Version 2.3
1.5.2025

Bei CGI schützen wir PERSONENBEZOGENE DATEN, die wir VERARBEITEN, und arbeiten eng mit unseren Kunden und DRITTANBIETERN zusammen, um die Herausforderungen der sich entwickelnden Datenschutzbestimmungen zu bewältigen.

In dieser Datenschutzrichtlinie werden unsere Datenschutzprinzipien, -standards und -praktiken dargelegt und beschrieben, wie wir alle PERSONENBEZOGENEN DATEN im Rahmen unserer Geschäftstätigkeit schützen, unabhängig davon, ob wir PERSONENBEZOGENE DATEN für unsere eigenen Zwecke oder für die Bedürfnisse unserer Kunden VERARBEITEN.

Begriffe in Großbuchstaben sind in Anhang 1 dieses Dokuments definiert.

Grundsätze

Als globales IT- und Unternehmensberatungsunternehmen ist CGI verpflichtet, ein Schutzniveau für PERSONENBEZOGENE DATEN aufrechtzuerhalten, das der gängigen Praxis, der GELTENDEN DATENSCHUTZGESETZGEBUNG und den vertraglichen Verpflichtungen von CGI entspricht.

CGI sammelt und/oder verwendet PERSONENBEZOGENE DATEN für eigene Zwecke.

CGI kann PERSONENBEZOGENE DATEN auch im Namen und auf Weisung eines Kunden, unter Berücksichtigung der vorgegebenen erforderlichen technischen und organisatorischen Maßnahmen VERARBEITEN, um die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Änderung, die Offenlegung oder den Zugriff auf die PERSONENBEZOGENEN DATEN zu verhindern. Jegliche Verpflichtung hinsichtlich dieser Verantwortlichkeiten und Maßnahmen muss sich ausdrücklich in allen Vereinbarungen zwischen CGI und unseren Kunden widerspiegeln.

Das Werteversprechen von CGI umfasst den Datenschutz und die Vermeidung, Datenrisiken ausgesetzt zu sein. CGI berät und unterstützt ihre Kunden bei der Verwaltung und dem Schutz ihrer PERSONENBEZOGENEN DATEN, um deren Compliance-Anforderungen zu erfüllen. Auf Anweisung des Kunden implementiert CGI wirksame Sicherheitsmaßnahmen zum Schutz der PERSONENBEZOGENEN DATEN und zur Vermeidung von Datenpannen.

Umfang und Compliance

Diese Datenschutzrichtlinie ist integraler Bestandteil der CGI Management Foundation und ist für alle Gesellschaften und alle Beschäftigten von CGI (CGI PARTNER) unabhängig von ihrem Standort sowie für alle von CGI beauftragten DRITTANBIETER verbindlich. Soweit gesetzlich zulässig, kann jeder Verstoß gegen diese Datenschutzrichtlinie zu administrativen und/oder disziplinarischen Maßnahmen durch oder gegen CGI führen (einschließlich Geldstrafen, Suspendierung oder Kündigung). CGI PARTNER erkennen diese Anforderungen an und bestätigen jährlich die Annahme dieser Datenschutzrichtlinie als Teil ihrer Verpflichtung zum Ethikkodex. Zusätzlich zu dieser Datenschutzrichtlinie müssen CGI PARTNER auch andere mitgeltende Vertraulichkeits- und Datenschutzverpflichtungen einhalten, einschließlich derjenigen, die in der GELTENDEN DATENSCHUTZGESETZGEBUNG, in ihren Arbeitsverträgen, in der CGI Management Foundation und/oder in Kundenanweisungen festgelegt sind.

Jeder DRITTANBIETER, der PERSONENBEZOGENE DATEN im Auftrag von CGI VERARBEITET, ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Einhaltung der Grundsätze und Anforderungen dieser Datenschutzrichtlinie zu gewährleisten. Wenn CGI PERSONENBEZOGENE DATEN im Auftrag eines Kunden VERARBEITET, müssen alle vertraglichen Zusagen oder sonstigen Verpflichtungen von CGI gegenüber dem Kunden an alle beauftragten DRITTANBIETER weitergegeben werden. Alle Zusagen oder Verpflichtungen müssen ausdrücklich in den Vereinbarungen zwischen CGI und den DRITTANBIETERN festgehalten werden.

Welche Kategorien PERSONENBEZOGENER DATEN VERARBEITET CGI im Rahmen der Geschäftsabläufe?

Vorbehaltlich der GELTENDEN DATENSCHUTZGESETZE können CGI und alle DRITTANBIETER die folgende, nicht erschöpfende Liste von Kategorien PERSONENBEZOGENER DATEN verarbeiten:

  • Demografische Daten & Privatleben: z. B. Alter, Geschlecht, körperliche Merkmale, Geburtsdatum, Wohnanschrift, Familienstand, Mitgliedschaften, Vorlieben, Interessen
  • Standort, Login, Traffic & Tracking: z. B. IP-Adresse, Browser-Fingerabdruck, Protokolle
  • Wirtschaftliche und finanzielle Daten: z. B. Kontonummer, Finanzlage, Aktien, Steuerstatus, Gehalt, Finanztransaktionen
  • Sensible PERSONENBEZOGENE DATEN: z. B. Sozialversicherungsnummer, biometrische Daten, Gesundheitsinformationen
  • Identitäts- und Kontaktinformationen: z. B. Name, E-Mail-Adresse, Telefonnummer, Foto, Staatsangehörigkeit, Personalausweis- und Reisepassnummer
  • Berufsleben und Werdegang: z. B. Arbeitgeber, Abteilung, Berufsbezeichnung, Beschäftigungshistorie, Performance, Interviews, Abschlüsse und Zertifikate, Rechnungs-, Lieferadresse

Diese Kategorien PERSONENBEZOGENER DATEN beziehen sich auf die folgende nicht erschöpfende Liste von Betroffenen: 

  • Stellenbewerber, Auszubildende und Studenten,
  • CGI PARTNER und ehemalige Beschäftigte, sowie deren Angehörige,
  • Angestellte unserer Kunden und deren ehemalige Angestellten, sowie deren Angehörige,
  • Patienten, Kunden oder Einwohner unserer Kunden,
  • potenzielle Beschäftigte und Kunden unserer Kunden,
  • Besucher von CGI-Websites,
  • Aktionäre, 
  • Angestellte und Freiberufler von DRITTANBIETERN.
     

Ausführlichere Informationen sind in den entsprechenden Datenschutzhinweisen für bestimmte VERARBEITUNGstätigkeiten zu finden.

Mit wem teilt CGI Ihre PERSONENBEZOGENEN DATEN?

Im Rahmen ihrer Geschäftstätigkeit kann CGI bei Vorliegen einer geeigneten Rechtsgrundlage PERSONENBEZOGENE DATEN an CGI-GESELLSCHAFTEN, Kunden und Interessenten, DRITTANBIETER und/oder andere Dritte (einschließlich Banken und Finanzberater, externe Berater und Wirtschaftsprüfer) sowie an Verwaltungs-, Justiz- oder Regierungsbehörden, staatliche Stellen oder öffentliche Einrichtungen in Übereinstimmung mit den GELTENDEN DATENSCHUTZGESETZEN weitergeben.

Wie schützt CGI PERSONENBEZOGENE DATEN, die für den eigenen Bedarf VERARBEITET werden?

CGI ist für den Schutz aller PERSONENBEZOGENEN DATEN verantwortlich, die im Rahmen ihrer Geschäftstätigkeit VERARBEITET werden.

Daher halten sich die CGI PARTNER an die folgenden Grundprinzipien:

  1. Transparenz, Fairness und Rechtmäßigkeit
    PERSONENBEZOGENE DATEN werden rechtmäßig, fair und in einer transparenten Art und Weise in Bezug auf die betroffene Person VERARBEITET, in Übereinstimmung mit den Anforderungen dieser Datenschutzrichtlinie VERARBEITET. CGI stellt den betroffenen Personen detaillierte Informationen zur Daten-VERARBEITUNG in einem leicht verständlichen und zugänglichen Format in Form von Datenschutzhinweisen zur Verfügung.
  2. Eingeschränkter Verwendungszweck
    Jeder VERARBEITUNG PERSONENBEZOGENER DATEN geht die Bestimmung des spezifischen Zwecks für diese VERARBEITUNG voraus, die eindeutig und rechtmäßig sein und dem entsprechen muss, was eine Person vernünftigerweise erwarten würde.
  3. Datenminimierung
    PERSONENBEZOGENE DATEN werden nur in dem Maße erhoben und verwendet, wie es für den Zweck, für den sie VERARBEITET werden, erforderlich ist. PERSONENBEZOGENE DATEN müssen angemessen und sachdienlich sein und sich auf das beschränken, was in Bezug auf diesen Zweck unbedingt erforderlich ist.
  4. Korrektheit
    Erhobene PERSONENBEZOGENE DATEN müssen korrekt und aktuell bleiben. Es müssen angemessene Schritte unternommen werden, um sicherzustellen, dass unzutreffende PERSONENBEZOGENE DATEN unverzüglich gelöscht oder berichtigt werden, auch durch Selbstbedienungsoptionen für Einzelpersonen. Einzelpersonen müssen angemessene Mittel zur Verfügung gestellt werden, um CGI über jede relevante Änderung ihrer persönlichen Daten zu informieren.
  5. Speicherbegrenzung
    PERSONENBEZOGENE DATEN dürfen nicht länger aufbewahrt werden als für den Zweck, für den sie erhoben wurden, unbedingt erforderlich ist. Folglich muss CGI die erforderliche Datenaufbewahrungsfrist in Übereinstimmung mit dem CGI Records Retention Schedule und den GELTENDEN DATENSCHUTZGESETZEN festlegen.
  6. Integrität und Vertraulichkeit
    Geeignete technische und organisatorische Maßnahmen, wie sie im CGI Enterprise Security Management Framework (ESMF) vorgeschrieben sind, müssen zum Schutz vor unrechtmäßigem Zugriff auf und/oder unrechtmäßiger VERARBEITUNG von PERSONENBEZOGENEN DATEN umgesetzt werden.
     

Auf welcher Rechtsgrundlage VERARBEITET CGI PERSONENBEZOGENE DATEN für eigene Zwecke?

In der Regel kann CGI PERSONENBEZOGENE DATEN unter den folgenden Umständen verarbeiten:

  • Wenn CGI einer gesetzlichen Verpflichtung nachzukommen hat.
  • Wenn es für die Ausführung eines Vertrags mit einer Person erforderlich ist.
  • Wenn CGI ein berechtigtes Interesse daran hat, dies im Rahmen der Geschäftstätigkeit zu tun.

Es kann vorkommen, dass es für CGI notwendig ist, PERSONENBEZOGENE DATEN zu verarbeiten, um die Interessen von Personen zu schützen oder nach der vorherigen Einwilligung der Person.

SENSIBLE PERSONENBEZOGENE DATEN, die für eigene Zwecke von CGI VERARBEITET werden

CGI wird keine SENSIBLEN PERSONENBEZOGENEN DATEN verarbeiten, es sei denn, eine der folgenden Bedingungen ist erfüllt:

  1. Die Person hat ihre vorherige Zustimmung gegeben, oder
  2. Die VERARBEITUNG ist für die Erfüllung der Verpflichtungen und die Ausübung bestimmter Rechte von CGI oder der betroffenen Person im Bereich des Arbeits-, Sozialversicherungs- und Sozialschutzrechts erforderlich, oder
  3. Wenn die Person nicht in der Lage ist, ihre Zustimmung zu geben (z. B. aus gesundheitlichen Gründen), ist die VERARBEITUNG notwendig, um die lebenswichtigen Interessen der Person oder einer anderen Person zu schützen, oder
  4. Die VERARBEITUNG ist im Rahmen der Präventivmedizin oder der medizinischen Diagnose durch einen Angehörigen der Gesundheitsberufe gemäß lokalem Recht erforderlich, oder
  5. Die Person hat die betreffenden SENSIBLEN PERSONENBEZOGENEN DATEN bereits selbst offenkundig veröffentlicht, oder
  6. Die VERARBEITUNG ist für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen unerlässlich, es sei denn, die betroffene Person hat ein überwiegendes berechtigtes Interesse daran, dass diese SENSIBLEN PERSONENBEZOGENEN DATEN nicht VERARBEITET werden, oder
  7. Die VERARBEITUNG ist durch sonstige LOKALE GESETZGEBUNG ausdrücklich erlaubt.
     

Wie schützt CGI die PERSONENBEZOGENEN DATEN von Kunden?

Wenn CGI PERSONENBEZOGENE DATEN von Kunden im Auftrag VERARBEITET, stellt CGI sicher, dass die PERSONENBEZOGENEN DATEN nur für die vom Kunden ausdrücklich angegebenen Zwecke und gemäß den schriftlichen Weisungen des Kunden und für die festgelegte Dauer VERARBEITET werden, die in den zwischen CGI und dem Kunden vereinbarten Bedingungen festgelegt ist.

Der Kunde ist allein dafür verantwortlich, dass es eine gültige Rechtsgrundlage für die durch CGI durchgeführte VERARBEITUNG gibt und dass die an CGI erteilten Weisungen für die VERARBEITUNG den GELTENDEN DATENSCHUTZGESETZEN und anzuwendenden Aufbewahrungsfrist entsprechen. CGI wird den Kunden jedoch unverzüglich informieren, wenn ihrer Meinung nach solche Anweisungen gegen die GELTENDEN DATENSCHUTZGESETZE verstoßen.

Sofern der Kunde keine anderslautenden Weisungen erteilt, wendet CGI (mindestens) die Security Baseline von CGI an, wie sie im CGI Enterprise Security Management Framework (ESMF) beschrieben ist. Jede Abweichung von dieser Baseline erfordert eine entsprechende Risikoprüfung und die Genehmigung durch die Datenschutz- und Security-Teams von CGI in Übereinstimmung mit der CGI Management Foundation.

CGI wird, vorbehaltlich schriftlich vereinbarter wirtschaftlicher, technischer und organisatorischer Bedingungen, den Kunden in angemessener Weise bei der Erfüllung seiner Verpflichtungen im Rahmen der ANWENDBAREN DATENSCHUTZGESETZE unterstützen.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Um sicherzustellen, dass die in dieser Datenschutzrichtlinie definierten Grundsätze bei der VERARBEITUNG PERSONENBEZOGENER DATEN durch CGI wirksam berücksichtigt werden, wird CGI zu Beginn jedes neuen internen Projekts oder jeder neuen Kundengelegenheit die datenschutzrechtlichen Leitplanken ermitteln und berücksichtigen, damit die hierin enthaltenen Grundsätze bei der Konzeption des Projekts berücksichtigt und angemessen umgesetzt werden. CGI hat daher Prozesse zur Überprüfung des Datenschutzes und der Datensicherheit sowie einen "Privacy by Design Code of Practice" und mehrere Rahmenwerke (z. B. "Responsible Use of Data", "Responsible Use of Artificial Intelligence" und "Responsible Use of Cloud Technology") implementiert, die für alle internen Projekte von CGI und Kunden-Projekte gelten, bei denen PERSONENBEZOGENE DATEN VERARBEITET werden, und die jeden relevanten CGI PARTNER bei der Analyse und Behandlung von Datenschutzrisiken unterstützen.

Gemäß den GELTENDEN DATENSCHUTZGESETZEN führt CGI eine Datenschutz-Folgenabschätzung für alle CGI-internen Projekte durch, bei denen die VERARBEITUNG PERSONENBEZOGENER DATEN wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, und legt alle Korrekturmaßnahmen fest, die zur Risikominimierung umgesetzt werden müssen.

Die CGI-Datenschutzorganisation prüft und genehmigt die Datenschutzaspekte von Angeboten und/oder Dienstleistungen, die für Kunden entwickelt werden, sowie von jeglichem geistigen Eigentum von CGI oder neuen internen Projekten, wie in der CGI Management Foundation definiert. Der für die Lösung, den Service und/oder das Projekt verantwortliche CGI PARTNER bewahrt den Nachweis der Genehmigung durch die CGI-Datenschutzorganisation auf und weist die Einhaltung der mit der Genehmigung verbundenen Vorgaben nach.

Was sind die Rechte Betroffener und wie können sie ausgeübt werden?

Die Rechte Betroffener an ihren PERSONENBEZOGENEN DATEN sind von Land zu Land unterschiedlich und können in spezifischen Datenschutzhinweisen konkretisiert werden. CGI handelt in Übereinstimmung mit der GELTENDEN DATENSCHUTZGESETZGEBUNG.

Je nach Jurisdiktion kann die GELTENDE DATENSCHUTZGESETZGEBUNG Einzelpersonen die folgenden Rechte gewähren:

  • Zugang zu ihren PERSONENBEZOGENEN DATEN und zu Informationen, wie sie VERARBEITET werden,
  • Berichtigung oder Löschung von sie betreffenden unrichtigen oder unvollständigen PERSONENBEZOGENER DATEN,
  • Widerruf einer Einwilligung oder Widerspruch gegen die VERARBEITUNG ihrer PERSONENBEZOGENEN DATEN aus berechtigten Gründen, es sei denn, eine solche VERARBEITUNG ist gesetzlich vorgeschrieben, 
  • Einschränkung der VERARBEITUNG, wenn die PERSONENBEZOGENEN DATEN nicht mehr richtig oder notwendig sind oder die VERARBEITUNG unrechtmäßig ist,
  • Nicht einer ausschließlich auf einer automatisierten VERARBEITUNG — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die der Person gegenüber eine rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt,
  • Eine Kopie der PERSONENBEZOGENEN DATEN in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten, und
  • Eine Person zu benennen, die diese Rechte im Falle des Todes oder der Geschäftsunfähigkeit wahrnimmt.

Betroffene, die diese Rechte ausüben und/oder Informationen über die VERARBEITUNG ihrer PERSONENBEZOGENEN DATEN erhalten möchten, können einen Antrag stellen, wie im Abschnitt "Fragen und Rechtsmittel" unten beschrieben.

Wenn CGI PERSONENBEZOGENE DATEN für eigene Zwecke VERARBEITET

CGI informiert jeden Empfänger, an den PERSONENBEZOGENE DATEN weitergegeben wurden, über die verlangte Berichtigung oder Löschung von PERSONENBEZOGENEN DATEN oder die Einschränkung der VERARBEITUNG in Übereinstimmung mit den GELTENDEN DATENSCHUTZGESETZEN, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden. CGI stellt sicher, dass Anfragen unverzüglich und in Übereinstimmung mit CGIs Verfahren zur Beantragung individueller Rechte bearbeitet werden.

Wenn CGI PERSONENBEZOGENE DATEN von Kunden VERARBEITET

Wenn CGI eine Beschwerde oder Anfrage einer Person erhält, die ihre Rechte ausüben will, wird CGI dem Kunden unverzüglich alle relevanten Informationen übermitteln und die Person ausdrücklich darauf hinweisen, dass es in der Verantwortung des Kunden liegt, diese Beschwerde oder Anfrage zu bearbeiten. CGI ist nur für die Bearbeitung von Beschwerden oder Anfragen entsprechend der Weisungen des Kunden verantwortlich.

Wie geht CGI mit Verletzungen des Schutzes PERSONENBEZOGENER DATEN um?

CGI verfügt über ein ausgereiftes, auf Standards basierendes Verfahren zur Reaktion auf Sicherheitsvorfälle und zum Management von Sicherheitsvorfällen, das für alle Phasen eines Sicherheitsvorfalls, einschließlich Vorfällen mit Auswirkungen auf den Datenschutz, ausgelegt ist. Die Verantwortlichkeiten der CGI PARTNER sind auf allen Ebenen klar definiert. Die Standards zur Bewertung und Priorisierung von Vorfällen werden eingehalten, um ein angemessenes Maß an Engagement und eine zeitnahe Lösung zu gewährleisten.

Vorfälle werden dokumentiert und bei Bedarf an die Geschäftsleitung von CGI gemeldet. Alle Vorfälle werden durch CGIs globales 24x7 Security Operations Centre (SOC) verwaltet, in dem hochqualifizierte Vollzeit-Mitarbeiter die Reaktionsmaßnahmen koordinieren. Das Datenschutzteam von CGI wird sofort in das Vorfallsmanagement einbezogen, wenn der Verdacht besteht oder bekannt ist, dass PERSONENBEZOGENE DATEN betroffen sind.

Wenn CGI vernünftigerweise davon ausgeht, dass eine Sicherheitsverletzung vorliegt, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig VERARBEITETE PERSONENBEZOGENE DATEN geführt hat, wird CGI in Übereinstimmung mit den GELTENDEN DATENSCHUTZGESETZEN sowie der CGI Management Foundation die zuständige Datenschutzbehörde, Einzelpersonen und/oder Kunden (je nach Fall) über den Sicherheitsvorfall und den aktuellen Stand informieren.

Wird eine Verletzung des Schutzes PERSONENBEZOGENER DATEN durch einen von CGI beauftragten DRITTANBIETER festgestellt, muss der DRITTANBIETER gemäß der entsprechenden Vereinbarung und in Übereinstimmung mit den ANWENDBAREN DATENSCHUTZGESETZEN CGI informieren.

Kommunikation und Schulung

CGI fördert kontinuierlich eine Datenschutzkultur innerhalb ihrer Organisation. CGI setzt ein jährliches Schulungsprogramm zum Datenschutz ein, das regelmäßig aktualisiert wird, um technologische und gesetzliche Änderungen zu berücksichtigen. Eine solche Schulung ist für alle CGI PARTNER, Unterauftragnehmer und freien Mitarbeiter obligatorisch. Alle CGI-Führungskräfte müssen sicherstellen, dass die ihnen unterstellten CGI PARTNER an der Schulung teilnehmen.

Rollenspezifische Lernkurse, die auf verschiedene Funktionen innerhalb des Unternehmens zugeschnitten sind, sowie Sicherheitsschulungen sind ebenfalls auf der Lernplattform von CGI verfügbar.

Zusätzliche Informationen für CGI PARTNER können auch über verschiedene Kanäle zur Verfügung gestellt werden, einschließlich gezielter Datenschutz-Briefings, Webinare, individueller Treffen, Newsletter, "Know-How"-Sessions, Kampagnen zur Sensibilisierung für Sicherheitsfragen und weltweite jährliche Mitteilungen zum Datenschutztag.

Diese sollen die CGI PARTNER für die in dieser Datenschutzrichtlinie enthaltenen Grundprinzipien und die damit verbundenen bewährten Verfahren sensibilisieren, um CGI und ihre Stakeholder vor unbefugtem Zugriff und unsachgemäßem Umgang mit PERSONENBEZOGENEN DATEN zu schützen.

Audit

CGI integriert eine Überprüfung der Einhaltung dieser Datenschutzrichtlinie in ihr unternehmensweites internes Auditprogramm. Das interne Auditprogramm definiert:

  • einen Zeitplan, nach dem die Audits durchgeführt werden,
  • den voraussichtlichen Umfang der Audits, und
  • das für die Audits zuständige Team.

Das unternehmensweite interne Auditprogramm umfasst Prüfungen auf Projekt-, Funktions- und Unternehmensebene. Das Auditprogramm kann regelmäßig überarbeitet werden. CGI wird jedoch regelmäßig interne Audits durch qualifizierte Audit-Teams durchführen. Solche Programme werden von den entsprechenden CGI-Prüfungsabteilungen für jede Ebene initiiert.

Die Ergebnisse des Audits werden der CGI-Datenschutzorganisation mitgeteilt, und die daraus resultierenden Maßnahmen werden definiert und priorisiert, so dass die CGI-Datenschutzorganisation einen Zeitplan für die Umsetzung von Korrektur- und Präventivmaßnahmen festlegen kann.

Sowohl die zuständigen Datenschutzbehörden als auch die Kunden können Zugang zu den Auditergebnissen verlangen (letztere vorbehaltlich der vertraglichen Verpflichtungen, wie sie im CGI Contract Management Framework festgelegt sind). Eine solche Mitteilung unterliegt einer Vertraulichkeitsvereinbarung, und die Auditergebnisse enthalten keine vertraulichen Informationen anderer CGI-Kunden oder CGI-interner Geschäftsbereiche. Die Freigabe solcher Ergebnisse unterliegt der Genehmigung durch die Datenschutzorganisation und die Rechtsabteilung von CGI.

Im Rahmen der ISO27701:2019-Zertifizierung von CGI fungieren externe, von CGI unabhängige Prüfer als zusätzliche Kontrollinstanz. Sie beaufsichtigen und sichern unsere ISO27701:2019-Implementierung in unseren zertifizierten strategischen Geschäftseinheiten und führen jährliche Audits durch. Die Ergebnisse solcher Audits werden wie alle Auditergebnisse behandelt, wobei die empfohlenen Korrektur- und Präventivmaßnahmen in allen Geschäftsbereichen priorisiert werden.

CGI-Datenschutzorganisation

CGI hat einen Chief Privacy Officer ("CPO") und ein Netzwerk von Privacy Business Partnern benannt, die in Übereinstimmung mit der GELTENDEN DATENSCHUTZGESETZGEBUNG auch als Datenschutzbeauftragte ernannt werden können, sowie Spezialisten für das Records Management. Die Datenschutzorganisation von CGI ist auf der Datenschutzseite im Intranet von CGI näher definiert. Bitte beachten Sie auch lokal bestehende Datenschutzhinweise, die konkrete Ansprechpartner benennen.

Verzeichnis der Verarbeitungstätigkeiten

CGI führt ein Verzeichnis der Verarbeitungstätigkeiten, die im Rahmen ihrer Geschäftstätigkeit durchgeführt werden (das "Data Processing Inventory"). CGI stellt sicher, dass jede neue VERARBEITUNG PERSONENBEZOGENER DATEN im Verarbeitungsverzeichnis mit den relevanten Informationen über den Kontext jeder VERARBEITUNG PERSONENBEZOGENER DATEN dokumentiert wird. CGI stellt der Aufsichtsbehörde auf Anfrage Informationen zu den VERARBEITUNGEN zur Verfügung.

Aktualisierungen der Datenschutzrichtlinie

Diese Datenschutzrichtlinie kann von Zeit zu Zeit geändert werden, wenn dies erforderlich ist, und CGI wird zu gegebener Zeit entsprechende Mitteilungen über solche Änderungen herausgeben.

Fragen, Anträge und Rechtsmittel

Fragen und Anträge

Bei Fragen zur Auslegung oder Anwendung dieser Richtlinie oder bei Anfragen zu Ihren von CGI verarbeiteten PERSONENBEZOGENEN DATEN wenden Sie sich bitte an uns: 

  • Senden Sie eine E-Mail an privacy@cgi.com oder die lokal bekanntgegebene Kontaktadresse, oder 
  • wenden Sie sich an den CGI Chief Privacy Officer - Carré Michelet, 10-12 Cours Michelet, 92800 Puteaux, Frankreich oder die lokal bekanntgegebene Kontaktadresse des Datenschutzbeauftragten, oder
  • füllen Sie das folgende Online-Formular aus.

Unabhängige Beschwerdestelle

Wenn Sie glauben, dass Sie Beweise für ein Fehlverhalten haben, das CGI, CGI PARTNERN, ihren Kunden oder Aktionären schaden könnte, sollten Sie es über die Ethik-Hotline von CGI melden.

CGI ist bestrebt, enge Beziehungen zu den Datenschutzbehörden zu unterhalten und mit ihnen in allen relevanten Angelegenheiten zusammenzuarbeiten, einschließlich aller Prüfungsanfragen. CGI wird auch die Empfehlungen der zuständigen Datenschutzbehörden in Bezug auf die VERARBEITUNG PERSONENBEZOGENER DATEN, die CGI im Rahmen ihrer Geschäftstätigkeit vornimmt, sorgfältig prüfen.

Wenn Sie Fragen oder Wünsche in Bezug auf Ihre PERSONENBEZOGENEN DATEN haben, die von CGI nicht in Übereinstimmung mit den GELTENDEN DATENSCHUTZGESETZEN behandelt werden, oder wenn Sie Unterstützung von einer zuständigen Datenschutzbehörde benötigen, können Sie eine Beschwerde einreichen oder sich an die zuständige Behörde wenden. Nachfolgend finden Sie nützliche Ressourcen:

 

Datenschutz-Überprüfungsgericht

Gemäß dem EU-US Data Privacy Framework (EU-U.S. DPF), das von der Europäischen Kommission am 10. Juli 2023 validiert wurde, ist das Datenschutz-Überprüfungsgericht die zweite Stufe eines zweistufigen Rechtsbehelfsmechanismus, der die Überprüfung qualifizierter Beschwerden von Einzelpersonen vorsieht, die über die zuständigen Behörden in bestimmten ausländischen Ländern oder Organisationen für regionale wirtschaftliche Integration eingereicht werden und bestimmte Verstöße gegen das US-Recht in Bezug auf US-Nachrichtendienste betreffen.

Richtlinieneigentümer

CGI Chief Privacy Officer

Freigabe

CGI Executive Management Committee

Datum des Inkrafttretens

1. Januar 2025
 

Revisionshistorie
Version Datum Autor Beschreibung
1.0 16.10.2017 Datenschutz Ursprüngliches Richtliniendokument
1.1 09.01.2018 Datenschutz Stiländerungen
1.2 01.01.2021 Datenschutz Aktualisiert, um die kommenden Anforderungen der Binding Corporate Rules und des California Consumer Privacy Act zu berücksichtigen
2.0 01.10.2021 Datenschutz Aktualisiert zur Berücksichtigung der verbindlichen Unternehmensregeln
2.1 11.12.2023 Datenschutz Hinzufügung des EU-US-Datenschutzrahmens (DPF), der Erweiterung für das Vereinigte Königreich und des DPF für die Schweiz und die USA, Hinzufügung von Abschnitt 14 - Fragen und Rückgriff auf externe Richtlinien - sowie Angleichung der externen und internen Versionen.
2.2 19.12.2024 Datenschutz Aktualisierungen zur Berücksichtigung der Terminologie von CGI PARTNERN, jährlichen Überprüfungen der verbindlichen Unternehmensregeln von CGI, neue Gesetzesänderungen, Zusammenführung der externen und internen Versionen der Datenschutzrichtlinie und Verweis auf die Rahmenwerke von CGI für die verantwortungsvolle Nutzung von Daten, KI und Cloud-Technologie.
2.3 01.05.2025 Datenschutz Kleinere Aktualisierung im Abschnitt „Audit“, um die Ergebnisse externer Audits widerzuspiegeln.
Anhang 1: Datenschutz-Glossar

Für die Zwecke dieser Datenschutzrichtlinie werden die folgenden Begriffe mit den dazugehörigen Definitionen verwendet:

Begriff Definition
ANWENDBARE DATENSCHUTZGESETZE

Alle Gesetze, die auf die VERARBEITUNG PERSONENBEZOGENER DATEN anwendbar sind, einschließlich, ohne Einschränkung und soweit anwendbar (i) die Europäische Datenschutzverordnung 2016/679 (General Data Protection Regulation, "GDPR") in Bezug auf die VERARBEITUNG PERSONENBEZOGENER DATEN, (ii) jegliche anwendbare LOKALE GESETZGEBUNG.

BCR Verbindliche Unternehmensregeln, wie in Anhang 2 "Übermittlung von PERSONENBEZOGENEN DATEN" beschrieben
CGI-GESELLSCHAFT Alle Gesellschaften der CGI-Gruppe, mit Ausnahme von CGI Federal Inc. und ihren Tochtergesellschaften.
CGI PARTNER Mitarbeiter von CGI-GESELLSCHAFTEN.
CPO Chief Privacy Officer, wie im Abschnitt "CGI-Datenschutzorganisation" beschrieben.
VERANTWORTLICHER Jede Stelle, die über die Zwecke und Mittel der VERARBEITUNG personenbezogener Daten bestimmt. Der Kunde ist der VERANTWORTLICHE, wenn CGI PERSONENBEZOGENE DATEN in seinem Namen innerhalb eines Kundenprojekts VERARBEITET. CGI handelt als VERANTWORTLICHER, wenn es eine neue interne Lösung für ihre eigenen Zwecke implementiert, die PERSONENBEZOGENE DATEN VERARBEITET.
AUFTRAGSVERARBEITER Jede Stelle, die im Namen und auf Anweisung eines VERANTWORTLICHEN handelt. CGI ist ein AUFTRAGSVERARBEITER, wenn sie PERSONENBEZOGENE DATEN im Namen ihrer Kunden VERARBEITET.
DPF Transatlantischer Datenschutzrahmen (Data Privacy Framework) wie in Anhang 2 "Übermittlung von PERSONENBEZOGENEN DATEN" beschrieben
LOKALE GESETZGEBUNG Alle Gesetze, die in den Ländern gelten, in denen CGI tätig ist, einschließlich, aber nicht beschränkt auf: Datenschutz, Sicherheit, Arbeitsrecht, Branchen- und Verbraucherrecht.
PERSONENBEZOGENE DATEN Alle Informationen über eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den PERSONENBEZOGENEN DATEN gehören auch SENSIBLE PERSONENBEZOGENE DATEN.
VERARBEITUNG oder VERARBEITET Jeder Vorgang oder jede Reihe von Vorgängen, die mit PERSONENBEZOGENEN DATEN durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Ändern, Abrufen, Abfragen (einschließlich Fernzugriff), Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.
SENSIBLE PERSONENBEZOGENE DATEN Besondere Kategorien PERSONENBEZOGENER DATEN, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die VERARBEITUNG von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person sowie von Strafregisterdaten.
DRITTANBIETER Alle Dritten, die von CGI beauftragt wurden oder CGI Waren und/oder Dienstleistungen zur Verfügung stellen, einschließlich Lieferanten, Auftragnehmer, Unterauftragnehmer und Freiberufler.
ÜBERTRAGUNG Übermittlung PERSONENBEZOGENER DATEN an eine andere CGI-GESELLSCHAFT oder eine andere Partei oder Zugänglichmachung der PERSONENBEZOGENEN DATEN durch diese, wenn die andere CGI-GESELLSCHAFT oder Partei nicht in demselben Land, derselben Provinz oder demselben geografischen Gebiet ansässig ist, wie in Anhang 2 "Übermittlung personenbezogener Daten" beschrieben.
Anhang 2: Übermittlung von PERSONENBEZOGENEN DATEN

Jede Übermittlung PERSONENBEZOGENER DATEN muss in Übereinstimmung mit den GELTENDEN DATENSCHUTZGESETZEN und den Bestimmungen dieses Anhangs 2 erfolgen.

1) ÜBERTRAGUNG INNERHALB VON CGI

Eine CGI-GESELLSCHAFT, die an einer ÜBERTRAGUNG beteiligt ist, muss sicherstellen, dass angemessene technische und organisatorische Maßnahmen, die den VERARBEITUNGsrisiken entsprechen, in Übereinstimmung mit dieser Datenschutzrichtlinie und den Sicherheitsrichtlinien, ­prozessen und ­standards von CGI umgesetzt werden. Diese angemessenen technischen und organisatorischen Maßnahmen müssen vertraglich vereinbart und in einer Datenverarbeitungsvereinbarung oder einem gleichwertigen Vertrag festgehalten werden.

(I) VERBINDLICHE INTERNE DATENSCHUTZVORSCHRIFTEN

CGI darf PERSONENBEZOGENE DATEN von Personen in der EU nur in Übereinstimmung mit den GELTENDEN DATENSCHUTZGESETZEN und den verbindlichen internen Datenschutzvorschriften ("BCR") von CGI übertragen. Die BCRs wurden von der französischen Datenschutzaufsichtsbehörde am 22. Juli 2021 genehmigt und bis zur aktuell gültigen Fassung weiterentwickelt. Die BCRs gelten für alle in den BCRs aufgeführten CGI-GESELLSCHAFTen, und jede teilnehmende CGI-GESELLSCHAFT ist für den Nachweis der Einhaltung der BCRs verantwortlich. Alle CGI PARTNER sind an die BCRs gebunden.

Weitere Informationen über unsere BCRs finden Sie im Intranet von CGI, auf der öffentlich zugänglichen Website des Unternehmens und im Register des Europäischen Datenschutzausschusses.

(II) EU-USA DATENSCHUTZRAHMEN (DPF), DIE ERWEITERUNG AUF DAS VEREINIGTE KÖNIGREICH UND DAS SWISS-US DATA PRIVACY FRAMEWORK

Gemäß der vom US-Handelsministerium erteilten Genehmigung sind die folgenden CGI-GESELLSCHAFTen im Rahmen des EU-US Datenschutzrahmens ("DPF"), der britischen Erweiterung und des Swiss-US DPF selbstzertifiziert:

  • CGI Technologies and Solutions Inc.
  • CGI Information Systems and Management Consultants (New York) Inc.
  • CGI Group Holdings USA Inc.
  • Accounts Receivable Automated Solutions Inc.

Diese DPF bieten den oben genannten CGI-Gesellschaften zuverlässige Mechanismen für die Übermittlung PERSONENBEZOGENER DATEN aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz in die Vereinigten Staaten und gewährleisten gleichzeitig einen Datenschutz, der mit den geltenden Datenschutzgesetzen der EU, des Vereinigten Königreichs und der Schweiz im Einklang steht.

CGI hält sich an das EU-U.S. Data Privacy Framework (EU-U.S. DPF) und die britische Erweiterung des EU-U.S. DPF sowie an das Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF), wie es vom U.S. Department of Commerce festgelegt wurde. CGI hat gegenüber dem U.S. Department of Commerce bestätigt, dass sie die EU-U.S. Data Privacy Framework Prinzipien (EU-U.S. DPF Principles) in Bezug auf die VERARBEITUNG PERSONENBEZOGENER DATEN einhält, die es aus der Europäischen Union und dem Vereinigten Königreich unter Berufung auf das EU-U.S. DPF und der britischen Erweiterung des EU-U.S. DPF erhält. CGI hat gegenüber dem U.S. Department of Commerce bestätigt, dass es die Swiss-U.S. Data Privacy Framework Prinzipien (Swiss-U.S. DPF Principles) in Bezug auf die VERARBEITUNG PERSONENBEZOGENER DATEN aus der Schweiz unter Berufung auf die Swiss-U.S. DPF einhält. Bei Widersprüchen zwischen den Bestimmungen dieser Datenschutzrichtlinie und den EU-U.S. DPF Prinzipien und/oder den Swiss-U.S. DPF Prinzipien haben diese Prinzipien Vorrang.

Um mehr über das Data Privacy Framework (DPF) Programm zu erfahren und unser Zertifikat einzusehen, besuchen Sie bitte https://www.dataprivacyframework.gov/.

Die Federal Trade Commission ist zuständig für die Einhaltung des EU-U.S. Data Privacy Framework (EU-U.S. DPF) und der UK Extension zum EU-U.S. DPF sowie des Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) durch CGI.

Im Rahmen einer Weitergabe ist CGI für die VERARBEITUNG PERSONENBEZOGENER DATEN verantwortlich, die sie im Rahmen der DPF-Prinzipien erhält und anschließend an einen DRITTANBIETER weitergibt, der in ihrem Namen als Vertreter handelt. CGI bleibt gemäß den DPF-Prinzipien haftbar, wenn ein von CGI beauftragter DRITTANBIETER solche PERSONENBEZOGENEN DATEN in einer Weise VERARBEITET, die nicht mit den DPF-Prinzipien vereinbar ist, es sei denn, CGI weist nach, dass sie für das Ereignis, das den Schaden verursacht hat, nicht verantwortlich ist.

Einzelpersonen können unter bestimmten Bedingungen ein verbindliches Schiedsverfahren für Beschwerden über die Einhaltung der Bestimmungen des DPF in Anspruch nehmen, die nicht durch einen der anderen DPF-Mechanismen gelöst wurden, wie in ANHANG I des DPF beschrieben.

2) WEITERGABE AN DRITTE

CGI führt regelmäßig sorgfältige Prüfungen und Bewertungen der Datenschutz- und Sicherheitsrisiken bei den von CGI beauftragten DRITTANBIETERN durch, um deren Unternehmensfähigkeiten und Reifegrad in Bezug auf Sicherheit und Datenschutz zu ermitteln.

Wann immer CGI bei der VERARBEITUNG PERSONENBEZOGENER DATEN auf DRITTANBIETER zurückgreift, stellt CGI sicher, dass diese DRITTANBIETER ein angemessenes Schutzniveau für die von ihnen verarbeiteten PERSONENBEZOGENEN DATEN gemäß den geltenden Datenschutzgesetzen bieten.