Binding Corporate Rules

Um den Umgang mit personenbezogenen Daten zwischen den Konzerngesellschaften der Unternehmensbereiche Fresenius Kabi (Fresenius Kabi AG und ihre Tochtergesellschaften) und Fresenius Corporate einheitlich zu regeln, haben wir Binding Corporate Rules (BCR) verabschiedet. Diese BCR sind von den europäischen Datenschutzbehörden genehmigt. 

Die BCR sind interne Regeln für die Datenverarbeitung in multinationalen Organisationen und zielen zusammen mit den zugehörigen Sicherheitsrichtlinien und -verfahren darauf ab, ein weltweit einheitliches und angemessenes Datenschutzniveau für die beteiligten Unternehmen zu schaffen.

Das Bekenntnis zu einem gemeinsamen Standard für die Verarbeitung personenbezogener Daten und zu einem wirksamen Ansatz für die Einhaltung des Datenschutzes unterstreicht unser Engagement für den Schutz Ihrer Privatsphäre auf globaler und lokaler Ebene.

Falls Sie sich für unsere verbindlichen Unternehmensregeln interessieren, sehen Sie sich bitte das Dokument oder die nachstehende Zusammenfassung an:

 

Fresenius Kabi Binding Corporate Rules Document

Dateiname
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Größe
415 KB
Format
pdf
Fresenius Kabi Binding Corporate Rules Document

Zusammenfassung der Binding Corporate Rules

Die nachstehende Zusammenfassung ersetzt nicht das Dokument mit den verbindlichen unternehmensinternen Regeln (Binding Corporate Rules - BCR). Das BCR-Dokument ist in jedem Fall das einzige Dokument, das rechtlich anwendbar ist.

Ein angemessenes und einheitliches Datenschutzniveau

Fresenius muss weltweit viele Datenschutzgesetze befolgen. Die Binding Corporate Rules (BCR) legen ein einheitliches und angemessenes Datenschutzniveau fest. Dies ermöglicht den internen Austausch personenbezogener Daten zwischen den beteiligten Fresenius-Gesellschaften.

Auf der ganzen Welt anwendbar

Die BCR gelten für die folgenden Fresenius-Gesellschaften:

  • Fresenius Kabi AG einschließlich aller Tochtergesellschaften / verbundenen Unternehmen 
  • Fresenius Digitaltechnik GmbH
  • Fresenius SE & Co. KGaA

Anwendbar für bestimmte Aktivitäten

Die BCR gelten für die folgenden Tätigkeiten zur Verarbeitung personenbezogener Daten: 

  • Alle Tätigkeiten von europäischen Stellen.
  • Aktivitäten von außereuropäischen Einrichtungen:
    • Wenn sie personenbezogene Daten im Auftrag einer europäischen Fresenius-Einheit erheben oder 
    • wenn sie mit einer europäischen Fresenius-Einheit zusammenarbeiten
    • Wenn sie personenbezogene Daten von europäischen Einrichtungen erhalten
    • Wenn sie personenbezogene Daten von in Europa ansässigen Personen für das Angebot von Waren und Dienstleistungen oder zur Verhaltensüberwachung erheben.

Die BCR gelten sowohl für papiergestützte als auch für IT-gestützte Verfahren. Die BCR gelten für alle Verfahren, die eine strukturierte Suche nach personenbezogenen Daten ermöglichen.

BCR legt das Mindestniveau fest

Falls lokale Datenschutzgesetze strengere oder zusätzliche Regeln für die Verarbeitung personenbezogener Daten vorschreiben, müssen diese zusätzlich beachtet werden.

Steht ein lokales Gesetz im Widerspruch zu den BCR, muss der Datenschutzbeauftragte (DSB) informiert werden. Der behördliche Datenschutzbeauftragte prüft die Auswirkungen und löst den Widerspruch auf.

Erhält eine Einrichtung eine behördliche Anordnung zur Offenlegung personenbezogener Daten, die nicht mit den BCR übereinstimmt, muss der DSB informiert werden. Der DSB wird die Aufsichtsbehörde in Deutschland informieren.

Die BCR sind für die Organisation und unsere Mitarbeiter verbindlich

Die BCR müssen verpflichtend sein und sind verbindlich für:

  • Alle Unternehmen: Sie unterzeichnen einen Vertrag
  • Alle Mitarbeiter: Sie sind verpflichtet, die Unternehmensrichtlinien auf der Grundlage ihres Arbeitsvertrags zu befolgen.

Organisationen und Personen können aus diesen Verpflichtungen Rechte ableiten.  Die Durchsetzung der BCR und mögliche Sanktionen bei Verstößen sind dieselben wie bei allen anderen Richtlinienverstößen.

Der Fresenius-Konzern hat eine interne Datenschutzorganisation eingerichtet und ihr die folgenden Aufgaben und Verantwortlichkeiten übertragen:

  • Der behördliche Datenschutzbeauftragte (DSB) überwacht, d. h. er prüft und überwacht, ob die BCR, die lokalen Gesetze, Vorschriften und Verfahren eingehalten werden. Der DSB kann Audits, Überprüfungen und Untersuchungen durchführen. Der behördliche Datenschutzbeauftragte ist auch der Ansprechpartner für die Datenschutzbehörden in Europa. Die Kontaktdaten sind:

Data Protection Officer:

Else-Kröner-Str. 1
61352 Bad Homburg v.d.H.
Deutschland
Oder per Mail:
Für Fresenius SE und Netcare: dataprotectionofficer@fresenius.com
Für Fresenius Kabi : dataprotectionofficer@fresenius-kabi.com

  • Der lokale Datenschutzberater (LDPA) hilft und berät die lokalen Mitarbeiter sowie die Prozessverantwortlichen, wenn sie Fragen oder Bedenken in Bezug auf den Datenschutz haben. Bei Bedarf unterstützt der LDPA den Datenschutzbeauftragten und den DSB, z. B. auf Anfrage in seiner Überwachungsfunktion und beim Kontakt mit den Aufsichtsbehörden, z. B. aufgrund von Sprachproblemen.
  • Der Datenschutzbeauftragte (DSB) nimmt unterstützende und beratende Aufgaben für die Datenschutzbeauftragten wahr und ist für das Datenschutzmanagementsystem verantwortlich. Bei Bedarf unterstützt der Datenschutzbeauftragte den DSB auf Anfrage in seiner Überwachungsfunktion und im Kontakt mit den Aufsichtsbehörden, z. B. aufgrund von Sprachproblemen.

Bei der Verarbeitung personenbezogener Daten befolgen wir mehrere Grundsätze, um die Grundrechte und -freiheiten des Einzelnen gemäß den BCR zu schützen. Jede Einrichtung muss bei der Verarbeitung personenbezogener Daten die folgenden Grundsätze einhalten:

Grundsatz 1: Rechtmäßigkeit

Entscheident ist die Verfügbarkeit einer dokumentierten Rechtsgrundlage für die Erhebung, Verwendung und Verarbeitung personenbezogener Daten. Diese Rechtsgrundlagen sind einschränkend aufgelistet. Beispiele sind: 

  • Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich, z. B. bei Arbeitsverträgen und Kaufverträgen
  • Die Person hat ihre Einwilligung gegeben
  • Die berechtigten Interessen von Fresenius überwiegen die negativen Folgen für die Betroffenen
  • Die Notwendigkeit, andere gesetzliche Verpflichtungen zu erfüllen, wie z.B. Steuergesetze, Vigilanzanforderungen oder GxP-Anforderungen.

Für besondere Datenkategorien, wie z. B. Gesundheitsdaten, sind zusätzliche Rechtsgrundlagen erforderlich.

Wenn lokale Gesetze zusätzliche oder abweichende Bestimmungen vorschreiben, müssen diese ebenfalls befolgt werden (dies könnte zum Beispiel für Mitarbeiterdaten relevant sein).

Grundsatz 2: Transparenz und Fairness

Wir behandeln persönliche Daten fair und transparent. Vor oder zum Zeitpunkt der Erhebung und Verwendung der personenbezogenen Daten werden die Personen informiert über: 

  • Wer ist verantwortlich und wie können wir kontaktiert werden?
  • Welche Daten werden gesammelt
  • Wie die Daten erhoben werden
  • Wozu wir die Daten benötigen (Zweck)
  • Mit welchen Organisationen werden die Daten geteilt
  • Ob sie mit anderen Ländern geteilt werden
  • Wie lange die Daten gespeichert werden
  • Die Rechtsgrundlage für die Erhebung und Verwendung der Daten und eine Erläuterung dieser Grundlage (Grundsatz 1)
  • Wenn ein Profil der Personen erstellt wird
  • Wenn wir Entscheidungen mit automatisierten Mitteln treffen
  • ob die Daten zur Verfügung gestellt werden müssen und was geschieht, wenn dies nicht geschieht
  • Die Kontaktdaten des DSB und der Behörde
  • die Rechte, die die Personen haben.

All diese Informationen müssen in umfassender und leicht zugänglicher Form und in klarer und einfacher Sprache bereitgestellt werden.

Grundsatz 3: Zweckbindung

Wir verwenden personenbezogene Daten nur für die angegebenen, ausdrücklichen und rechtmäßigen Zwecke, für die sie erhoben wurden. Eine weitere Verwendung ist nicht zulässig, es sei denn, diese weitere Verwendung steht im Einklang mit dem ursprünglichen Zweck und/oder es werden zusätzliche Maßnahmen getroffen.

Zwecke für die Weiterverarbeitung, die im Allgemeinen als im Einklang mit dem ursprünglichen Zweck stehend angesehen werden, sind: 

  • Archivierung
  • Interne Audits
  • Untersuchungen.

Der Datenschutzbeauftragte kann Auskunft darüber geben, ob eine Änderung des Zwecks zulässig ist. Im Falle einer zulässigen Änderung des Zwecks müssen die betroffenen Personen über solche Änderungen informiert werden.

Grundsatz 4: Datensparsamkeit

Wir erfassen und verwenden nur personenbezogene Daten, die für den definierten Zweck, der dem Einzelnen mitgeteilt wurde, erforderlich sind. Das bedeutet, dass sichergestellt werden muss, dass die personenbezogenen Daten relevant sind und im Hinblick auf den Zweck nicht übermäßig sind.

Grundsatz 5: Genauigkeit

Personenbezogene Daten müssen korrekt und aktuell sein. Es müssen Verfahren eingeführt werden, die sicherstellen, dass ungenaue Daten unverzüglich gelöscht, berichtigt oder aktualisiert werden.

Grundsatz 6: Begrenzung der Aufbewahrungszeit

Wir bewahren personenbezogene Daten nicht länger auf, als für den Zweck, für den sie erhoben wurden, erforderlich ist, es sei denn, dies ist gesetzlich vorgeschrieben. In diesem Fall muss der Zugang zu den Daten eingeschränkt werden. Personenbezogene Daten werden gelöscht oder anonymisiert, wenn es keinen rechtlichen Grund oder Zweck mehr gibt.

Grundsatz 7: Sicherheit, Integrität und Vertraulichkeit

Wir ergreifen geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor Zerstörung, Verlust, Veränderung, Weitergabe oder Zugriff auf personenbezogene Daten zu schützen (z. B. durch ein geeignetes Rollen- und Rechtekonzept, Sicherung und Wiederherstellung oder durch Verschlüsselung). 

Bei der Umsetzung solcher Maßnahmen müssen die Risiken für den Einzelnen berücksichtigt werden. Die Sicherheit von IT-Systemen muss bei der Installation und Wartung von IT-Systemen unter Berücksichtigung dieser Risiken bewertet werden. 

Jede Sicherheitsverletzung, die zu einem Risiko für die betroffenen Personen führen kann, wird an die Datenschutzorganisation gemeldet und dokumentiert. Je nach Situation müssen solche Verstöße auch der Aufsichtsbehörde, den betroffenen Personen oder anderen Organisationen gemeldet werden.

Grundsatz 8: Rechenschaftspflicht

Wir müssen in der Lage sein, die Einhaltung der BCR nachzuweisen. Dies geschieht durch die Erstellung und Pflege geeigneter Unterlagen wie z. B.: 

  • Aufzeichnungen über die Verarbeitungstätigkeiten
  • technische und organisatorische Maßnahmen, die zur Einhaltung der Datenschutzgrundsätze und zur Bewältigung der Risiken getroffen werden.
  • Bewertungen der Datenschutzrisiken und -kontrollen

Einstellung von Verarbeitern

Wir beauftragen nur Auftragsverarbeiter, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen ergreifen, damit die Verarbeitung den Anforderungen der BCR und der lokalen Datenschutzgesetze entspricht. Dies muss durch einen Datenschutzvertrag zwischen der jeweiligen Stelle und dem Auftragsverarbeiter sichergestellt werden.

(Weiter-) Übermittlung personenbezogener Daten 

Wir ergreifen Maßnahmen, um die Übermittlung personenbezogener Daten an andere Organisationen außerhalb des EWR in Übereinstimmung mit diesen BCR angemessen zu schützen. Dies könnte durch die Vereinbarung von Standardvertragsklauseln, wie sie von der Europäischen Kommission angenommen wurden, mit der anderen Organisation geschehen.

Bewertung des Datenschutzrisikos

Für jede Datenverarbeitungstätigkeit muss eine Datenschutzrisikobewertung durchgeführt werden. Bei dieser Bewertung handelt es sich um einen formalen Prozess zur Beurteilung der Auswirkungen der Tätigkeit auf die Rechte und Freiheiten der jeweils betroffenen Personen.

Die festgestellten Kontrolllücken und potenziellen Risiken müssen gemeldet und dokumentiert werden. Vor Beginn der Datenverarbeitung müssen technische und organisatorische Maßnahmen zur Risikominderung ergriffen werden.

Datenschutz-Folgenabschätzungen

Ergibt die Datenschutz-Risikobewertung ein hohes Risiko, muss eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt werden. Der Rat des DSB wird eingeholt.

Wird bei einer Datenschutz-Folgenabschätzung ein hohes Risiko für eine bestimmte Datenverarbeitungstätigkeit festgestellt, müssen vor Beginn der Verarbeitungstätigkeit angemessene Maßnahmen zur Minderung dieser Risiken getroffen werden. Wenn die Datenschutzfolgenabschätzung nach der Umsetzung der Maßnahmen immer noch ein hohes Risiko anzeigt, sollte die betroffene Aufsichtsbehörde vor der Verarbeitung der Daten konsultiert werden.

Der Einzelne muss in die Lage versetzt werden, seine Rechte auszuüben (Rechte der betroffenen Person):

  • Recht auf Auskunft über personenbezogene Daten: Die betroffene Person kann Auskunft über die von Fresenius verarbeiteten personenbezogenen Daten verlangen (z. B. über den Zweck der Verarbeitung, die betroffenen Kategorien personenbezogener Daten, die Empfänger, die Speicherfristen, das Vorliegen einer automatisierten Entscheidungsfindung).
  • Recht auf Berichtigung personenbezogener Daten: Der Betroffene kann die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen.
  • Recht auf Löschung personenbezogener Daten: Der Betroffene kann verlangen, dass seine personenbezogenen Daten gelöscht werden, es sei denn, sie müssen aufbewahrt werden, z. B. aufgrund gesetzlicher Aufbewahrungspflichten. 
  • Recht auf Einschränkung der Verarbeitung personenbezogener Daten: Der Betroffene kann verlangen, dass die Verarbeitung seiner personenbezogenen Daten eingeschränkt wird, wenn entweder die Richtigkeit der personenbezogenen Daten bestritten wird oder die Verarbeitung unrechtmäßig ist (nicht mehr für die verfolgten Zwecke erforderlich).
  • Recht auf Erhalt personenbezogener Daten in einem tragbaren Format: Der Betroffene kann verlangen, dass ihm seine personenbezogenen Daten in einem gängigen und maschinenlesbaren Format zur Verfügung gestellt werden, wenn die folgenden Bedingungen erfüllt sind: 
  • Die personenbezogenen Daten wurden von der betroffenen Person zur Verfügung gestellt
  • Die Verarbeitung beruht auf der Einwilligung der Person oder auf einem Vertrag mit der Person
  • Die Verarbeitung erfolgt mit Hilfe automatisierter Verfahren.
  • Recht auf Widerspruch gegen die Verarbeitung von personenbezogenen Daten: Die betroffene Person kann aufgrund ihrer persönlichen Situation gegen die Verarbeitung ihrer personenbezogenen Daten auf der Grundlage eines berechtigten oder öffentlichen Interesses Widerspruch einlegen. Ein solcher Antrag muss geprüft werden. Darüber hinaus kann der Betroffene der Direktwerbung und dem Profiling widersprechen. Der Pr

Zugang zur BCR

Die BCR müssen für den Einzelnen in geeigneter Weise zugänglich sein. Die BCR werden im Internet und im Intranet veröffentlicht. 

Einzelpersonen können die BCR auch einsehen, indem sie sich an den jeweiligen DSB oder ein Mitglied der Datenschutzorganisation wenden. 

Bearbeitung von BCR-Beschwerden

Jeder Einzelne hat das Recht auf:

  • Geltendmachung von Verstößen gegen die BCR, örtliche Datenschutzgesetze, Anordnungen von Aufsichtsbehörden, interne Grundsätze und Richtlinien oder freiwillige Selbstverpflichtungen im Zusammenhang mit dem Datenschutz
  • Geltendmachung seiner individuellen Rechte
  • Durchsetzung jedes anderen Rechst der BCR. 

Solche Beschwerden können z. B. telefonisch, per E-Mail oder Brief, mündlich bei dem jeweiligen DSB, der jeweiligen Datenschutzbehörde oder der Compliance-Hotline eingereicht werden. 

Wird die Beschwerde als berechtigt angesehen, ergreift die Einrichtung angemessene Maßnahmen, um der Beschwerde abzuhelfen, und informiert die betroffene Person innerhalb eines Monats.

Haftung und Vollstreckung

Personen, die von der Verarbeitung ihrer personenbezogenen Daten betroffen sind oder dadurch einen Schaden erlitten haben, sind berechtigt, diese Teile der BCR geltend zu machen und gegebenenfalls vor einem zuständigen Gericht Schadenersatz zu erhalten.

Bei nachweislichen Verstößen durch außerhalb der EU/EFA ansässige Stellen übernimmt FSE die Verantwortung und Haftung für etwaige Schäden gegenüber den betroffenen Personen. Die Stelle, die den Schaden verursacht hat, muss FSE in angemessener Weise dabei unterstützen, auf solche Beschwerden oder Anfragen zeitnah zu reagieren.

Zusammenarbeit mit den Aufsichtsbehörden

Jedes Unternehmen ist verpflichtet, mit den Aufsichtsbehörden zusammenzuarbeiten, Ratschläge zur Auslegung dieser BCR zu befolgen und sich von den betreffenden Aufsichtsbehörden prüfen zu lassen.

Schulungen

Jede Einrichtung wird ihre Mitarbeiter zur Teilnahme an einer Schulung über die BCR und den Datenschutz verpflichten und diese regelmäßig wiederholen. Eine allgemeine Schulung muss mindestens halbjährlich für alle betroffenen Mitarbeiter durchgeführt werden. Darüber hinaus werden rollenspezifische Schulungen (z. B. für die Personal- oder die Beschaffungsabteilung) angeboten, um den besonderen Bedürfnissen bestimmter Funktionen/Personen Rechnung zu tragen.

Audits

Alle Beteiligten verpflichten sich, sich regelmäßig (durch geplante oder Ad-hoc-Audits) prüfen zu lassen, um die Einhaltung der BCR zu bewerten und zu testen, und angemessene und ausreichende Mechanismen einzuführen, um die Nichteinhaltung der BCR durch eine Stelle zu beheben. Die Datenschutzorganisation wird jedes durchgeführte Audit weiterverfolgen, um zu beurteilen, ob die vorgeschlagenen Abhilfemaßnahmen angemessen umgesetzt wurden, und alle Ergebnisse im Auditbericht dokumentieren. Jede Stelle stellt den Aufsichtsbehörden auf Anfrage Auditberichte zur Verfügung. 

Update der BCR

Die Parteien werden die lokalen Datenschutzgesetze überprüfen und angeben, ob Änderungen an den BCR erforderlich sind. Fresenius kann die BCR bei Bedarf ändern. Wesentliche Änderungen der BCR werden den einzelnen Unternehmen und der Aufsichtsbehörde unverzüglich mitgeteilt. Alle anderen nicht wesentlichen Änderungen der BCR werden den Parteien so bald wie möglich mitgeteilt.