ÜBERMITTELTEN PERSONENBEZOGENEN DATEN erhält. Diese Benachrichtigung enthält Informationen über die angeforderten Daten, die anfragende Behörde, die Rechtsgrundlage der Anfrage sowie die ergriffene Reaktion;
(ii) Kenntnis über einen direkten Zugriff öffentlicher Stellen auf PERSONENBEZOGENE DATEN erhält, die im Rahmen dieser BCR-P übermittelt wurden, gemäß den Gesetzen des Bestimmungslandes. Diese Mitteilung enthält alle der DATENIMPORTIERENDEN CGI GESELLSCHAFT verfügbaren Informationen.
Die DATENEXPORTIERENDE CGI GESELLSCHAFT wird diese Benachrichtigung an den VERANTWORTLICHEN weiterleiten.
Sofern die DATENIMPORTIERENDE CGI GESELLSCHAFT durch Gesetz daran gehindert ist, die DATENEXPORTIERENDE CGI GESELLSCHAFT zu benachrichtigen, wird sie ihr Bestes tun, eine Aufhebung dieser Verpflichtung zu erwirken, um so viele Informationen wie möglich und so bald wie möglich übermitteln zu können. Diese Bemühungen werden dokumentiert und auf Anfrage der DATENEXPORTIERENDEN CGI GESELLSCHAFT nachgewiesen.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT wird der DATENEXPORTIERENDEN CGI GESELLSCHAFT regelmäßig möglichst viele relevante Informationen über eingegangene Anfragen zur Verfügung stellen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörden, ggf. eingelegte Rechtsmittel und deren Ausgang). Ist es dem Unternehmen vollständig oder teilweise untersagt, diese Informationen zu übermitteln, so wird es die DATENEXPORTIERENDE CGI GESELLSCHAFT unverzüglich darüber informieren, die diese Informationen an den VERANTWORTLICHEN weiterleitet.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT bewahrt die vorgenannten Informationen so lange auf, wie die PERSONENBEZOGENEN DATEN den Schutzbestimmungen der BCR-P unterliegen, und macht diese auf Anfrage den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN zugänglich.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT wird die Rechtmäßigkeit der Offenlegungsanfrage prüfen – insbesondere, ob die anfragende Behörde im Rahmen ihrer Zuständigkeit handelt – und die Anfrage anfechten, wenn nach sorgfältiger Prüfung berechtigte Zweifel an ihrer Rechtmäßigkeit im Lichte des nationalen Rechts, des Völkerrechts oder der Prinzipien der internationalen Höflichkeit bestehen.
Unter denselben Bedingungen wird die DATENIMPORTIERENDE CGI GESELLSCHAFT auch etwaige Rechtsmittel einlegen.
Bei der Anfechtung einer Anfrage wird die DATENIMPORTIERENDE CGI GESELLSCHAFT einstweilige Maßnahmen beantragen, um die Wirkungen der Anfrage auszusetzen, bis die zuständige Justizbehörde in der Sache entschieden hat. Sie wird die angeforderten PERSONENBEZOGENEN DATEN nicht offenlegen, es sei denn, sie ist gemäß den geltenden Verfahrensvorschriften dazu verpflichtet.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT dokumentiert ihre rechtliche Bewertung und etwaige Einwände gegen die Offenlegung und stellt diese, soweit rechtlich zulässig, der DATENEXPORTIERENDEN CGI GESELLSCHAFT und auf Anfrage den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN zur Verfügung. Der VERANTWORTLICHE erhält die Bewertung über die DATENEXPORTIERENDE CGI GESELLSCHAFT.
In jedem Fall wird die DATENIMPORTIERENDE CGI GESELLSCHAFT auf Offenlegungsanfragen nur das Minimum an Informationen übermitteln, das zur Beantwortung der Anfrage unbedingt erforderlich ist, und sich dabei auf eine angemessene Auslegung des Umfangs der Anfrage stützen.
DATENÜBERMITTLUNGEN an öffentliche Stellen durch eine CGI GESELLSCHAFT, die diesen BCR-P unterliegt, dürfen in keinem Fall massenhaft, unverhältnismäßig oder wahllos erfolgen und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig ist.
Nach Unionsrecht nicht zulässige ÜBERMITTLUNGEN oder Offenlegungen
Für CGI GESELLSCHAFTEN mit Sitz im EWR gilt, dass Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines DRITTLANDES, die einen VERANTWORTLICHEN oder AUFTRAGSVERARBEITER zur ÜBERMITTLUNG oder Offenlegung PERSONENBEZOGENER DATEN verpflichten, nur dann anerkannt oder in irgendeiner Weise vollstreckbar sind, wenn sie auf einem internationalen Abkommen beruhen, beispielsweise einem Rechtshilfeabkommen, das zwischen dem ersuchenden DRITTLAND und der Union oder einem MITGLIEDSTAAT in Kraft ist, unbeschadet anderer Gründe für die ÜBERMITTLUNG gemäß Kapitel V der DSGVO.
CGI entwickelt und stellt ein aktuelles jährliches Schulungsproramm für den Datenschutz bereit, damit alle CGI PARTNER die in den BCR-P enthaltenen Grundsätze und Verfahren kennen.
Das Schulungsprogramm bietet den CGI PARTNERN Folgendes:
Mit diesem Schulungsprogramm soll sichergestellt werden, dass die CGI PARTNER, die dauerhaft oder regelmäßig Zugang zu PERSONENBEZOGENEN DATEN haben, auf angemessene Weise effektiv geschult werden. Dazu gehören insbesondere CGI PARTNER, die an der Erhebung PERSONENBEZOGENER DATEN oder an der Entwicklung von Tools zur VERARBEITUNG PERSONENBEZOGENER DATEN beteiligt sind.
Neben dem Einsatz geeigneter Datenschutzschulungen wird CGI auch weiterhin eine Datenschutzkultur innerhalb des Unternehmens fördern. Zu diesem Zweck wird CGI spezielle Kommunikationsmaßnahmen durchführen, darunter Sensibilisierungskampagnen, datenschutzrelevante Materialien, Webinare und Foren, um Anleitungen zu geben und Fragen zu allen Themen im Zusammenhang mit den BCR-P zu beantworten.
Datenschutzschulungen sind für alle CGI PARTNER obligatorisch.
CGI wird eine Überprüfung der Einhaltung aller Aspekte der BCR-P durch CGI in ihr internes Auditprogramm integrieren.
Im Rahmen des internen Auditprozesses wird Folgendes festgelegt:
Das interne Auditverfahren kann bei Bedarf überarbeitet werden. CGI wird jedoch regelmäßig interne Audits durch ein qualifiziertes Audit-Team durchführen. Die Unabhängigkeit der für die Audits verantwortlichen Personen bei der Wahrnehmung ihrer Aufgaben im Zusammenhang mit diesen Audits wird gewährleistet. Die Datenschutzbeauftragten sollten nicht für die Überprüfung der Einhaltung der BCR-P verantwortlich sein, wenn dies zu einem Interessenkonflikt führen kann. Ein solches Programm wird von der internen Auditabteilung von CGI überwacht.
Die Ergebnisse des Audits werden dem Vorstand von CGI Inc., dem Vorstand von CGI France SAS, sowie der Datenschutzorganisation mitgeteilt. Daraufhin werden Maßnahmen festgelegt und priorisiert, sodass die Datenschutzorganisation einen Zeitplan für die Umsetzung von Korrektur- und Präventivmaßnahmen erstellen kann.
Die ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN sowie die für die Datenverarbeitung VERANTWORTLICHEN können Zugang zu den Prüfungsergebnissen verlangen.
Außerdem kann der VERANTWORTLICHE verlangen, dass CGI Audits durchführt, um die Einhaltung der einschlägigen vertraglichen Verpflichtungen und der BCR-P durch CGI oder ihre Unterauftragsverarbeiter zu überprüfen. Diese Audits werden von dem VERANTWORTLICHEN oder einer aus unabhängigen Mitgliedern bestehenden Prüfstelle durchgeführt.
Die Umsetzung der BCR-P setzt voraus, dass alle teilnehmenden CGI GESELLSCHAFTEN, die in Anhang A aufgeführt sind, sich in vollem Umfang an ihrer Anwendung beteiligen. Sie bleiben in jedem Fall für die Einhaltung dieser BCR-P selbst verantwortlich.
CGI wird eine interne Datenschutzorganisation einrichten, die für die Festlegung geeigneter Richtlinien, Verfahren und Standards für alle teilnehmenden CGI GESELLSCHAFTEN sowie für die Überwachung der Einhaltung dieser BCR-P verantwortlich ist.
Insbesondere wird CGI einen Chief Privacy Officer (CPO) und ein Netzwerk von Datenschutzbeauftragten und regionalen Privacy Business Partnern in Übereinstimmung mit dem ANWENDBAREN DATENSCHUTZRECHT benennen. Ein Shared-Services-Team für Records Management unterstützt die Organisation bei der Anwendung von Vorschriften zur Datenaufbewahrung und bei der Erfüllung von Verpflichtungen im Bereich Records Management.
Der CPO untersteht direkt dem Executive Vice-President, Legal and Economic Affairs, and Corporate Secretary, der wiederum direkt dem Chief Executive Officer unterstellt ist. Der CPO wird vom Executive Vice-President, Legal and Economic Affairs, and Corporate Secretary unterstützt und kann sich bei Fragen oder Problemen, die sich aus der Ausübung seiner Aufgaben ergeben, an diesen wenden. In Bezug auf die BCR-P hat der CPO hauptsächlich folgende Aufgaben: •
Festlegung der Strategie der Gruppe in Bezug auf die Umsetzung dieser Richtlinie und der Verfahren, die in der gesamten Organisation eingeführt werden sollen, um sicherzustellen, dass jede Strategische Business Unit (SBU) und jede Business Unit (BU) diese Richtlinie einhält;
Der CPO sollte keine Aufgaben haben, die zu Interessenkonflikten führen könnten. Der CPO sollte nicht für die Durchführung der BCR-P-Audits zuständig sein, wenn solche Situationen zu einem Interessenkonflikt führen können.
Für jede der strategischen Geschäftseinheiten von CGI, in denen die in den wichtigsten geografischen Regionen tätigen CGI GESELLSCHAFTEN zusammengefasst sind, hat CGI einen Privacy Business Partner für die strategische Geschäftseinheit ernannt, der sich auf ein Netzwerk von Privacy Business Partnern stützen kann, die auf lokaler Ebene ernannt wurden. Lokale Datenschutzexperten stellen sicher, dass die BCR-P auf der Ebene der strategischen Geschäftseinheit ordnungsgemäß umgesetzt werden und dass alle auf dieser Ebene eingereichten Beschwerden, einschließlich der Beschwerden von BETROFFENEN PERSONEN, angemessen und insbesondere in Übereinstimmung mit dem in den BCR-P beschriebenen Verfahren behandelt werden. Sie überwachen auch die Datentransfermechanismen und stellen die Einhaltung der damit verbundenen Verpflichtungen sicher.
In jedem Fall kann der CPO direkt über die in Abschnitt 18 unten angegebenen Kontaktdaten kontaktiert werden. CGI veröffentlicht die Kontaktdaten des CPO auch im Intranet von CGI und auf der öffentlich zugänglichen Website von CGI.
CGI führt ein Verzeichnis über die von ihr als AUFTRAGSVERARBEITER im Auftrag eines VERANTWORTLICHEN durchgeführten Verarbeitungstätigkeiten (das "Verarbeitungsverzeichnis"), das die folgenden Informationen enthält:
CGI stellt sicher, dass jede neue VERARBEITUNG PERSONENBEZOGENER DATEN im Verarbeitungsverzeichnis mit relevanten Informationen über den Kontext jeder VERARBEITUNG PERSONENBEZOGENER DATEN erfasst wird. CGI stellt die Aufzeichnungen über die VERARBEITUNG den AUFSICHTSBEHÖRDEN auf Anfrage zur Verfügung.
Diese BCR-P können von Zeit zu Zeit nach Bedarf und nach einem bestimmten Verfahren geändert werden. Wenn sich Änderungen wesentlich auf die BCR oder das gebotene Schutzniveau auswirken, wird CGI die ZUSTÄNDIGE DATENSCHUTZBEHÖRDE und alle in Anhang A aufgeführten CGI GESELLSCHAFTEN unverzüglich informieren. Über alle anderen Änderungen der BCR-P informiert CGI mindestens einmal jährlich allen nachstehend aufgeführten Gruppen:
Wenn CGI als AUFTRAGSVERARBEITER auftritt, werden alle Änderungen dieser BCR-P den VERANTWORTLICHEN rechtzeitig mitgeteilt, um ihnen die Möglichkeit zu geben, der Änderung zu widersprechen oder den Vertrag zu kündigen, bevor die Änderung vorgenommen wird.
CGI wird eine aktuelle Liste der an diese BCR-P gebundenen CGI GESELLSCHAFTEN führen, und die Datenschutzorganisation wird alle Aktualisierungen der Regeln verfolgen und aufzeichnen, sicherstellen, dass die Informationen zu gegebener Zeit an die oben genannten Beteiligten weitergegeben werden, und den VERANTWORTLICHEN oder den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN auf Anfrage die erforderlichen Informationen zur Verfügung stellen.
CGI verpflichtet sich, keine PERSONENBEZOGENEN DATEN an eine neue CGI GESLLSCHAFT zu übermitteln, die nicht wirksam durch diese BCR-P gemäß dem in Abschnitt 3 festgelegten Verfahren gebunden ist.
Wenn eine in Anhang A aufgeführte nicht dem EWR angehörende CGI GESELLSCHAFT künftig nicht mehr zur Gruppe der durch die BCR-P gebundenen CGI GESELLSCHAFTEN gehört, muss sichergestellt werden, dass sie die BCR-P weiterhin auf die VERARBEITUNG der PERSONENBEZOGENEN DATEN anwendet, die ihr im Rahmen der BCR übermittelt wurden, es sei denn, das ehemalige Mitglied löscht zum Zeitpunkt des Ausscheidens aus der Gruppe alle diese Daten oder gibt sie vollständig an Unternehmen zurück, für die die BCR-P weiterhin gelten.
Fragen, Anfragen oder Hinweise zu diesen BCR-P können an folgende E-Mail-Adresse gerichtet werden: privacy@cgi.com oder per Post an das Büro des CGI Chief Privacy Officers unter der Adresse Immeuble Carré Michelet, 12 Cours Michelet, 92800 Puteaux, Frankreich, oder durch das Ausfüllen des folgenden Online Formulars.
Mitgeltende Dokumente
Referenzen
Richtlinien-Besitzer:
Freigebende Stelle:
Änderungshistorie
| 1.0 | Originales BCR-P Dokument | |
| 1.1 | 16.10.2019 | Aufteilung in BCR-Processor (BCR-P) und BCR-Controller (BCR-C) |
| 1.2 | 26.11.2019 | Letzte Änderungen nach Überprüfung durch Zuständige Datenschutzaufsichtsbehörde vor der Übersetzung |
| 1.3 | 18.02.2020 | Klarstellung im Abschnitt 6.1 |
| 1.4 | 03.03.2020 | Abschließende Überprüfung anhand der Referenz – geringfügige Änderungen vorgenommen |
| 1.5 | 13.05.2020 | Hinweise der zuständigen Datenschutzaufsichtsbehörde berücksichtigt |
| 1.6 | 10.09.2020 | Aktualisiert nach konsolidierten Kommentaren anderer Datenschutzaufsichtsbehörden |
| 1.7 - 1.9 | 12.02.2021, 15.03.2021 | Aktualisiert, um die Auswirkungen von Schrems II zu berücksichtigen |
| 2.0 | 28.07.2021 | Endgültige Fassung nach formeller Genehmigung durch die CNIL mit einer gering-fügigen Änderung in Abschnitt 13.5 zur Anpassung an die neuesten Leitlinien des EDSA. |
| 2.1 | 27.09.2021 | Abschnitt 6.2 wurde unter Bezugnahme auf die neuen Standardvertragsklauseln für 2021 aktualisiert. |
| 2.2 | Nov. 2022 | Jährliche Überprüfung, aktualisierter Anhang A – Liste der CGI Gesellschaften und um Änderungen in der Organisation widerzuspiegeln. |
| 3.0 | Mrz. 2025 | Jährliche Überprüfung – Geringfügige textliche Änderungen; Änderungen zur Berücksichtigung von Aktualisierungen der internen Prozesse; Änderungen zur Aktualisierung der Abschnitte über lokale Gesetze und Praktiken sowie Zugangsanfragen von Behörden; aktualisierter Anhang A – Liste der CGI-Einrichtungen. Endgültige Fassung nach formaler Überprüfung durch die CNIL. |
Die BCR Controller (BCR C) kommen zur Anwendung, wenn CGI als Verantwortlicher handelt und wenn CGI als Auftragsverarbeiter im Namen von CGI tätig wird.
Diese deutsche Sprachfassung dient lediglich der einfacheren Verständlichkeit. Die englische Sprachfassung dieses Dokuments stellt die führende und einzig verbindliche Sprachfassung dar.
Für die Zwecke dieser „Verbindlichen internen Datenschutzvorschriften – Auftragsverarbeiter“ („Binding Corporate Rules – Processor“ (kurz: „BCR-P“)) gelten die folgenden Definitionen:
„AUFTRAGSVERARBEITER“ bezieht sich auf jede juristische Person, die im Auftrag eines VERANTWORTLICHEN handelt.
„ANWENDBARES DATENSCHUTZRECHT“ bezieht sich auf (i) die Europäische Verordnung 2016/679 über die VERARBEITUNG PERSONENBEZOGENER DATEN zum Zeitpunkt ihres Inkrafttretens und (ii) alle Ausführungsgesetze zu dieser Datenschutz-Grundverordnung.
„BETROFFENE PERSON“ bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, deren PERSONENBEZOGENE DATEN von CGI VERARBEITET werden, einschließlich aller CGI PARTNER.
"CGI" oder „CGI GESELLSCHAFT(EN)“ bezieht sich je nach Fall auf eine, mehrere oder alle beteiligten juristischen Personen, die von CGI Inc. kontrolliert werden oder ihr gehören, die PERSONENBEZOGENE DATEN verarbeiten und deren Einhaltung der BCR-P nicht gegen lokale Gesetze, Verordnungen, Satzungen, Gerichtsbeschlüsse, verbindliche Normen oder verbindliche Verpflichtungen verstößt oder diesen widerspricht. Die teilnehmenden CGI GESELLSCHAFTEN sind in Anhang A aufgeführt. Diese Liste kann von Zeit zu Zeit aktualisiert werden.
„CGI PARTNER“ bezieht sich auf einen oder mehrere CGI-Mitarbeiter.
"DSGVO" bezeichnet die Europäische Verordnung 2016/679 mit dem Titel Datenschutz-Grundverordnung.
„DATEN EXPORTIERENDE CGI GESELLSCHAFT“ bezeichnet die CGI GESELLSCHAFT, die als AUFTRAGSVERARBEITER fungiert und PERSONENBEZOGENE DATEN in ein DRITTLAND übermittelt.
„DATEN IMPORTIERENDE CGI GESELLSCHAFT“ bezeichnet die CGI GESELLSCHAFT, die als AUFTRAGSVERARBEITER in einem DRITTLAND fungiert und PERSONENBEZOGENE DATEN von einer DATENEXPORTIERENDEN CGI GESELLSCHAFT erhält.
„DRITTLAND“ bezeichnet jedes Land außerhalb des EWR, das gemäß der DSGVO nicht als Land mit einem angemessenen Schutzniveau anerkannt wurde.
„EUROPÄISCHER WIRTSCHAFTSRAUM“ oder „EWR“ bezieht sich auf die EU-Mitgliedstaaten (Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern) sowie Norwegen, Liechtenstein und Island, im Folgenden auch als „MITGLIEDSTAATEN“ bezeichnet.
„LOKALE GESETZGEBUNG“ hat die Bedeutung, die diesem Ausdruck in Abschnitt 12.5 zugeschrieben wird.
„PERSONENBEZOGENE DATEN“ sind alle Informationen über eine BETROFFENE PERSON, die direkt oder indirekt identifiziert werden können, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den PERSONENBEZOGENEN DATEN gehören auch SENSIBLE PERSONENBEZOGENE DATEN.
„VERANTWORTLICHER“ bezieht sich auf jede juristische Person, die allein oder gemeinsam mit anderen für die VERARBEITUNG VERANTWORTLICHEN die Zwecke und Mittel der VERARBEITUNG PERSONENBEZOGENER DATEN bestimmt.
"VERARBEITEN", "VERARBEITUNG" oder "VERARBEITET" bezieht sich auf jeden Vorgang oder jede Reihe von Vorgängen, die mit PERSONENBEZOGENEN DATEN durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Ändern, Abrufen, Abfragen (einschließlich Fernzugriff), Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Angleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.
"SENSIBLE PERSONENBEZOGENE DATEN" beziehen sich auf bestimmte Kategorien PERSONENBEZOGENER DATEN, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie auf die VERARBEITUNG genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten und von Daten zum Sexualleben oder die sexuelle Orientierung einer natürlichen Person.
"DRITTE" beziehen sich auf Lieferanten und Unterauftragnehmer von CGI sowie auf jede andere Einrichtung oder öffentliche Stelle, an die PERSONENBEZOGENE DATEN weitergegeben werden können.
„ZUSTÄNDIGE DATENSCHUTZBEHÖRDE“ bezeichnet die Aufsichtsbehörde, die für die CGI GESELLSCHAFT, die die Daten exportiert, zuständig ist.
"ÜBERMITTLUNG PERSONENBEZOGENER DATEN" bezieht sich auf die ÜBERMITTLUNG PERSONENBEZOGENER DATEN aus dem EUROPÄISCHEN WIRTSCHAFTSRAUM (EWR) in ein Land außerhalb des EWR.
Diese BCR-C gelten, wenn eine CGI GESELLSCHAFT als VERANTWORTLICHER und wenn eine CGI GESELLSCHAFT als INTERNER DATENVERARBEITER im Auftrag einer anderen CGI GESELLSCHAFT handelt.
Die Liste der CGI GESELLSCHAFTEN, die an die BCR-C gebunden sind, ist in Anhang A aufgeführt.
Die Kategorien der BETROFFENEN PERSONEN und PERSONENBEZOGENEN DATEN sowie die Art der VERARBEITUNG und deren Zwecke, die unter die BCR-C fallen, sind in Anhang B aufgeführt.
Die BCR-C gelten für alle ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN von CGI GESELLSCHAFTEN im EWR an CGI GESELLSCHAFTEN in einem DRITTLAND sowie für deren Weiterübermittlungen an andere CGI GESELLSCHAFTEN in einem DRITTLAND. Somit gelten die BCR-C für alle BETROFFENEN PERSONEN, deren PERSONENBEZOGENE DATEN im Rahmen der BCR-C von CGI GESELLSCHAFTEN übertragen werden, die unter den Anwendungsbereich des GELTENDEN DATENSCHUTZRECHTS fallen, wobei davon ausgegangen wird, dass die BCR-C für die ÜBERMITTLUNG PERSONENBEZOGENER DATEN von CGI GESELLSCHAFTEN in DRITTLÄNDERN an CGI GESELLSCHAFTEN gelten, die ebenfalls in DRITTLÄNDERN ansässig sind, soweit die DSGVO gemäß dem GELTENDEN DATENSCHUTZRECHT für eine solche VERARBEITUNG gilt.
3.1 Rechenschaftspflicht von CGI
Jede in Anhang A aufgeführte CGI GESELLSCHAFT, die als VERANTWORTLICHER oder INTERNER DATENVERARBEITER fungiert, ist für den Nachweis der Einhaltung der BCR-C verantwortlich.
3.2 Einhaltung der BCR-C durch CGI PARTNER
Alle CGI PARTNER sind an diese BCR-C gebunden, indem sie sich in allen Arbeitsverträgen verpflichten, die geltenden Vertraulichkeits- und Datenschutzverpflichtungen sowie die Richtlinien, Verfahren und Standards von CGI einzuhalten, die im Ethikkodex von CGI enthalten sind. CGI PARTNER werden diese BCR-C, soweit einschlägig, jährlich zusammen mit dem Ethikkodex anerkennen.
Wie in den Abschnitten 13.1 und 14 der BCR-C näher ausgeführt, werden die CGI PARTNER durch interne Kommunikation und Schulungen auf die BCR-C aufmerksam gemacht. CGI PARTNER werden auch darauf aufmerksam gemacht, dass die Nichteinhaltung des Ethikkodex und in diesem speziellen Fall der BCR-C zu Sanktionen gemäß den geltenden lokalen Gesetzen führen kann.
3.3 Compliance in Bezug auf Lieferanten und Subunternehmer von CGI sowie andere DRITTE
Jeder DRITTE, der PERSONENBEZOGENE DATEN im Auftrag von CGI VERARBEITET, ist verpflichtet, geeignete organisatorische Maßnahmen zu ergreifen, um die Einhaltung der Grundsätze und Anforderungen der BCR-C sicherzustellen.
Eine CGI GESELLSCHAFT, das als VERANTWORTLICHER oder INTERNER AUFTRAGSVERARBEITER fungiert, gestattet anderen CGI GESELLSCHAFTEN oder DRITTEN die VERARBEITUNG PERSONENBEZOGENER DATEN in ihrem Auftrag nur, wenn zwischen ihnen ein Vertrag besteht, der den in Artikel 28 Absatz 3 der DSGVO festgelegten Anforderungen entspricht.
3.4 Kündigung
Wenn eine DATENIMPORTIERENDE CGI GESELLSCHAFT nicht mehr an die BCR-C gebunden ist, kann sie die im Rahmen der BCR-C erhaltenen PERSONENBEZOGENEN DATEN aufbewahren, zurückgeben oder löschen. Wenn die DATENEXPORTIERENDE CGI GESELLSCHAFT und die DATENIMPORTIERENDE CGI GESELLSCHAFT vereinbaren, dass die PERSONENBEZOGENEN DATEN von der DATENIMPORTIERENDEN CGI GESELLSCHAFT aufbewahrt werden dürfen, muss der Schutz gemäß Kapitel V der DSGVO aufrechterhalten werden.
CGI GESELLSCHAFTEN müssen die folgenden Grundsätze einhalten:
(i) Transparenz, Fairness und Rechtmäßigkeit
CGI verarbeitet PERSONENBEZOGENE DATEN in Bezug auf die BETROFFENE PERSON rechtmäßig, fair und transparent gemäß den Anforderungen der BCR-C, insbesondere den Abschnitten 4.1 und 13 der BCR-C.
(ii) Festlegung eines Zwecks
Jede Verarbeitung PERSONENBEZOGENER DATEN durch CGI, insbesondere deren Erhebung, muss einem bestimmten Zweck dienen, der eindeutig und rechtmäßig sein muss. PERSONENBEZOGENE DATEN dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesem Zweck unvereinbar ist.
(iii) Datenminimierung
CGI erhebt PERSONENBEZOGENE DATEN nur in dem Umfang, der zur Erreichung des Zwecks der VERARBEITUNG erforderlich ist. Jedes Verarbeitungselement wird im Rahmen der frühen Lösungsentwurfsphasen überprüft und in den Datenschutzprüfungsprozess einbezogen, um sicherzustellen, dass die PERSONENBEZOGENEN DATEN angemessen und relevant sind und sich auf das beschränken, was für den Zweck der VERARBEITUNG erforderlich ist.
(iv) Qualität der PERSONENBEZOGENEN DATEN
Während des gesamten Lebenszyklus einer VERARBEITUNG stellt CGI sicher, dass die erhobenen PERSONENBEZOGENEN DATEN korrekt und aktuell bleiben. Es werden alle angemessenen Maßnahmen ergriffen, um sicherzustellen, dass unrichtige PERSONENBEZOGENE DATEN unverzüglich gelöscht oder berichtigt werden, einschließlich, aber nicht beschränkt auf Selbstbedienungsoptionen für BETROFFENE PERSONEN. Insbesondere stellt CGI den BETROFFENEN PERSONEN angemessene Mittel zur Verfügung, um Änderungen ihrer PERSONENBEZOGENEN DATEN zu beantragen.
CGI führt außerplanmäßige Audits durch, wie in Abschnitt 15 näher definiert.
(v) Beschränkung der Datenspeicherung
CGI stellt sicher, dass PERSONENBEZOGENE DATEN nicht länger gespeichert werden, als es für die Erreichung des Zwecks, für den die PERSONENBEZOGENEN DATEN erhoben wurden, unbedingt erforderlich ist. Daher legt CGI vor der Durchführung einer VERARBEITUNG eine angemessene Aufbewahrungsfrist fest. Dabei berücksichtigt CGI den Zeitraum, in dem die PERSONENBEZOGENEN DATEN zur Erreichung des Zwecks der VERARBEITUNG erforderlich sind, und berücksichtigt dabei die folgenden Faktoren:
(vi) Sicherheitsmaßnahmen
CGI wird geeignete technische und organisatorische Maßnahmen ergreifen, die mindestens den in den Sicherheitsrichtlinien und -standards von CGI vorgeschriebenen Maßnahmen entsprechen, wobei der Stand der Technik (d. h. bewährte Verfahren der Branche), die Kosten der Umsetzung und die Art, der Umfang, der Kontext und die Zwecke der VERARBEITUNG sowie das Risiko unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko für die Rechte und Freiheiten der BETROFFENEN PERSONEN angemessen ist. CGI gewährt CGI PARTNERN nur dann Zugriff auf PERSONENBEZOGENE DATEN, wenn dies zur Erfüllung der zugewiesenen Aufgaben erforderlich ist, die mit dem Zweck der VERARBEITUNG der PERSONENBEZOGENEN DATEN im Einklang stehen.
Im Falle eines unrechtmäßigen Zugriffs und/oder einer unrechtmäßigen Verarbeitung hält sich CGI an ihre Informationssicherheitsrichtlinie und die damit verbundenen Verfahren.
(vii) Festlegung einer Rechtsgrundlage
Zusätzlich zu den oben genannten Grundsätzen darf eine Verarbeitung nur erfolgen, wenn:
Die VERARBEITUNG PERSONENBEZOGENER DATEN durch CGI kann als rechtmäßig angesehen werden, wenn die VERARBEITUNG für die lebenswichtigen Interessen der BETROFFENEN PERSON erforderlich ist oder wenn die VERARBEITUNG für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse gemäß den Anforderungen des ANWENDBAREN DATENSCHUTZRECHTS durchgeführt wird.
Die VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN erfordert die Umsetzung verstärkter Garantien, wie unten beschrieben.
CGI verarbeitet SENSIBLE PERSONENBEZOGENE DATEN nur, wenn dies unbedingt erforderlich ist. Bei der VERARBEITUNG SENSIBLER PERSONENBEZOGENER DATEN in eigenem Namen stellt CGI sicher, dass mindestens eine der folgenden Bedingungen erfüllt ist:
In jedem Fall VERARBEITET CGI SENSIBLE PERSONENBEZOGENE DATEN in Übereinstimmung mit dem ANWENDBAREN DATENSCHUTZRECHT. Wenn diese Gesetze bestimmte Hosting- und Verarbeitungsbedingungen vorschreiben, wird CGI entweder die erforderliche Zertifizierung oder Qualifikation einholen oder einen DRITTEN beauftragen, der bereits für diesen Zweck zertifiziert oder qualifiziert ist.
6.1 ÜBERMITTLUNG PERSONENBEZOGENER DATEN innerhalb von CGI
Es dürfen keine PERSONENBEZOGENEN DATEN gemäß den BCR-C an eine CGI GESELLSCHAFT übertragen werden, es sei denn, diese CGI GESELLSCHAFT ist effektiv an die BCR-C gebunden und kann diese einhalten, was auch beinhaltet, dass den CGI PARTNERN eine angemessene Schulung zu den BCR-C effektiv angeboten werden kann.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT sollte die DATENEXPORTIERENDE CGI GESELLSCHAFT unverzüglich informieren, wenn sie aus irgendeinem Grund, einschließlich der in Abschnitt 13.5 unten näher beschriebenen Situationen, nicht in der Lage ist, die BCR-C einzuhalten.
Verstößt die DATENIMPORTIERENDE CGI GESELLSCHAFT gegen die BCR-C oder ist sie nicht in der Lage, diese einzuhalten, muss die DATENEXPORTIERENDE CGI GESELLSCHAFT die ÜBERMITTLUNG PERSONENBEZOGENER DATEN aussetzen.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT muss nach Wahl der DATENEXPORTIERENDEN CGI GESELLSCHAFT alle PERSONENBEZOGENEN DATEN, die gemäß den BCR-C ÜBERMITTELT wurden, unverzüglich zurückgeben oder löschen, wenn:
Die gleichen Verpflichtungen gelten für alle Kopien der Daten. Die DATENIMPORTIERENDE CGI GESELLSCHAFT muss der DATENEXPORTIERENDEN CGI GESELLSCHAFT die Löschung der Daten bestätigen.
Bis zur Löschung oder Rückgabe der PERSONENBEZOGENEN DATEN muss die DATENIMPORTIERENDE CGI GESELLSCHAFT weiterhin die Einhaltung der BCR-C sicherstellen.
Wenn die für die DATENIMPORTIERENDE CGI GESELLSCHAFT geltenden lokalen Gesetze die Rückgabe oder Löschung der ÜBERTRAGENEN PERSONENBEZOGENEN DATEN verbieten, muss die DATENIMPORTIERENDE CGI GESELLSCHAFT weiterhin die Einhaltung der BCR-C sicherstellen und darf die PERSONENBEZOGENEN DATEN nur in dem Umfang und so lange verarbeiten, wie dies nach diesen lokalen Gesetzen erforderlich ist.
In Fällen, in denen geltende lokale Gesetze und/oder Praktiken die Einhaltung der BCR-C beeinträchtigen, gilt Abschnitt 13.5 unten.
6.2 ÜBERMITTLUNG PERSONENBEZOGENER DATEN außerhalb von CGI
Wenn eine ÜBERMITTLUNG PERSONENBEZOGENER DATEN zwischen CGI im EWR und einem DRITTEN außerhalb des EWR oder eine Weiterübermittlung zwischen CGI außerhalb des EWR und einem DRITTEN außerhalb des EWR erfolgt, umfasst die ÜBERMITTLUNG PERSONENBEZOGENER DATEN eine der folgenden geeigneten Garantien, soweit zutreffend:
Alle anderen Datenströme, bei denen es sich nicht um PERSONENBEZOGENE DATEN handelt und die nicht von einer Gesellschaft im EWR stammen, gelten nicht als ÜBERMITTLUNG PERSONENBEZOGENER DATEN im Sinne dieser BCR-C. Folglich unterliegt eine solche Übermittlung nicht den hierin enthaltenen Anforderungen.
BETROFFENE PERSONEN haben das Recht, als Drittbegünstigte Folgendes durchzusetzen:
Im Falle eines Verstoßes gegen eine der oben aufgeführten durchsetzbaren Bestimmungen der BCR-C können die BETROFFENEN PERSONEN und CGI eine gütliche Einigung gemäß Abschnitt 9 der BCR-C („Verfahren zur Bearbeitung von Anfragen und Beschwerden BETROFFENER PERSONEN“) anstreben.
Im Falle eines solchen Verstoßes haben die BETROFFENEN PERSONEN auch das Recht, eine Beschwerde direkt bei einer Aufsichtsbehörde einzureichen, insbesondere in dem MITGLIEDSTAAT ihres gewöhnlichen Aufenthalts, ihres Arbeitsortes oder des Ortes der mutmaßlichen Verletzung, und vor dem zuständigen Gericht des MITGLIEDSTAATS, in dem CGI eine Niederlassung hat oder in dem die BETROFFENE PERSON ihren gewöhnlichen Aufenthalt hat, Rechtsmittel einzulegen. BETROFFENE PERSONEN haben Anspruch auf Wiedergutmachung und gegebenenfalls auf Entschädigung für materielle oder immaterielle Schäden, die aus einem solchen Verstoß resultieren. CGI empfiehlt BETROFFENEN PERSONEN, das spezielle Beschwerdeverfahren zu nutzen, wobei es ihnen freisteht, davon keinen Gebrauch zu machen.
BETROFFENE PERSONEN können sich unter den in Artikel 80 Absatz 1 DSGVO festgelegten Bedingungen von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung vertreten lassen.
Im Falle eines Verstoßes gegen die BCR-C durch eine CGI GESELLSCHAFT übernimmt CGI France SAS die Verantwortung für diesen Verstoß und stellt sicher, dass die erforderlichen Maßnahmen ergriffen werden, um den Verstoß zu beheben und den nachgewiesenen Schaden zu ersetzen.
Wenn BETROFFENE PERSONEN nachweisen können, dass sie einen Schaden erlitten haben, und Tatsachen darlegen können, die zeigen, dass der Schaden wahrscheinlich aufgrund eines Verstoßes gegen die BCR-C entstanden ist, obliegt es CGI France SAS nachzuweisen, dass die CGI GESELLSCHAFT außerhalb des EWR nicht für den Verstoß gegen die BCR-C verantwortlich war, der zu diesen Schäden geführt hat, oder dass kein solcher Verstoß stattgefunden hat.
Verstößt eine CGI GESELLSCHAFT außerhalb des EWR gegen die BCR-C, sind die Gerichte oder andere Justizbehörden im EWR zuständig, und die BETROFFENEN PERSONEN haben gegenüber CGI France SAS die gleichen Rechte und Rechtsbehelfe, als ob der Verstoß von CGI France SAS in Frankreich und nicht von der CGI GESELLSCHAFT außerhalb des EWR verursacht worden wäre.
Das in diesem Abschnitt beschriebene Verfahren gilt für Beschwerden von BETROFFENEN PERSONEN oder für Fälle, in denen eine BETROFFENE PERSON ihr Recht auf Zugang, Aktualisierung oder Löschung ihrer PERSONENBEZOGENEN DATEN ausübt.
BETROFFENE PERSONEN können eine Beschwerde oder einen Antrag bezüglich der VERARBEITUNG PERSONENBEZOGENER DATEN einreichen, wenn sie der Ansicht sind, dass CGI gegen die BCR-C verstößt. Die Beschwerde oder der Antrag kann gegen die CGI GESELLSCHAFT gerichtet werden, von der sie glauben, dass sie gegen die BCR-C verstößt. Wenn der Verstoß wahrscheinlich auf eine Handlung einer CGI GESELLSCHAFT außerhalb des EWR zurückzuführen ist, ist die BETROFFENE PERSON berechtigt, die Beschwerde oder den Antrag direkt bei CGI France SAS einzureichen.
Eine solche Beschwerde oder Anfrage muss unter Verwendung der Kontaktdaten in Abschnitt 19 unten beim Datenschutzteam von CGI eingereicht werden, wobei zu beachten ist, dass sich diese Daten von Zeit zu Zeit ändern können und die neuesten Informationen im Intranet von CGI und auf der öffentlichen Website von CGI veröffentlicht werden. CGI wird dem Beschwerdeführer unverzüglich, in jedem Fall jedoch innerhalb eines Monats, Informationen über die ergriffenen Maßnahmen durch eine eindeutig benannte Abteilung oder Person mit einer angemessenen Unabhängigkeit bei der Ausübung ihrer Funktionen zur Verfügung stellen. Unter Berücksichtigung der Komplexität und Anzahl der Anträge kann diese Frist von einem Monat um maximal zwei weitere Monate verlängert werden, wobei der Beschwerdeführer in diesem Fall entsprechend zu informieren ist.
Wenn CGI als VERANTWORTLICHER fungiert, können BETROFFENE PERSONEN außerdem jederzeit:
CGI benachrichtigt jeden Empfänger, dem die PERSONENBEZOGENEN DATEN offengelegt wurden, über jede Berichtigung oder Löschung PERSONENBEZOGENER DATEN oder jede Einschränkung der VERARBEITUNG, die gemäß den Anforderungen der DSGVO durchgeführt wurde, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. CGI informiert die BETROFFENE PERSON über diese Empfänger, wenn die BETROFFENE PERSON dies verlangt. CGI stellt sicher, dass solche Anfragen ohne unangemessene Verzögerung und in Übereinstimmung mit dem relevanten Beschwerdeverfahren bearbeitet werden.
Im Einklang mit den in diesen BCR-C enthaltenen Grundsätzen wird CGI ein angemessenes Schutzniveau für die von ihr VERARBEITETEN PERSONENBEZOGENEN DATEN gewährleisten.
Um sicherzustellen, dass diese Grundsätze bei der VERARBEITUNG PERSONENBEZOGENER DATEN durch CGI tatsächlich berücksichtigt werden, wird CGI während der Entwicklungs- und Erbringungszyklen aller Projekte oder Dienstleistungen, die eine VERARBEITUNG PERSONENBEZOGENER DATEN beinhalten, datenschutzrechtliche Beschränkungen ermitteln und umsetzen.
CGI ist dafür verantwortlich, die Einhaltung des GELTENDEN DATENSCHUTZRECHTS bei der VERARBEITUNG zu überwachen. Daher hat CGI das Verfahren zur Datenschutz-Folgenabschätzung eingeführt, das es CGI ermöglicht
(i) zu ermitteln, welche VERARBEITUNG ein spezifisches Risiko für den Schutz PERSONENBEZOGENER DATEN darstellt;
(ii) den Grad der Einhaltung der Grundsätze des GELTENDEN DATENSCHUTZRECHTS zu bewerten;
(iii) den Schweregrad oder die Wahrscheinlichkeit des mit der VERARBEITUNG verbundenen Risikos zu bewerten; und
(iv) Korrekturmaßnahmen festzulegen, die umgesetzt werden müssen, um sicherzustellen, dass PERSONENBEZOGENE DATEN in Übereinstimmung mit dem GELTENDEN DATENSCHUTZRECHT VERARBEITET und Risiken gemindert werden.
Wenn nach der Risikominderung die Risiken für die BETROFFENEN PERSONEN weiterhin erheblich sind, wird vor Beginn der beabsichtigten VERARBEITUNG die ZUSTÄNDIGE AUFSICHTSBEHÖRDE konsultiert.
13.1 In Bezug auf die BCR-C
CGI wird das Bewusstsein für die BCR-C schärfen, um deren Einhaltung zu fördern. CGI wird den BETROFFENEN PERSONEN, deren PERSONENBEZOGENE DATEN von CGI VERARBEITET werden, die gemäß den Artikeln 13 und 14 DSGVO erforderlichen Informationen (aufgeführt in Abschnitt 13.2 unten), Informationen über ihre Rechte als Drittbegünstigte in Bezug auf die VERARBEITUNG ihrer PERSONENBEZOGENEN DATEN und über die Mittel zur Ausübung dieser Rechte, die Beschreibung des Geltungsbereichs der BCR-C, die Klauseln zur Haftung sowie die Klauseln zu den Datenschutzgrundsätzen, zur Rechtmäßigkeit der Verarbeitung, zur Sicherheit und zur Meldung von Verletzungen des Schutzes PERSONENBEZOGENER DATEN, zu Beschränkungen der Weitergabe und die Klauseln zu den Rechten der BETROFFENEN PERSONEN (d. h. die wichtigsten Anforderungen der BCR-C, auf die in den Abschnitten 1, 2, 4, 5, 6.2, 7, 8, 9, 10, 13, 18, 19, Anhang A, Anhang B) genannten wichtigsten Anforderungen der BCR-C). Diese Informationen müssen aktuell sein und den BETROFFENEN PERSONEN in klarer, verständlicher und transparenter Form präsentiert werden. Sie werden vollständig durch Veröffentlichung im Unternehmensintranet von CGI und gegebenenfalls auf der öffentlich zugänglichen Website für andere BETROFFENE PERSONEN bereitgestellt. Die Liste der in den BCR-C verwendeten Definitionen wird in den veröffentlichten Teilen der BCR-C enthalten sein.
13.2 In Bezug auf die Datenverarbeitung
In ihrer Funktion als VERANTWORTLICHER stellt CGI den BETROFFENEN PERSONEN gemäß dem GELTENDEN DATENSCHUTZRECHT relevante Informationen über die VERARBEITUNG ihrer PERSONENBEZOGENEN DATEN zur Verfügung, darunter:
Darüber hinaus informiert CGI die BETROFFENEN PERSONEN, wenn die PERSONENBEZOGENEN DATEN nicht direkt von ihnen erhoben werden,
wenn eine Weitergabe an einen anderen Empfänger vorgesehen ist, spätestens bei der ersten Weitergabe der PERSONENBEZOGENEN DATEN.
CGI stellt diese Informationen in der Regel bei der Erhebung der PERSONENBEZOGENEN DATEN in einer leicht verständlichen und zugänglichen Form in einer kurzen Beschreibung mit einem Link zur Datenschutzerklärung im Unternehmensintranet von CGI und auf ihrer öffentlich zugänglichen Website für andere BETROFFENE PERSONEN bereit, je nach Fall. Für einige IT-Systeme wird beim Zugriff eine kurze Beschreibung mit einem Link zur detaillierten Datenschutzerklärung für dieses IT-System bereitgestellt.
13.3 Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten
In Übereinstimmung mit den Sicherheitsrichtlinien und -standards von CGI benachrichtigt jede CGI GESELLSCHAFT, die eine Sicherheitsverletzung feststellt, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete PERSONENBEZOGENE DATEN führt, über diese Verletzung des Schutzes PERSONENBEZOGENER DATEN:
(i) unverzüglich an CGI France SAS und den Chief Privacy Officer sowie an die CGI GESELLSCHAFT, die als VERANTWORTLICHER fungiert, wenn die CGI GESELLSCHAFT, die als INTERNER AUFTRAGSVERARBEITER fungiert, von der Verletzung des Schutzes PERSONENBEZOGENER DATEN Kenntnis erlangt;
(ii) unverzüglich und, soweit möglich, spätestens 72 Stunden nach Bekanntwerden der Verletzung des Schutzes PERSONENBEZOGENER DATEN der ZUSTÄNDIGEN DATENSCHUTZBEHÖRDE, es sei denn, die Verletzung des Schutzes PERSONENBEZOGENER DATEN führt wahrscheinlich nicht zu einer Gefährdung der Rechte und Freiheiten natürlicher Personen;
(iii) unverzüglich an die BETROFFENEN PERSONEN, wenn die Verletzung des Schutzes PERSONENBEZOGENER DATEN gemäß dem GELTENDEN DATENSCHUTZRECHT wahrscheinlich ein hohes Risiko für ihre Rechte und Freiheiten darstellt.
Alle Verletzungen des Schutzes PERSONENBEZOGENER DATEN sind zu dokumentieren (einschließlich der Fakten im Zusammenhang mit der Verletzung des Schutzes PERSONENBEZOGENER DATEN, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen), und die Dokumentation ist der ZUSTÄNDIGEN DATENSCHUTZBEHÖRDE auf Anfrage gemäß dem GELTENDEN DATENSCHUTZRECHT zur Verfügung zu stellen.
13.4 Zusammenarbeit mit Datenschutzbehörden
CGI ist bestrebt, enge Beziehungen zu den Datenschutzbehörden zu unterhalten. CGI kooperiert mit den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN in Bezug auf alle Anfragen, die in Übereinstimmung mit dem ANWENDBAREN DATENSCHUTZRECHT gestellt werden, einschließlich aller Anfragen zu Fern- und Vor-Ort-Audits. CGI wird die Empfehlungen der ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN berücksichtigen und
deren Entscheidungen in Bezug auf die VERARBEITUNG PERSONENBEZOGENER DATEN durch CGI als VERANTWORTLICHER befolgen.
CGI stellt den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN auf Anfrage alle Informationen über die von den BCR-C abgedeckten Verarbeitungsvorgänge zur Verfügung.
CGI erklärt sich damit einverstanden, dass alle Streitigkeiten im Zusammenhang mit der Ausübung der Aufsicht über die Einhaltung der BCR-C durch die ZUSTÄNDIGE DATENSCHUTZBEHÖRDE von den Gerichten des MITGLIEDSTAATS dieser ZUSTÄNDIGEN DATENSCHUTZBEHÖRDE gemäß dem Verfahrensrecht dieses MITGLIEDSTAATS beigelegt werden. Die CGI GESELLSCHAFTEN erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.
13.5 Lokale Gesetze und Praktiken, die die Einhaltung der BCR-C beeinflussen
CGI GESELLSCHAFTEN werden die BCR-C nur dann als Instrument für ÜBERMITTLUNGEN verwenden, wenn sie zu dem Schluss gekommen sind, dass die Gesetze und Praktiken des DRITTLANDES, in das die PERSONENBEZOGENEN DATEN übermittelt werden, die für die VERARBEITUNG der PERSONENBEZOGENEN DATEN durch die DATENIMPORTIERENDE CGI GESELLSCHAFT gelten, einschließlich etwaiger Anforderungen zur Offenlegung PERSONENBEZOGENER DATEN oder Maßnahmen, die den Zugriff durch Behörden genehmigen, die Erfüllung ihrer Verpflichtungen gemäß den BCR-C nicht verhindern.
Dies basiert auf der Auffassung, dass Gesetze und Praktiken, die den Kern der Grundrechte und Grundfreiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Wahrung eines der in Artikel 23 Absatz 1 DSGVO aufgeführten Ziele erforderlich und verhältnismäßig ist, nicht im Widerspruch zu den BCR-C stehen. Bei der Bewertung der Gesetze und Praktiken des DRITTLANDES, die sich auf die Einhaltung der in den BCR-C enthaltenen Verpflichtungen auswirken können, berücksichtigen die CGI GESELLSCHAFTEN insbesondere die folgenden Elemente:
(i) die besonderen Umstände der Übermittlung(en) oder der Reihe von Übermittlungen sowie etwaige geplante Weiterübermittlungen innerhalb desselben Drittlandes oder in ein anderes Drittland, einschließlich:
(ii) die Gesetze und Praktiken des DRITTLANDES, in das die Daten übertragen werden, die im Hinblick auf die Umstände der ÜBERTRAGUNG relevant sind, einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden oder die Gewährung des Zugriffs durch diese Behörden vorschreiben, und derjenigen, die den Zugriff auf diese Daten während der ÜBERMITTLUNG zwischen dem Land der DATENEXPORTIERENDEN CGI GESELLSCHAFT und dem Land der DATENIMPORTIERENDEN CGI GESELLSCHAFT vorsehen, sowie die geltenden Beschränkungen und Schutzmaßnahmen;
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zur Ergänzung der Schutzmaßnahmen gemäß den BCR-C getroffen wurden, einschließlich der Maßnahmen, die während der ÜBERMITTLUNG und bei der VERARBEITUNG der PERSONENBEZOGENEN DATEN im Bestimmungsland angewendet werden.
Sollten zusätzlich zu den im BCR-C vorgesehenen Schutzmaßnahmen weitere Schutzmaßnahmen erforderlich sein, werden CGI France SAS und der Chief Privacy Officer darüber informiert und in die entsprechende Bewertung einbezogen.
Die CGI GESELLSCHAFTEN müssen diese Bewertung sowie die ausgewählten und umgesetzten zusätzlichen Maßnahmen angemessen dokumentieren. Sie müssen diese Unterlagen den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN auf Anfrage zur Verfügung stellen.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT muss die DATENEXPORTIERENDE CGI GESELLSCHAFT unverzüglich benachrichtigen, wenn sie bei der Verwendung der BCR-C als Instrument für ÜBERMITTLUNGEN und während der Dauer der BCR-C-Mitgliedschaft Grund zu der Annahme hat, dass sie Gesetzen oder Praktiken unterliegt oder unterliegen wird, die sie an der Erfüllung ihrer Verpflichtungen gemäß der BCR-C hindern würden, einschließlich nach einer Änderung der Gesetze in dem DRITTLAND oder einer Maßnahme (z. B. einer Offenlegungsanforderung). Diese Informationen sollten auch an CGI France SAS weitergeleitet werden.
Nach Überprüfung dieser Benachrichtigung sollte sich die DATENEXPORTIERENDE CGI GESELLSCHAFT zusammen mit CGI France SAS und dem Chief Privacy Officer verpflichten, unverzüglich zusätzliche Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) zu ermitteln, die von der DATENEXPORTIERENDEN CGI GESELLSCHAFT und/oder der DATENIMPORTIERENDEN CGI GESELLSCHAFT zu ergreifen sind, damit diese ihren Verpflichtungen gemäß BCR-C nachkommen können. Das Gleiche gilt, wenn eine DATENEXPORTIERENDE CGI GESELLSCHAFT Grund zu der Annahme hat, dass eine DATENIMPORTIERENDE CGI GESELLSCHAFT ihren Verpflichtungen gemäß den BCR-C nicht mehr nachkommen kann.
Wenn die DATENEXPORTIERENDE CGI GESELLSCHAFT zusammen mit CGI France SAS und dem Chief Privacy Officer zu der Einschätzung gelangt, dass die BCR-C – selbst wenn sie durch zusätzliche Maßnahmen ergänzt wird – für eine ÜBERMITTLUNG oder eine Reihe von ÜBERMITTLUNGEN nicht eingehalten werden kann, oder wenn sie von den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN dazu aufgefordert wird, verpflichtet sie sich, die betreffende ÜBERMITTLUNG oder Reihe von ÜBERMITTLUNGEN sowie alle ÜBERMITTLUNGEN, bei denen dieselbe Bewertung und Begründung zu einem ähnlichen Ergebnis führen würde, auszusetzen, bis die Einhaltung wieder gewährleistet ist oder die ÜBERMITTLUNG beendet wird.
Nach einer solchen Aussetzung muss die DATENEXPORTIERENDE CGI GESELLSCHAFT die ÜBERMITTLUNG oder die Reihe von ÜBERMITTLUNGEN beenden, wenn die BCR-C nicht eingehalten werden können und die Einhaltung der BCR-C nicht innerhalb eines Monats nach der Aussetzung wiederhergestellt wird. In diesem Fall sollten PERSONENBEZOGENE DATEN, die vor der Aussetzung ÜBERMITTELT wurden, sowie alle Kopien davon nach Wahl der DATENEXPORTIERENDEN CGI GESELLSCHAFT an diese zurückgegeben oder vollständig vernichtet werden.
CGI France SAS und der Chief Privacy Officer informieren alle anderen CGI GESELLSCHAFTEN über die durchgeführte Bewertung und deren Ergebnisse, damit die festgelegten zusätzlichen Maßnahmen angewendet werden, falls eine andere CGI GESELLSCHAFT ähnliche Übertragungen durchführt, oder, falls keine wirksamen zusätzlichen Maßnahmen getroffen werden können, die betreffenden ÜBERTRAGUNGEN ausgesetzt oder beendet werden.
Die DATENEXPORTIERENDEN CGI GESELLSCHAFTEN überwachen fortlaufend und gegebenenfalls in Zusammenarbeit mit den DATENIMPORTIERENDEN CGI GESELLSCHAFTEN die Entwicklungen in den DRITTLÄNDERN, in die die DATENEXPORTIERENDEN CGI GESELLSCHAFTEN PERSONENBEZOGENE DATEN ÜBERMITTELT haben, die sich auf die ursprüngliche Bewertung des Schutzniveaus und die entsprechend getroffenen Entscheidungen über solche ÜBERMITTLUNGEN auswirken könnten.
13.6 Zugriffsanfragen von Behörden
Unbeschadet der Verpflichtung der DATENIMPORTIERENDEN CGI GESELLSCHAFT, die DATENEXPORTIERENDE CGI GESELLSCHAFT über ihre Unfähigkeit zur Einhaltung der in diesen BCR-C enthaltenen Verpflichtungen zu informieren (vgl. Abschnitt 13.5 oben), wird die DATENIMPORTIERENDE CGI GESELLSCHAFT die DATENEXPORTIERENDE CGI GESELLSCHAFT und, soweit möglich, die BETROFFENE PERSON (ggf. mit Hilfe der DATENEXPORTIERENDEN CGI GESELLSCHAFT) unverzüglich benachrichtigen, wenn sie:
(i) eine rechtlich bindende Anfrage einer öffentlichen Behörde gemäß den Gesetzen des Bestimmungslandes oder eines anderen DRITTLANDES zur Offenlegung von im Rahmen dieser BCR-C ÜBERMITTELTEN PERSONENBEZOGENEN DATEN erhält. Diese Benachrichtigung enthält Informationen über die angeforderten Daten, die anfragende Behörde, die Rechtsgrundlage der Anfrage sowie die ergriffene Reaktion;
(ii) Kenntnis über einen direkten Zugriff öffentlicher Stellen auf PERSONENBEZOGENE DATEN erhält, die im Rahmen dieser BCR-C übermittelt wurden, gemäß den Gesetzen des Bestimmungslandes. Diese Mitteilung enthält alle der DATENIMPORTIERENDEN CGI GESELLSCHAFT verfügbaren Informationen.
Sofern die DATENIMPORTIERENDE CGI GESELLSCHAFT durch Gesetz daran gehindert ist, die DATENEXPORTIERENDE CGI GESELLSCHAFT und/oder die BETROFFENE PERSON zu benachrichtigen, wird sie ihr Bestes tun, eine Aufhebung dieser Verpflichtung zu erwirken, um so viele Informationen wie möglich und so bald wie möglich übermitteln zu können. Diese Bemühungen werden dokumentiert und auf Anfrage der DATENEXPORTIERENDEN CGI GESELLSCHAFT nachgewiesen.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT wird der DATENEXPORTIERENDEN CGI GESELLSCHAFT regelmäßig möglichst viele relevante Informationen über eingegangene Anfragen zur Verfügung stellen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörden, ggf. eingelegte Rechtsmittel und deren Ausgang). Ist es der DATENIMPORTIERENDEN CGI GESELLSCHAFT vollständig oder teilweise untersagt, diese Informationen zu übermitteln, so wird sie die DATENEXPORTIERENDE CGI GESELLSCHAFT unverzüglich darüber informieren.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT bewahrt die vorgenannten Informationen so lange auf, wie die PERSONENBEZOGENEN DATEN den Schutzbestimmungen der BCR-C unterliegen, und macht diese auf Anfrage den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN zugänglich.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT wird die Rechtmäßigkeit der Offenlegungsanfrage prüfen – insbesondere, ob die anfragende Behörde im Rahmen ihrer Zuständigkeit handelt – und die Anfrage anfechten, wenn nach sorgfältiger Prüfung berechtigte Zweifel an ihrer Rechtmäßigkeit im Lichte des nationalen Rechts, des Völkerrechts oder der Prinzipien der internationalen Höflichkeit bestehen.
Unter denselben Bedingungen wird die DATENIMPORTIERENDE CGI GESELLSCHAFT auch etwaige Rechtsmittel einlegen.
Bei der Anfechtung einer Anfrage wird die DATENIMPORTIERENDE CGI GESELLSCHAFT einstweilige Maßnahmen beantragen, um die Wirkungen der Anfrage auszusetzen, bis die zuständige Justizbehörde in der Sache entschieden hat. Sie wird die angeforderten PERSONENBEZOGENEN DATEN nicht offenlegen, es sei denn, sie ist gemäß den geltenden Verfahrensvorschriften dazu verpflichtet.
Die DATENIMPORTIERENDE CGI GESELLSCHAFT dokumentiert ihre rechtliche Bewertung und etwaige Einwände gegen die Offenlegung und stellt diese, soweit rechtlich zulässig, der DATENEXPORTIERENDEN CGI GESELLSCHAFT und auf Anfrage den ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN zur Verfügung.
In jedem Fall wird die DATENIMPORTIERENDE CGI GESELLSCHAFT auf Offenlegungsanfragen nur das Minimum an Informationen übermitteln, das zur Beantwortung der Anfrage unbedingt erforderlich ist, und sich dabei auf eine angemessene Auslegung des Umfangs der Anfrage stützen.
DATENÜBERMITTLUNGEN an öffentliche Stellen durch eine CGI GESELLSCHAFT, die diesen BCR-C unterliegt, dürfen in keinem Fall massenhaft, unverhältnismäßig oder wahllos erfolgen und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig ist.
Nach Unionsrecht nicht zulässige ÜBERMITTLUNGEN oder Offenlegungen
Für CGI GESELLSCHAFTEN mit Sitz im EWR gilt, dass Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines DRITTLANDES, die einen VERANTWORTLICHEN oder AUFTRAGSVERARBEITER zur ÜBERMITTLUNG oder Offenlegung PERSONENBEZOGENER DATEN verpflichten, nur dann anerkannt oder in irgendeiner Weise vollstreckbar sind, wenn sie auf einem internationalen Abkommen beruhen, beispielsweise einem Rechtshilfeabkommen, das zwischen dem ersuchenden DRITTLAND und der Union oder einem MITGLIEDSTAAT in Kraft ist, unbeschadet anderer Gründe für die ÜBERMITTLUNG gemäß Kapitel V der DSGVO.
CGI entwickelt und stellt ein aktuelles jährliches Schulungsproramm für den Datenschutz bereit, damit alle CGI PARTNER die in den BCR-C enthaltenen Grundsätze und Verfahren kennen.
Das Schulungsprogramm bietet den CGI PARTNERN Folgendes:
Mit diesem Schulungsprogramm soll sichergestellt werden, dass die CGI PARTNER, die dauerhaft oder regelmäßig Zugang zu PERSONENBEZOGENEN DATEN haben, auf angemessene Weise effektiv geschult werden. Dazu gehören insbesondere CGI PARTNER, die an der Erhebung PERSONENBEZOGENER DATEN oder an der Entwicklung von Tools zur VERARBEITUNG PERSONENBEZOGENER DATEN beteiligt sind.
Neben dem Einsatz geeigneter Datenschutzschulungen wird CGI auch weiterhin eine Datenschutzkultur innerhalb des Unternehmens fördern. Zu diesem Zweck wird CGI spezielle Kommunikationsmaßnahmen durchführen, darunter Sensibilisierungskampagnen, datenschutzrelevante Materialien, Webinare und Foren, um Anleitungen zu geben und Fragen zu allen Themen im Zusammenhang mit den BCR-C zu beantworten.
Datenschutzschulungen sind für alle CGI PARTNER obligatorisch.
CGI wird eine Überprüfung der Einhaltung aller Aspekte der BCR-C durch CGI in ihr internes Auditprogramm integrieren.
Im Rahmen des internen Auditprozesses wird Folgendes festgelegt:
Das interne Auditverfahren kann bei Bedarf überarbeitet werden. CGI wird jedoch regelmäßig interne Audits durch ein qualifiziertes Audit-Team durchführen. Die Unabhängigkeit der für die Audits verantwortlichen Personen bei der Wahrnehmung ihrer Aufgaben im Zusammenhang mit diesen Audits wird gewährleistet. Die Datenschutzbeauftragten sollten nicht für die Überprüfung der Einhaltung der BCR-C verantwortlich sein, wenn dies zu einem Interessenkonflikt führen kann. Ein solches Programm wird von der internen Auditabteilung von CGI überwacht.
Die Ergebnisse des Audits werden dem Vorstand von CGI Inc., dem Vorstand von CGI France SAS, sowie der Datenschutzorganisation mitgeteilt. Daraufhin werden Maßnahmen festgelegt und priorisiert, sodass die Datenschutzorganisation einen Zeitplan für die Umsetzung von Korrektur- und Präventivmaßnahmen erstellen kann.
Die ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN können Zugang zu den Prüfungsergebnissen verlangen.
Die Umsetzung der BCR-C setzt voraus, dass alle teilnehmenden CGI GESELLSCHAFTEN, die in Anhang A aufgeführt sind, sich in vollem Umfang an ihrer Anwendung beteiligen. Sie bleiben in jedem Fall für die Einhaltung dieser BCR-C selbst verantwortlich.
CGI wird eine interne Datenschutzorganisation einrichten, die für die Festlegung geeigneter Richtlinien, Verfahren und Standards für alle teilnehmenden CGI GESELLSCHAFTEN sowie für die Überwachung der Einhaltung dieser BCR-C verantwortlich ist.
Insbesondere wird CGI einen Chief Privacy Officer (CPO) und ein Netzwerk von Datenschutzbeauftragten und regionalen Privacy Business Partnern in Übereinstimmung mit dem ANWENDBAREN DATENSCHUTZRECHT benennen. Ein Shared-Services-Team für Records Management unterstützt die Organisation bei der Anwendung von Vorschriften zur Datenaufbewahrung und bei der Erfüllung von Verpflichtungen im Bereich Records Management.
Der CPO untersteht direkt dem Executive Vice-President, Legal and Economic Affairs, and Corporate Secretary, der wiederum direkt dem Chief Executive Officer unterstellt ist. Der CPO wird vom Executive Vice-President, Legal and Economic Affairs, and Corporate Secretary unterstützt und kann sich bei Fragen oder Problemen, die sich aus der Ausübung seiner Aufgaben ergeben, an diesen wenden. In Bezug auf die BCR-C hat der CPO hauptsächlich folgende Aufgaben:
Der CPO sollte keine Aufgaben übernehmen, die zu Interessenkonflikten führen könnten. Der CPO sollte weder für die Durchführung von Datenschutz-Folgenabschätzungen noch für die Durchführung der BCR-C-Audits zuständig sein, wenn solche Situationen zu Interessenkonflikten führen können.
Für jede der strategischen Geschäftseinheiten von CGI, in denen die in den wichtigsten geografischen Regionen tätigen CGI GESELLSCHAFTEN zusammengefasst sind, hat CGI einen Privacy Business Partner für die strategische Geschäftseinheit ernannt, der sich auf ein Netzwerk von Privacy Business Partnern stützen kann, die auf lokaler Ebene ernannt wurden. Lokale Datenschutzexperten stellen sicher, dass die BCR-C auf der Ebene der strategischen Geschäftseinheit ordnungsgemäß umgesetzt werden und dass alle auf dieser Ebene eingereichten Beschwerden, einschließlich der Beschwerden von BETROFFENEN PERSONEN, angemessen und insbesondere in Übereinstimmung mit dem in den BCR-C beschriebenen Verfahren behandelt werden. Sie überwachen auch die Datentransfermechanismen und stellen die Einhaltung der damit verbundenen Verpflichtungen sicher.
In jedem Fall kann der CPO direkt über die in Abschnitt 19 unten angegebenen Kontaktdaten kontaktiert werden. CGI veröffentlicht die Kontaktdaten des CPO auch im Intranet von CGI und auf der öffentlich zugänglichen Website von CGI.
CGI führt ein Verzeichnis über die von ihr als VERANTWORTLICHER durchgeführten Verarbeitungsaktivitäten (das „Verarbeitungsverzeichnis”), das alle folgenden Informationen enthält:
CGI stellt sicher, dass jede neue VERARBEITUNG PERSONENBEZOGENER DATEN im Verarbeitungsverzeichnis mit relevanten Informationen über den Kontext jeder VERARBEITUNG PERSONENBEZOGENER DATEN erfasst wird. CGI stellt die Aufzeichnungen über die VERARBEITUNG den ZUSTÄNDIGEN AUFSICHTSBEHÖRDEN auf Anfrage zur Verfügung.
Die BCR-C können von Zeit zu Zeit nach Bedarf und nach einem bestimmten Verfahren geändert werden. CGI meldet Änderungen an den BCR-C unverzüglich allen in Anhang A aufgeführten CGI GESELLSCHAFTEN.
Wenn Änderungen erhebliche Auswirkungen auf die BCR oder das Schutzniveau haben, informiert CGI die Aufsichtsbehörden im Voraus über die federführende Aufsichtsbehörde der BCR-C und erläutert kurz die Gründe für die Aktualisierung.
Bei allen anderen Änderungen an den BCR-C wird CGI die Aufsichtsbehörden mindestens einmal jährlich über die federführende Aufsichtsbehörde für die BCR-C unterrichten und dabei kurz die Gründe für die Änderungen erläutern. Die Aufsichtsbehörden werden auch einmal jährlich benachrichtigt, wenn keine Änderungen vorgenommen wurden.
CGI führt eine aktuelle Liste der CGI GESELLSCHAFTEN, die an die BCR-C gebunden sind, und die Datenschutzorganisation verfolgt und protokolliert alle Aktualisierungen der BCR-C, stellt sicher, dass die Informationen den oben genannten Interessengruppen rechtzeitig mitgeteilt werden, und stellt den BETROFFENEN PERSONEN und ZUSTÄNDIGEN DATENSCHUTZBEHÖRDEN auf Anfrage die erforderlichen Informationen zur Verfügung.
Fragen, Anfragen oder Hinweise zu diesen BCR-P können an folgende E-Mail-Adresse gerichtet werden: privacy@cgi.com oder per Post an das Büro des CGI Chief Privacy Officers unter der Adresse Immeuble Carré Michelet, 12 Cours Michelet, 92800 Puteaux, Frankreich, oder durch das Ausfüllen des folgenden Online Formulars.
Mitgeltende Dokumente
Anhang A - Liste der an die BCR-P gebundenen CGI GESELLSCHAFTEN Anhang B - Von den BCR-P erfasste Tätigkeiten
Referenzen
Richtlinien-Besitzer:
Freigebende Stelle:
Änderungshistorie
| 1.0 | Originales BCR-C Dokument | |
| 1.1 | 16.10.2019 | Aufteilung in Datenverantwortliche und Datenverarbeiter BCRs |
| 1.2 | 26.11.2019 | Endgültige Änderungen nach Überprüfung durch Lead SA vor der Übersetzung |
| 1.3 | 18.02.2020 | Klarstellung im Abschnitt 6.1 |
| 1.4 | 03.03.2020 | Abschließende Überprüfung anhand der Referenz – geringfügige Änderungen vorgenommen |
| 1.5 | 13.05.2020 | Anleitung von SA hinzugefügt. |
| 1.6 | 10.09.2020 | Aktualisiert nach konsolidierten Kommentaren anderer SA. |
| 1.7 - 1.9 | 12.02.2021, 15.03.2021 | Aktualisiert unter Berücksichtigung der Auswirkungen von Schrems II |
| 2.0 | 28.07.2021 | Endgültige Fassung nach formeller Genehmigung durch die CNIL, mit geringfügiger Änderung in Abschnitt 13.5 zur Anpassung an die neuesten Leitlinien des EDPB. |
| 2.1 | 27.09.2021 | Aktualisierung von Abschnitt 6.2 unter Verweis auf die neuen Standardvertragsklauseln für 2021. |
| 2.2 | Nov. 2022 | JJährliche Überprüfung, Aktualisierung von Anhang A – Liste der CGI-Unternehmen und Anhang F – CGI-Datenschutzorganisation, um Änderungen in der Organisation Rechnung zu tragen. |
| 3.0 | Mrz. 2025 | Jährliche Überprüfung – geringfügige Textänderungen; Änderungen zur Berücksichtigung von Aktualisierungen der internen Prozesse; Änderungen zur Anpassung an die neuen EDPB BCR-C-Empfehlungen 1/2022, die am 20. Juni 2023 verabschiedet wurden. Endgültige Fassung nach formaler Validierung durch die CNIL und ihre Partnerbehörden |
