Als Teil eines globalen IT- und Unternehmensberatungsunternehmens hat sich CGI Deutschland B.V. & Co. KG, Leinfelder Straße 60, 70771 Leinfelden-Echterdingen, Deutschland, verpflichtet, ein Schutzniveau für personenbezogene Daten aufrechtzuerhalten, das sich an den Best Practices der Branche orientiert und mindestens den Anforderungen der anwendbaren Datenschutzgesetze und den vertraglichen Verpflichtungen von CGI entspricht.

Im Rahmen dieser Verpflichtung verlangt CGI von ihren Mitarbeitern und allen Dritten, die von CGI beauftragt werden oder CGI Waren und/oder Dienstleistungen zur Verfügung stellen (einschließlich Drittlieferanten, Unterauftragnehmern und Freiberuflern), angemessene Maßnahmen zum Schutz personenbezogener Daten bei der Ausführung ihrer Aufgaben zu ergreifen.

CGI hat diese Datenschutzrichtlinie ("Richtlinie") herausgegeben, um Sie darüber zu informieren, wie und warum wir Ihre personenbezogenen Daten erheben und verarbeiten sowie über die Datenschutzpraktiken von CGI und Ihre Rechte als Betroffene in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten.

Diese Richtlinie legt den allgemeinen Standard fest, den CGI bei der Verarbeitung personenbezogener Daten eingeführt hat. Diese Richtlinie gilt, wenn CGI als Verantwortlicher oder als Auftragsverarbeiter handelt. Sie gilt für die Verarbeitung aller personenbezogenen Daten, unabhängig von der Art oder Kategorie der personenbezogenen Daten und unabhängig von den Medien, auf denen diese Daten gespeichert sind.

Weitere Einzelheiten zu bestimmten Verarbeitungstätigkeiten sind in den entsprechenden Datenschutzhinweisen zu finden. Diese Informationen können u. a. spezifische Betroffenenrechte, die Beschreibung der Weitergabe personenbezogener Daten, Aufbewahrungsfristen oder spezifische Rechtsgrundlagen betreffen. CGI hat sich verpflichtet, personenbezogene Daten mit dem gleichen Schutzniveau zu verarbeiten, unabhängig davon, ob sie für eigene Zwecke oder im Auftrag für Kunden oder Dritte verarbeitet. Die Umsetzung dieser Datenschutzrichtlinie erfordert, dass Member aller CGI-Gesellschaften und alle von CGI beauftragten Dritten ohne Ausnahme an ihrer Anwendung mitwirken.

CGI Datenschutzrichtlinie

Öffentliche Version - Deutsche Fassung

 

1 | Definitionen

Für die Zwecke dieser Richtlinie gelten die folgenden Definitionen:

  • "Anwendbares Datenschutzrecht" bezieht sich auf (i) die Europäische Datenschutzverordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG und (ii) alle Ausführungsgesetze der EU-Datenschutzverordnung und (iii) alle anwendbaren lokalen Gesetze in Bezug auf die Verarbeitung Personenbezogener Daten.
  • "CGI Gesellschaften" bezieht sich auf alle juristischen Personen, die direkt oder indirekt von CGI Inc. kontrolliert werden und personenbezogene Daten verarbeiten, mit Ausnahme aller juristischen Personen, die zum operativen Bereich von CGI Federal gehören.
  • "Verantwortlicher" bezieht sich auf jede Stelle (d. h. natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle), die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
  • "Auftragsverarbeiter" bezieht sich auf jede Stelle (d. h. natürliche oder juristische Person, Behörde, Agentur oder sonstige Einrichtung), die im Namen und auf Anweisung eines Verantwortlichen oder eines anderen Auftragsverarbeiters personenbezogene Daten verarbeitet.
  • "Betroffene Person" bezieht sich auf eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden, z. B. ein Mitarbeiter von CGI oder ein externer Berater in einem CGI-internen Kontext oder die Mitarbeiter oder Endnutzer eines Kunden in einem geschäftlichen Kontext.
  • "EWR" bezieht sich auf den Europäischen Wirtschaftsraum, der aus den Mitgliedstaaten der Europäischen Union (EU) sowie Island, Liechtenstein und Norwegen besteht, die im Folgenden auch als "Mitgliedstaaten" bezeichnet werden.
  • "Mitarbeiter" nur für die Zwecke dieser Richtlinie bedeutet dies einen Angestellten, Mitarbeiter, Arbeiter, individuellen Berater, Bevollmächtigten, leitenden Angestellten oder Direktor, und "Beschäftigung" ist entsprechend auszulegen. Die Mitarbeiterinnen und Mitarbeiter von CGI werden als "Member" bezeichnet.
  • "Lokale Gesetzgebung" bedeutet lokale Vorschriften, Gesetze, gerichtliche Entscheidungen oder verbindliche Normen.
  • "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie dem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den personenbezogenen Daten gehören auch sensible personenbezogene Daten.
  • "Verarbeiten", "Verarbeitung" oder "Verarbeitet" bezieht sich auf jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. das Erheben, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Ändern, Abrufen, Abfragen (einschließlich Fernzugriff), Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Angleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.
  • "Sensible personenbezogene Daten" beziehen sich auf bestimmte Kategorien personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, sowie auf die Verarbeitung genetischer oder biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, von Gesundheitsdaten und von Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.
2 | Umfang

Diese Richtlinie legt den allgemeinen Standard fest, den CGI bei der Verarbeitung personenbezogener Daten eingeführt hat. Diese Richtlinie gilt, wenn CGI als Verantwortlicher oder als Auftragsverarbeiter handelt. Sie gilt für die Verarbeitung aller personenbezogenen Daten, unabhängig von der Art oder Kategorie der personenbezogenen Daten und unabhängig von den Medien, auf denen diese Daten gespeichert sind.

Weitere Einzelheiten zu bestimmten Verarbeitungstätigkeiten sind in den entsprechenden Datenschutzhinweisen zu finden. Diese Informationen können u. a. spezifische Betroffenenrechte, die Beschreibung der Weitergabe personenbezogener Daten, Aufbewahrungsfristen oder spezifische Rechtsgrundlagen betreffen. CGI hat sich verpflichtet, personenbezogene Daten mit dem gleichen Schutzniveau zu verarbeiten, unabhängig davon, ob sie für eigene Zwecke oder im Auftrag für Kunden oder Dritte verarbeitet. Die Umsetzung dieser Datenschutzrichtlinie erfordert, dass Member aller CGI-Gesellschaften und alle von CGI beauftragten Dritten ohne Ausnahme an ihrer Anwendung mitwirken.

3 | Kategorien betroffener Personen

Im Rahmen ihrer Tätigkeit erhebt und verarbeitet CGI personenbezogene Daten in Bezug auf:

  • Stellenbewerber,
  • Mitarbeiter und ehemalige Mitarbeiter,
  • Öffentliche und private Kunden und Interessenten,
  • Öffentliche und private Auftraggeber und deren (potenzielle) Endkunden,
  • Aktionäre,
  • Dienstleister, Berater, Lieferanten, Auftragnehmer und Unterauftragnehmer,
  • Sonstige Dritte.
4 | Welche personenbezogenen Daten verwenden wir über Sie?

Vorbehaltlich der geltenden Datenschutzgesetze können einige oder alle der folgenden Kategorien personenbezogener Daten von CGI und von Dritten, die von CGI beauftragt wurden oder CGI Waren und/oder Dienstleistungen liefern, verarbeitet werden:

  • Identitäts- und Kontaktinformationen (z. B. Vorname, Nachname, Titel, Benutzername oder ähnliche Identifikatoren)
  • Informationen zu Berufsleben/Geschäftstätigkeit (z. B. E-Mail-Adresse, Arbeitgeber, Abteilung, Berufsbezeichnung, Telefonnummern, Rechnungs- oder Lieferadresse),
  • persönliche Informationen (z. B. Geburtsdatum, persönliche Kontaktdaten, Biografien, Mitgliedschaften, erklärte Interessenkonflikte, Gesundheitsdaten, Diversity-Informationen),
  • Wirtschafts- und Finanzdaten,
  • Daten in Bezug auf Standort, Protokollierung, Verkehrsdaten und Tracking sowie demografische Daten.
     

4.1 Personenbezogene Daten unserer Member oder ehemaligen Mitarbeiter

Bei der Verarbeitung personenbezogener Daten unserer Member oder ehemaliger Member werden wir als Verantwortliche die geltenden Datenschutzgesetze einhalten (einschließlich, falls erforderlich, der Einholung der Zustimmung der betroffenen Person oder der zuständigen Arbeitnehmervertretung - z. B. des Betriebsrats). Zusätzlich zu dieser Richtlinie können die Standardarbeitsverträge von CGI, die geltenden Richtlinien und Member-Informationen genaue und detaillierte Zwecke angeben, für die CGI von Zeit zu Zeit personenbezogene Daten erheben und verarbeiten darf.

Die Hauptzwecke für die Verarbeitung personenbezogener Daten (einschließlich sensibler personenbezogener Daten) in Bezug auf Member können folgende sein:

Gehaltsabrechnung, Rente, Finanzen und Aktien - CGI kann relevante personenbezogene Daten mit Verwaltern von Renten- und Aktienplänen, Anbietern von Plänen, Versicherungsgesellschaften, Steuerbehörden und anderen ähnlichen Dienstleistern in Bezug auf Beschäftigungsverpflichtungen und Member-Leistungen austauschen. CGI verarbeitet auch personenbezogene Daten zum Zweck der Identifizierung und Bezahlung von Membern sowie Sensible personenbezogene Daten, wenn dies nach geltendem Recht erforderlich ist (z. B. rassische oder ethnische Herkunft, religiöse oder philosophische Überzeugungen oder Gesundheitsdaten).

Kommerzielle Verwaltung und Management - CGI kann personenbezogene Daten für die Verwaltung ihrer kommerziellen Aktivitäten verwenden, z. B. für die Begleichung von Rechnungen, die Kommunikation mit ihren Geschäftspartnern und potenziellen Geschäftspartnern, die Organisation von Besprechungen, Geschäftsreisen, Visumsanträgen, die Verwaltung von Vermögenswerten und die Einhaltung und Verwaltung vertraglicher Verpflichtungen von Geschäftspartnern (einschließlich der Platzierung/Zuweisung von Membern an Kunden).

Mitarbeiterverwaltung und -management - CGI kann personenbezogene Daten (einschließlich sensibler personenbezogener Daten, wo angemessen und vorbehaltlich dieser Richtlinie und der geltenden Datenschutzgesetze,) über Member und (wo einschlägig) ihre Angehörigen und nächsten Verwandten für Zwecke im Zusammenhang mit ihrer Beschäftigung bei CGI verarbeiten. Dies kann die Rekrutierung, das allgemeine Management, das Leistungsmanagement, die Karriereentwicklung, die Einhaltung von Gesundheits- und Sicherheitsvorschriften, die Bereitstellung von Kranken- und Lebensversicherungen, die Überwachung der Einhaltung von Vorschriften im Krankheitsfall, Diversity Monitoring, Disziplinarverfahren, Sicherheitsprüfungen (falls und wo erforderlich), Visumsanträge und andere Einwanderungsanforderungen, Mitteilungen an und von Membern, Member-Kontaktverzeichnisse, Zugangskontrollen zu sensiblen/sicheren Bereichen, die Verwaltung und das Management von IT-Systemen, die Zahlung von Steuern, die Bearbeitung von Ausgaben und die Gewährung von Member-Leistungen umfassen. Von Zeit zu Zeit und vorbehaltlich lokaler Anforderungen kann CGI ihren Membern eine Reihe von Vorteilen und Rabatten anbieten, die es mit anderen Unternehmen ausgehandelt hat, und kann relevante personenbezogene Daten an sorgfältig geprüfte Drittorganisationen weitergeben, um solche Vorteile anzubieten und zu gewähren.

Unternehmenssicherheit und Qualitätskontrolle - CGI stellt ihren Membern Computer, Laptops und (Mobil-)Telefone zur Verfügung, die den Zugang zum Internet, zu E-Mail und sozialen Medien, zum CGI-Intranet und zu verschiedenen Software-Anwendungen und -Tools ermöglichen. Neben diesen digitalen Geräten kann CGI auch Autos und physische Arbeitsräume zur Verfügung stellen (alle sind Eigentum des Unternehmens). CGI vertraut darauf, dass jedes Mitglied bei der Nutzung von Firmeneigentum verantwortungsbewusst und rechtmäßig handelt und sich strikt an alle geltenden Verhaltensregeln hält, die in diesem Zusammenhang herausgegeben werden, wie z. B. den Ethik- und Geschäftsverhaltenskodex, die Sicherheits- und Nutzungsrichtlinien und die Richtlinien für die Nutzung von Software Dritter. Nur aus Sicherheitsgründen kann CGI ihre Räumlichkeiten mit Kameras überwachen. CGI kann angemessene und rechtlich vertretbare Gründe haben, die Nutzung digitaler Geräte und den digitalen Datenverkehr über die von Membern genutzten Geräte zu überwachen, wobei die Notwendigkeit der Überwachung und die Privatsphäre des Mitglieds zu berücksichtigen sind. Anlassbezogene Untersuchungen werden nur aus triftigen Gründen in gezielten Situationen durchgeführt, und CGI Global Security wird immer in solche Untersuchungen einbezogen, wobei die Verfahren zur Untersuchung und Meldung von Sicherheitsvorfällen berücksichtigt werden. Eine unternehmensweite Überwachung und Aufzeichnung des Internet-Nutzungsverhaltens und der E-Mail-Korrespondenz durch CGI wird nur nach einem kollektiven Konsultationsprozess mit dem Betriebsrat durchgeführt.

Unternehmensfinanzierung, Fusionen und Übernahmen - Von Zeit zu Zeit kauft, verkauft und/oder überträgt CGI Konzernunternehmen, Geschäftsvermögen, Finanzinstrumente/-vereinbarungen und Verträge. Im Zusammenhang mit solchen Gelegenheiten, Geschäften und Vereinbarungen kann CGI relevante personenbezogene Daten mit potenziellen Käufern, Verkäufern, professionellen Beratern und Aufsichtsbehörden (einschließlich der Einreichung von Anträgen bei den zuständigen Regierungsbehörden) weitergeben, vorbehaltlich Vertraulichkeitsverpflichtungen und lokaler gesetzlicher Einschränkungen.

Regulatorische, berufliche und mitgliedschaftliche Anforderungen - CGI kann personenbezogene Daten von Membern verarbeiten und personenbezogene Daten an relevante Aufsichtsbehörden, Regierungsbehörden und Berufs-/Handels-/Industrieorganisationen im Zusammenhang mit Mitgliedschaftsanträgen und -verlängerungen, regulatorischen Anforderungen (einschließlich Sicherheits-, regulatorischen/rechtlichen Berichtspflichten), beruflichen Standards usw. übermitteln.

Gesundheit, Sicherheit, Recht und Versicherung - CGI kann personenbezogene Daten verarbeiten und an geeignete Dritte weitergeben (einschließlich der Manager von CGI-Einrichtungen, Veranstaltungsorganisatoren, Versicherer, Berater und Geschäftspartner), um Gesundheits-, Sicherheits-, Rechts-, Versicherungs-, Reise- und Notfallanforderungen zu erfüllen.

Einhaltung lokaler gesetzlicher Vorschriften und vereinbarter Praktiken - CGI kann personenbezogene Daten verarbeiten und an andere Unternehmen innerhalb der CGI-Gruppe und/oder an geeignete Dritte weitergeben, wenn dies die lokalen Gesetze dies vorschreiben oder erlauben oder wenn lokale Praktiken mit Membern, Arbeitnehmervertretern, Datenschutzbeauftragten und/oder Datenschutzbehörden/Regulierungsbehörden vereinbart wurden.
 

4.2 Personenbezogene Daten unserer Kunden

Bei der Verarbeitung personenbezogener Daten unserer Kunden agieren wir als Auftragsverarbeiter und befolgen die ordnungsgemäß dokumentierten Anweisungen der jeweiligen Kunden für deren vorgegebene Zwecke, wie beispielsweise:

Management von Kundenprojekten und -dienstleistungen in branchenübergreifenden Bereichen wie Banken, Versorgungsunternehmen, Fertigung, Versicherungen, Behörden, Einzelhandel, Verbraucher und Dienstleistungen, Gesundheit und Biowissenschaften, Transport und Logistik, Öl und Gas oder Kommunikation und Medien, einschließlich Eingabe, Korrektur und Konsolidierung personenbezogener Daten, Speicherung, Aufzeichnung und Backup, Datenmanagement und -analyse, Verwaltung individueller Anfragen, Anwendungs- und Infrastrukturmanagement, Entwicklung und Tests, Korrespondenz, delegierte/konsolidierte/ausgelagerte IT-Systemadministration, Hosting und Management, einschließlich Zugangskontrolle und Audit, Anlagenmanagement, Ausgabenbearbeitung, Marketing und Forschungsanalyse.

Soweit wir als Verantwortlicher handeln, verarbeiten wir personenbezogene Daten unsere Kunden für folgende Zwecke:

Verwaltung der Governance, der Durchführung und des Abschlusses von Kundenprojekten und -dienstleistungen, einschließlich Rechnungsstellung, Fakturierung, Projektzusammenarbeit, Bearbeitung von Serviceanfragen, Berichterstattung und Auditaktivitäten. Für diese Zwecke verarbeiten wir folgende personenbezogene Daten: Name, E-Mail-Adresse, Telefonnummer und Funktion/Titel;

Pressemitteilungen oder Marketinginformationen als Teil unserer Unternehmenskommunikation und die Erstellung und Pflege entsprechender Mailinglisten erfordern die Verarbeitung folgender personenbezogener Daten: Name, E-Mail-Adresse, Anschrift und möglicherweise zusätzliche Informationen wie Telefonnummern. Diese Verarbeitung erfolgt auf Grundlage von Art. 6 (1) lit. a) und f) DSGVO, d.h. auf Ihrer Einwilligung und/oder auf dem berechtigten Interesse von CGI an einer effizienten und angemessenen Unternehmenskommunikation. Personenbezogene Daten werden so lange gespeichert, wie es für die Zwecke der Unternehmenskommunikation erforderlich ist, oder werden vorher gelöscht, wenn Sie uns mitgeteilt haben, dass Sie keine Informationen mehr von CGI erhalten möchten.
 

4.3 Personenbezogene Daten über andere betroffene Personen

CGI kann auch personenbezogene Daten anderer Betroffener (z. B. Anfragender, Website-Besucher, Marketing-/Geschäftskontakte, potenzielle Bewerber, Besucher der CGI-Büros) zu den unten beschriebenen Zwecken verarbeiten:

  • Planung und Verwaltung,
  • Human Resources und Recruitment,
  • Finanzen,
  • IT/Sicherheit
  • Kommunikation/Marketing,
  • Business Engineering und Betrieb
  • Rechtliche Belange

CGI wird in der Regel als Datenverantwortlicher in Bezug auf solche Verarbeitungsvorgänge handeln und jeder Dritte, der von CGI beauftragt wird oder CGI Waren und/oder Dienstleistungen zur Verfügung stellt, wird in der Regel als Auftragsverarbeiter handeln.

5 | Warum verwenden wir Ihre personenbezogenen Daten?

CGI verarbeitet personenbezogene Daten nur, wenn dies unbedingt erforderlich ist, und wendet weitere Grundsätze an, je nachdem, ob CGI als Verantwortlicher oder als Auftragsverarbeiter handelt.
 

5.1 Grundsätze, wenn CGI als Verantwortlicher handelt

Transparenz, Fairness und Rechtmäßigkeit: CGI Verarbeitet personenbezogene Daten rechtmäßig, fair und in einer transparenten Art und Weise in Bezug auf die betroffene Person, in Übereinstimmung mit den Anforderungen dieser Richtlinie durch die Verwendung von Datenschutzhinweisen, die eindeutig die Informationen enthalten, die für die Einhaltung der anwendbaren Datenschutzgesetze erforderlich sind.

Festlegung des Zwecks: Jeder Verarbeitung personenbezogener Daten durch CGI, insbesondere deren Erhebung, geht die Festlegung des spezifischen Zwecks für diese Verarbeitung voraus. Dieser Zweck muss ausdrücklich und rechtmäßig sein. Personenbezogene Daten dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesem Zweck unvereinbar ist.

Datenminimierung: Sobald der Zweck für die Verarbeitung personenbezogener Daten festgelegt wurde, wird CGI personenbezogene Daten nur in dem Umfang erfassen, der für die Erfüllung dieses Zwecks erforderlich ist. Jeder Abschnitt der Datenverarbeitung wird frühzeitig in der Planung überprüfte und in den Datenschutz- und Sicherheitsüberprüfungs- und Genehmigungsprozessen oder anderweitig einbezogen, um sicherzustellen, dass die personenbezogenen Daten angemessen, relevant und auf das beschränkt sind, was in Bezug auf den Zweck, für den sie Verarbeitet werden, erforderlich ist.

Qualität der personenbezogenen Daten: Während des gesamten Lebenszyklus der Verarbeitung personenbezogener Daten stellt CGI sicher, dass die gesammelten personenbezogenen Daten richtig und auf dem neuesten Stand bleiben. Es werden alle angemessenen Schritte unternommen, um sicherzustellen, dass unrichtige personenbezogene Daten unverzüglich gelöscht oder berichtigt werden, einschließlich, aber nicht beschränkt auf Self-Service-Optionen für die betroffenen Personen. Insbesondere stellt CGI den betroffenen Personen angemessene Mittel zur Verfügung, um CGI im Falle einer Änderung ihrer persönlichen Daten zu informieren.

Begrenzung der Datenspeicherung: CGI stellt sicher, dass Ihre personenbezogenen Daten nicht länger aufbewahrt werden, als es für die Erreichung des Zwecks, für den sie erhoben wurden, unbedingt erforderlich ist. Folglich wird CGI vor der Durchführung der Verarbeitung eine angemessene Aufbewahrungsfrist festlegen. Dabei berücksichtigt CGI den Zeitraum, in dem die personenbezogenen Daten zur Erreichung des Zwecks der Verarbeitung erforderlich sind, unter Berücksichtigung der folgenden Faktoren:

  • Zeitraum, nach dem die Beibehaltung dieser personenbezogenen Daten Auswirkungen auf das Recht der betroffenen Personen auf Vergessenwerden haben kann; und
  • gesetzliche Verpflichtungen, die eine Mindestaufbewahrungsfrist für Daten vorschreiben, wie sie in der CGI-Richtlinie zur Aufbewahrung von Aufzeichnungen und dem Aufbewahrungsplan für Aufzeichnungen oder anderweitig definiert sein können.

Festlegung einer Rechtsgrundlage: Zusätzlich zu den oben genannten Grundsätzen darf eine Verarbeitung nur dann erfolgen, wenn sie unter einen der nachstehend oder unter 5.3 dieser Datenschutzrichtlinie genannten Umstände fällt:

  • Sie ist notwendig, um einer gesetzlichen Verpflichtung nachzukommen, die für CGI gilt (z. B. Meldung von Daten an die Steuerbehörden) (Art. 6 Abs. 1 lit. c) DSGVO); oder
  • Sie ist für die Durchführung eines Vertrages (z.B. Dienstleistungsvertrag mit einem Kunden oder Betriebsratsvereinbarungen) erforderlich (Art. 6 Abs. 1 lit. b), Art. 88 Abs. 1 DSGVO und § 26 BDSG ("Bundesdatenschutzgesetz"); oder
  • Sie ist für das berechtigte Interesse von CGI erforderlich, wobei dieses berechtigte Interesse von CGI gegen die Interessen der betroffenen Personen abgewogen werden muss (Art. 6 Abs. 1 lit. f) DSGVO):
    • Die Verarbeitung ist notwendig, um das von CGI verfolgte Interesse zu erreichen, ohne die Interessen und/oder die Privatsphäre der betroffenen Person zu beeinträchtigen;
    • das Interesse von CGI wird nicht durch die Grundrechte oder Interessen der betroffenen Personen überlagert; und
    • das Interesse von CGI wird im Lichte des Kerngeschäfts von CGI bestimmt, muss jedoch alle geltenden Datenschutzgesetze auf transparente Weise einhalten;
  • Sie ist für lebenswichtige Interessen der betroffenen Person erforderlich (Art. 6 Abs. 1 lit. d) DSGVO), oder
  • Sie ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e) DSGVO).

Wenn keine der oben genannten Rechtsgrundlagen anwendbar ist, holt CGI vor der Verarbeitung der Personenbezogenen Daten die vorherige Einwilligung der betroffenen Person ein (Art. 6 Abs. 1 lit. a) DSGVO), wobei die Einwilligung der betroffenen Person wirksam ist, wenn (i) sie freiwillig durch eine eindeutige bestätigende Handlung erteilt wird und (ii) sie eine spezifische, informierte und unmissverständliche Angabe der Zustimmung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten darstellt.
Technische und organisatorische Maßnahmen: CGI ergreift geeignete technische und organisatorische Maßnahmen, um den unrechtmäßigen Zugriff auf und/oder die Verarbeitung von personenbezogenen Daten zu verhindern, einschließlich der versehentlichen oder unrechtmäßigen Vernichtung, des Verlusts, der Veränderung, der unbefugten Offenlegung oder des Zugangs zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogene Daten. Insbesondere gewährt CGI nur dann Zugriff auf personenbezogene Daten, wenn dies für die Erfüllung der zugewiesenen Aufgaben im Einklang mit dem Zweck, für den die personenbezogenen Daten verarbeitet werden, erforderlich ist. Wenn CGI einen Dritten mit der Verarbeitung in ihrem Namen beauftragt, stellt sie sicher, dass dieser Dritte durch vertragliche Vereinbarungen gleichwertige Maßnahmen ergreift. Im Falle eines unrechtmäßigen Zugriffs und/oder einer unrechtmäßigen Verarbeitung hält sich CGI an ihre Informationssicherheitspolitik und die damit zusammenhängenden Verfahren.

Datenschutz-Folgenabschätzung (DSFA): CGI ist für die Überwachung der Einhaltung der geltenden Datenschutzgesetze bei der Datenverarbeitung verantwortlich. Wenn eine Art der Verarbeitung, insbesondere unter Verwendung neuer Technologien, unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung wahrscheinlich zu einem hohen Risiko für den Schutz Ihrer Daten führt, leitet CGI ein Verfahren zur Datenschutz-Folgenabschätzung ein, das es CGI ermöglicht:

  • zu ermitteln, welche Verarbeitungen ein besonderes Risiko für den Schutz personenbezogener Daten darstellen;
  • zu beurteilen, inwieweit die Grundsätze der Verarbeitung der anwendbaren Datenschutzgesetze eingehalten werden;
  • den Schweregrad oder die Wahrscheinlichkeit des mit der Verarbeitung verbundenen Risikos zu bewerten; und
  • die zu ergreifenden Abhilfemaßnahmen festzulegen, um sicherzustellen, dass die Risiken bei der Verarbeitung personenbezogener Daten gemindert werden und die Verarbeitung im Einklang mit den geltenden Datenschutzvorschriften erfolgt. Bleiben die Risiken für die betroffenen Personen auch nach der Risikominderung erheblich, wird die zuständige Datenschutzbehörde vor Beginn der geplanten Verarbeitung konsultiert, sofern dies nach den geltenden Datenschutzvorschriften erforderlich ist.

Zur Erfüllung unserer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nachzukommen, werden alle Dokumente zur Datenschutz-Folgenabschätzung mindestens für die Dauer der Datenverarbeitung aufbewahrt, für die sie gelten.
 

5.2 Grundsätze, wenn CGI als Auftragsverarbeiter handelt

CGI stellt sicher, dass die Verarbeitung personenbezogener Daten ausschließlich in Übereinstimmung mit den dokumentierten Anweisungen des Verantwortlichen erfolgt.
Eine solche Verarbeitung erfolgt insbesondere:

  • Nur für den ausdrücklichen Zweck des Verantwortlichen;
  • zu den zwischen CGI und dem Verantwortlichen vereinbarten Bedingungen;
  • nicht länger, als vom Verantwortlichen ausdrücklich vorgeschrieben; und
  • gemäß den schriftlichen Anweisungen des Verantwortlichen, wie sie in der zwischen CGI und dem Verantwortlichen abgeschlossenen Auftragsdatenverarbeitungsvereinbarung festgelegt sind.

Der Verantwortliche ist allein dafür verantwortlich, dass eine gültige Rechtsgrundlage für die von CGI durchgeführte Verarbeitung besteht und dass die erforderliche Verarbeitung mit den geltenden Datenschutzgesetzen, einschließlich der anzuwendenden Aufbewahrungsfrist, übereinstimmt. CGI wird den Verantwortlichen jedoch unverzüglich informieren, wenn ihrer Meinung nach eine Weisung des Verantwortlichen gegen die geltende Datenschutzgesetzgebung verstößt.

Sofern der Verantwortliche keine anderslautenden Anweisungen erteilt, wendet CGI (als Minimum) dieselben Sicherheitsgrundsätze an, die sie anwendet, wenn sie als für die Datenverarbeitung Verantwortlicher tätig ist.

CGI unterstützt den Verantwortlichen in angemessener Weise bei der Erfüllung seiner Verpflichtungen aus den geltenden Datenschutzgesetzen. Die Unterstützung, die CGI dem Verantwortlichen für die Einhaltung der Vorschriften gemäß diesem Abschnitt gewährt, unterliegt den finanziellen, technischen und organisatorischen Bedingungen, die zwischen CGI und dem Verantwortlichen in der jeweiligen Auftragsdatenverarbeitungsvereinbarung vereinbart wurden. Nach Beendigung der jeweiligen Auftragsdatenverarbeitungsvereinbarung werden CGI und alle von CGI beauftragten Dritten alle personenbezogenen Daten gemäß den Weisungen des Kunden und den geltenden Datenschutzgesetzen entweder vernichten oder an diesen zurückgeben. Im Falle der Vernichtung bescheinigt CGI dem Verantwortlichen, dass die Löschung erfolgt ist. Im Falle einer Rückgabe stellt CGI die Vertraulichkeit der an den Datenverantwortlichen übermittelten personenbezogenen Daten sicher, indem sie sich an die Weisungen des Kunden hält.

Vorsorglich wird festgehalten, dass nichts in dieser Richtlinie das Recht von CGI einschränkt, personenbezogene Daten für die Zwecke bestehender Rechtsstreitigkeiten oder für die Erhebung oder Verteidigung künftiger Ansprüche in Übereinstimmung mit den für CGI geltenden gesetzlichen Verjährungsfristen aufzubewahren.
 

5.3 Grundsätze bei der Verarbeitung Sensibler personenbezogener Daten durch CGI

CGI wird als Verantwortlicher Sensible personenbezogene Daten nur dann verarbeiten, wenn dies unbedingt erforderlich ist.

In diesem Fall muss CGI sicherstellen, dass mindestens eine der folgenden Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre vorherige Einwilligung gegeben (Art. 9 Abs. 2 lit. a) DSGVO);
  • Die Verarbeitung ist zur Erfüllung der Pflichten und zur Ausübung bestimmter Rechte des Verantwortlichen oder der betroffenen Person auf dem Gebiet des Arbeits- und Sozialversicherungsrechts und des Sozialschutzes erforderlich (Art. 9 Abs. 2 lit. b) DSGVO);
  • Wenn die betroffene Person nicht in der Lage ist, ihre Einwilligung zu geben (z. B. aus medizinischen Gründen), ist die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich (Art. 9 Abs. 2 lit. c) DSGVO);
  • Die Verarbeitung ist im Rahmen der Präventivmedizin oder der medizinischen Diagnose durch einen Angehörigen der Gesundheitsberufe gemäß der lokalen Gesetzgebung erforderlich (Art. 9 Abs. 2 lit. h) DSGVO);
  • Die betroffene Person hat die betreffenden Sensiblen personenbezogenen Daten bereits offenkundig der Öffentlichkeit zugänglich gemacht (Art. 9 Abs. 2 lit. e) DSGVO);
  • Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, sofern kein Grund zu der Annahme besteht, dass die betroffene Person ein überwiegendes schutzwürdiges Interesse daran hat, dass die Sensiblen personenbezogenen Daten nicht verarbeitet werden (Art. 9 Abs. 2 lit. f) DSGVO); oder
  • Die Verarbeitung ist durch die lokale Gesetzgebung (Art. 9 Abs. 4 DSGVO in Verbindung mit der jeweiligen lokalen Gesetzgebung) ausdrücklich erlaubt (z.B. Registrierung/Schutz von Minderheiten).

Wenn CGI als Auftragsverarbeiter Sensible personenbezogene Daten verarbeiten muss, befolgt CGI die schriftlichen Anweisungen des für Verantwortlichen und wendet die zwischen den Parteien vereinbarten Maßnahmen an, die mindestens den CGI-Sicherheitsgrundsätzen entsprechen müssen.

Der Verantwortliche muss eine gültige Rechtsgrundlage für die von CGI durchgeführte Verarbeitung gewährleisten.

In jedem Fall wird CGI Sensible personenbezogene Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeiten und alle vorgeschriebenen spezifischen Hosting- und Verarbeitungsbedingungen einhalten.
 

5.4 Datenschutz durch Technik/Datenschutz durch Voreinstellung

Wie die in dieser Richtlinie eingegangenen Verpflichtungen zeigen, ist CGI bestrebt, ein angemessenes Schutzniveau für die von ihr verarbeiteten personenbezogenen Daten zu gewährleisten. Um sicherzustellen, dass die in dieser Richtlinie definierten Grundsätze bei der Verarbeitung personenbezogener Daten durch CGI tatsächlich berücksichtigt werden, wird CGI zu Beginn eines neuen Projekts alle datenschutzrechtlichen Einschränkungen identifizieren und ansprechen, so dass die hierin enthaltenen Grundsätze bei der Konzeption des Projekts berücksichtigt und angemessen umgesetzt werden.

Wenn CGI als Auftragsverarbeiter auftritt, muss die Datenschutzorganisation die Datenschutzaspekte des Angebots und/oder der für einen Kunden entwickelten Dienstleistungen überprüfen und genehmigen. Wenn CGI als Verantwortlicher fungiert, muss die Datenschutzorganisation jedes neue interne Projekt von CGI vor Beginn seiner Entwicklung und anschließenden Umsetzung genehmigen.

6 | Umgang mit Datenschutzvorfällen und Datenschutzverletzungen

6.1 Behandlung von Zwischenfällen

CGI verfügt über ein ausgereiftes, standardisiertes Verfahren zur Reaktion auf und zum Management von Sicherheitsvorfällen, das für alle Phasen eines solchen ausgelegt ist. Die Verantwortlichkeiten der Member sind auf allen Ebenen klar definiert. Die Standards zur Bewertung und Priorisierung von Vorfällen werden befolgt, um ein angemessenes Maß an Engagement und eine zeitnahe Lösung zu gewährleisten. Es werden Aufzeichnungen über Vorfälle geführt und bei Bedarf an die Geschäftsleitung weitergeleitet. Vorfälle mit hoher Priorität werden von CGI´s Global Security Operations Centre (SOC) verwaltet, das rund um die Uhr besetzt ist und in dem hochqualifizierte Vollzeit-Mitarbeiter die Reaktionsmaßnahmen koordinieren. Das Datenschutzteam von CGI wird sofort in den Vorfallmanagementprozess einbezogen, wenn der Verdacht besteht, dass personenbezogene Daten betroffen sind.
 

6.2 Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

Unabhängig davon, ob CGI als Datenverantwortlicher oder als Auftragsverarbeiter agiert, wird CGI, wenn CGI vernünftigerweise davon ausgeht, dass eine Datenschutzverletzung vorliegt, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten geführt hat oder wahrscheinlich vorliegt, die zuständige Datenschutzbehörde, die betroffenen Personen und/oder den Datenverantwortlichen gemäß den geltenden Datenschutzgesetzen oder anderen lokal geltenden Gesetzen über den Vorfall informieren und den Status-Aktualisierungen liefern.

In ähnlicher Weise und der Klarheit halber muss ein von CGI beauftragter Dritter, der eine Verletzung des Schutzes personenbezogener Daten feststellt, CGI wie in der entsprechenden Vereinbarung vereinbart informieren. Alle anderen Dritten können sich an datenschutz.de@cgi.com wenden, um einen möglichen oder vermuteten Verstoß zu melden.

7 | Mit wem teilen wir Ihre personenbezogenen Daten?

Im Rahmen der CGI-Tätigkeiten können wir Ihre Persönlichen Daten erfassen und sie weitergeben an:

  • CGI Unternehmen, falls und soweit Sie von unserem umfassenden Lösungs- und Dienstleistungsangebot im Rahmen unseres globalen Liefermodells profitieren können;
  • von CGI beauftragte Dritte, die Waren an CGI liefern oder Dienstleistungen in unserem Namen erbringen (z. B. Lieferanten, Subunternehmer und Freiberufler);
  • bestimmte reglementierte Berufe (z. B. Banken, Rechtsanwälte, Notare und Wirtschaftsprüfer),

CGI wird Ihre persönlichen Daten offenlegen, wenn die Offenlegung vernünftigerweise notwendig ist, um die Rechte von CGI zu schützen und verfügbare Rechtsmittel zu verfolgen, die Geschäftsbedingungen von CGI durchzusetzen, Betrug zu untersuchen oder den Betrieb oder die Kunden von CGI zu schützen.

CGI kann Ihre persönlichen Daten auch an Verwaltungsbehörden, Gerichte oder Regierungseinrichtung, staatliche Stellen oder öffentliche Einrichtungen weitergeben, und zwar unter strikter Einhaltung der geltenden Datenschutzgesetze und der lokalen Gesetzgebung und nach sorgfältiger Prüfung der Rechtmäßigkeit jeder Anordnung zur Weitergabe von Daten. CGI wird die Anordnung anfechten, wenn es nach dem Recht des Bestimmungslandes Gründe dafür gibt, und Sie über eine mögliche Anordnung in Übereinstimmung mit der örtlichen Gesetzgebung informieren.

8 | Übermittlung personenbezogener Daten

Die Übermittlung personenbezogener Daten aus der EU bezieht sich auf personenbezogene Daten von in der EU ansässigen oder betroffenen Personen, die in einem Drittland außerhalb des EWR verarbeitet (z. B. abgerufen, gesendet, verwendet, angesehen, kopiert, gelöscht) werden.
 

8.1 Innerhalb von CGI

CGI wird als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten aus der EU in Übereinstimmung mit den geltenden Datenschutzgesetzen und den verbindlichen internen Unternehmensregeln ("BCR") von CGI, die von der französischen Aufsichtsbehörde (CNIL) am 22. Juli nd2021 im Rahmen der DSGVO genehmigt wurden, übertragen. Das bedeutet, dass Ihre Betroffenenrechte unverändert bleiben, egal wo Ihre persönlichen Daten verarbeitet werden.

Sollten Sie Informationen zu den BCR von CGI benötigen, konsultieren Sie bitte Binding Corporate Rules (BCR) oder das Register des Europäischen Datenschutzausschusses.
Wenn CGI als Auftragsverarbeiter auftritt, muss der für die Datenverarbeitung Verantwortliche vorher schriftlich seine ausdrückliche oder allgemeine Zustimmung zum jeweiligen Übermittlungsmechanismus (Art. 44 ff. DSGVO) erteilen, bevor eine solche Übermittlung eingeleitet werden kann.

Die Übermittlung personenbezogener Daten aus Nicht-EU-Ländern erfolgt in Übereinstimmung mit den geltenden Datenschutzvorschriften.
 

8.2 An Dritte

Wenn CGI bei der Verarbeitung personenbezogener Daten auf Dritte zurückgreift, stellt CGI sicher, dass diese Dritten ein angemessenes Schutzniveau für die von ihnen verarbeiteten personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen bieten. CGI führt regelmäßig Due-Diligence-Prüfungen und Bewertungen der Datenschutz- und Sicherheitsrisiken bei allen von CGI beauftragten Dritten durch, um deren unternehmerische Fähigkeiten und Reife in Bezug auf Sicherheit und Datenschutz festzustellen, bevor mit ihnen einen Datenverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO oder Art. 26 DSGVO abgeschlossen wird. Wenn eine solche Verarbeitung Länder außerhalb der EU oder des EWR betrifft, werden Vereinbarungen über den jeweiligen Transfer (Art. 44 ff. DSGVO) getroffen.

9 | Welche Rechte haben Sie und wie können Sie sie wahrnehmen?

Betroffene Personen haben gemäß den geltenden Datenschutzgesetzen unterschiedliche Rechte, um Zugang zu ihren von CGI gespeicherten personenbezogenen Daten und/oder Informationen darüber zu verlangen, wie CGI ihre personenbezogenen Daten verarbeitet. Wenn Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, senden Sie Ihre Anfrage bitte an datenschutz.de@cgi.com.

Wenn CGI als Auftragsverarbeiter tätig ist, stellt sie ihren Kunden auf Anfrage relevante Informationen zur Verfügung, die diese Kunden in die Lage versetzen, ihren eigenen Verpflichtungen gegenüber den betroffenen Personen nachzukommen. Sofern in einer vertraglichen Vereinbarung nicht anders angegeben, ist CGI nicht verpflichtet, betroffene Personen direkt zu informieren, da dies in der Verantwortung des für Verantwortlichen liegt.

Gemäß der geltenden Datenschutzgesetzgebung haben Sie in Fällen, in denen CGI als Datenverantwortlicher fungiert, im Allgemeinen die folgenden Rechte:

  • Zugang zu Ihren persönlichen Daten und eine Kopie derselben zu erhalten;
  • Ihre unrichtigen oder unvollständigen personenbezogenen Daten zu berichtigen oder zu löschen;
  • jederzeit aus berechtigten Gründen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, es sei denn, eine solche Verarbeitung ist aufgrund der geltenden Datenschutzgesetze oder lokaler Gesetze erforderlich;
  • die Verarbeitung Ihrer personenbezogenen Daten einzuschränken, die nicht mehr richtig oder notwendig ist;
  • Ihre personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten;
  • Ihre Zustimmung zur Verarbeitung Ihrer personenbezogenen Daten zu widerrufen
  • eine Beschwerde bei einer zuständigen Aufsichtsbehörde einzureichen; für CGI Deutschland ist die primär zuständige Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.

CGI unterzieht Ihre personenbezogenen Daten grundsätzlich keinem Profiling im Sinne von Art. 22 DSGVO.

CGI handelt bei der Suche nach und der Bereitstellung von relevanten personenbezogenen Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen und anderen relevanten gesetzlichen und vertraglichen Verpflichtungen. CGI wird von Auftragsverarbeitern, die personenbezogene Daten verarbeiten, verlangen, dass sie dasselbe tun. Es kann sein, dass CGI Ihnen weitere Fragen in Bezug auf Ihre personenbezogenen Daten stellen muss oder um Ihre Identität zu überprüfen.

Bei Beendigung des Beschäftigungsverhältnisses, aus welchem Grund auch immer, bewahrt CGI die personenbezogenen Daten ehemaliger Mitarbeiter so lange auf, wie es nach den geltenden Gesetzen und Vorschriften zulässig und für die Bereitstellung angemessener laufender Leistungen und Dienste (z. B. Member-Aktienprogramme und Rentenverwaltung) erforderlich ist.

10 | Einhaltung dieser Datenschutzrichtlinie

10.1 Einhaltung durch die Member

Die Member erkennen die Anforderungen an und bestätigen jährlich ihre Zustimmung zu dieser Richtlinie. Zusätzlich zu dieser Richtlinie müssen die Member auch andere geltende Vertraulichkeits- und Datenschutzverpflichtungen einhalten, einschließlich derer, die in den geltenden Datenschutzgesetzen, ihren Arbeitsverträgen und den Richtlinien, Verfahren und Standards von CGI oder den Anweisungen des Kunden festgelegt sind.

Die Member müssen alle obligatorischen CGI-Schulungen zum Datenschutz und Sensibilisierungsprogramme absolvieren. Dazu gehören unter anderem obligatorische webbasierte Schulungen zum Datenschutz, zur Informationssicherheit, zur Korruptionsbekämpfung und zur Verwaltung von Unterlagen, Kommunikationskampagnen und spezifische Schulungen für die verschiedenen Funktionen innerhalb der Organisation.

Diese Schulungen und Sensibilisierungsprogramme werden regelmäßig auf den neuesten Stand gebracht, um Änderungen der geltenden Datenschutzgesetze zu berücksichtigen.
 

10.2 Einhaltung der Vorschriften durch von CGI beauftragte Dritte

Falls ein Dritter personenbezogene Daten im Auftrag von CGI verarbeitet, ist dieser Dritte verpflichtet:

  • sicherzustellen, dass seine Mitarbeiter, die auf vertrauliche Informationen von CGI zugreifen und personenbezogene Daten im Auftrag von CGI verarbeiten, innerhalb von 30 Tagen nach Inkrafttreten der zwischen CGI und dem Dritten unterzeichneten Vereinbarung alle von CGI vorgeschriebenen Schulungen zur Einhaltung der Vorschriften (einschließlich E-Learning-Schulungen zum Thema Sicherheit und Datenschutz) absolvieren;
  • diese Richtlinie und die Sicherheitsrichtlinien und -standards von CGI zusätzlich zu allen anderen Sicherheitskontrollen einzuhalten, die in vertraglichen Vereinbarungen zwischen CGI und ihren Kunden und/oder Partnern enthalten sind.
  • Personenbezogene Daten in Übereinstimmung mit den dokumentierten Anweisungen von CGI und für keinen anderen als den von CGI ausdrücklich schriftlich festgelegten Zweck zu verarbeiten, es sei denn, er ist aufgrund zwingender Rechtsvorschriften dazu verpflichtet. In diesem Fall muss der Dritte CGI vor der Verarbeitung unverzüglich über diese gesetzliche Verpflichtung informieren.
  • geeignete technische, organisatorische und vertragliche Maßnahmen zu ergreifen und aufrechtzuerhalten, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten und jede unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten sowie jeden versehentlichen Verlust, jede versehentliche Vernichtung oder Beschädigung personenbezogener Daten zu verhindern. Diese Maßnahmen müssen (i) den höchsten Standards und den von den Verarbeitungstätigkeiten ausgehenden Risiken Rechnung tragen, (ii) so konzipiert sein, dass die Datenschutzgrundsätze wirksam umgesetzt werden und die Verarbeitungstätigkeiten mit den erforderlichen Garantien versehen werden, um die Anforderungen der geltenden Datenschutzvorschriften zu erfüllen.
  • CGI, soweit gesetzlich zulässig, über jedes Ersuchen um Offenlegung personenbezogener Daten von CGI, das es von einem Dritten, einer Behörde oder einem Gericht erhält, sowie über jede Aktion und/oder Maßnahme bezüglich der Verarbeitung personenbezogener Daten von CGI, die von den Behörden untersucht wird, zu informieren;
  • jedem Ersuchen von CGI um Zugang, Berichtigung, Sperrung, Wiederherstellung, Löschung und Widerspruch in Bezug auf personenbezogene Daten von CGI nachzukommen und die Übertragbarkeit und das Recht auf Vergessen werden von personenbezogenen Daten von CGI sicherzustellen;
  • CGI unverzüglich über alle Änderungen zu informieren, die sich auf die Verarbeitung personenbezogener Daten von CGI auswirken könnten;
  • aktiv mit CGI zusammenzuarbeiten, um die Konformität der Verarbeitung personenbezogener Daten durch CGI zu bewerten und zu dokumentieren, einschließlich der Bereitstellung aller Informationen, die CGI benötigt oder anfordert, um die geltenden Datenschutzgesetze einzuhalten (einschließlich aller Informationen, die für die - Bewertung von Übermittlungsrisiken („Transfer Impact Assessment“, TIA) erforderlich sind);
  • CGI unverzüglich schriftlich zu informieren, wenn seiner Meinung nach eine Anweisung von CGI bezüglich der Verarbeitung der personenbezogenen Daten von CGI einen Verstoß gegen die geltenden Datenschutzgesetze darstellt.
11 | Verarbeitungsverzeichnis

CGI führt Aufzeichnungen über die Verarbeitungstätigkeiten, die von ihr als Verantwortlicher oder als Auftragsverarbeiter durchgeführt werden. CGI stellt sicher, dass jede neue Verarbeitung personenbezogener Daten im Verarbeitungsverzeichnis mit relevanten Informationen über den Kontext jeder Verarbeitung personenbezogener Daten aufgezeichnet wird. CGI stellt der Aufsichtsbehörde auf Anfrage ihr Verarbeitungsverzeichnis zur Verfügung.

12 | Änderungen an dieser Datenschutzrichtlinie

Diese Richtlinie kann von Zeit zu Zeit geändert werden, um der geltenden Datenschutzgesetzgebung und der lokalen Gesetzgebung zu entsprechen. CGI stellt sicher, dass die betroffenen Personen unverzüglich über alle wesentlichen Änderungen der Richtlinie informiert werden, und zwar durch ein "Update" auf CGI.com, per E-Mail oder durch eine andere geeignete Kommunikationsmethode. Sollten Sie eine Statusaktualisierung benötigen, können Sie eine Anfrage per E-Mail an datenschutz.de@cgi.com stellen.

13 | Datenschutzorganisation - Fragen

CGI hat einen Chief Privacy Officer ernannt, der die globale Datenschutzstrategie von CGI, die unternehmensweiten Datenschutzrichtlinien und -verfahren und die Einhaltung der Datenschutzbestimmungen überwacht, sowie ein Netzwerk von Datenschutz Business Partnern. Darüber hinaus hat CGI auch Datenschutzbeauftragte ernannt, sofern dies durch die geltenden Datenschutzgesetze vorgeschrieben ist.

Falls Sie Fragen oder Bedenken bezüglich der Auslegung oder Anwendung dieser Richtlinie haben, senden Sie bitte eine E-Mail an datenschutz.de@cgi.com oder wenden Sie sich an den Datenschutzbeauftragten von CGI, Deutschland B.V. & Co. KG, Datenschutzbeauftragter, Leinfelder Straße 60, 70771 Leinfelden-Echterdingen, Deutschland.