VERBINDLICHE UNTERNEHMENSINTERNE EU-DATENSCHUTZVORSCHRIFTEN
VON AMERICAN EXPRESS (EU BCRs)
Table of Contents
- EINLEITUNG
- VERBINDLICHKEIT DER BCRs
- GELTUNGSBEREICH UNSERER BCRs
- WIE SCHÜTZT AMERICAN EXPRESS IHRE PERSONENBEZOGENEN DATEN?
- AMERICAN EXPRESS DPO-NETZWERK
- SCHULUNG UND BEWUSSTSEIN
- KONTROLLE UND PRÜFUNG
- COMPLIANCE, DURCHSETZUNG UND HAFTUNG
- WIE KÖNNEN SIE EINE BESCHWERDE EINREICHEN UND DIE EU BCRs DURCHSETZEN?
- KOOPERATIONSPFLICHT MIT AUFSICHTSBEHÖRDEN
- WIE GEHEN WIR MIT POTENZIELLEN KOLLISIONSNORMEN UM?
- UALISIERUNGEN DER EU-BCRs
- ART UND ZWECKE DER PERSONENBEZOGENEN DATEN, DIE INNERHALB DES GELTUNGSBEREICHS DER BCRs ÜBERTRAGEN WERDEN
- STANDORT DER AMERICAN EXPRESS BCRS-UNTERNEHMEN
- GLOSSAR
1.1. Übersicht
American Express schätzt Ihr Vertrauen und respektiert Ihre Privatsphäre.
Datenschutz und Informationssicherheit sind langjährige Prioritäten unseres Unternehmens. Als multinationale Organisation sind wir zum Schutz personenbezogener Daten ungeachtet dessen verpflichtet, wo sie genutzt werden, und alle personenbezogenen Daten, die von American Express erhoben werden, werden gemäß unserer Datenschutzgrundsätze bearbeitet.
Im Jahr 2012 war American Express eines der ersten Unternehmen, das verbindliche unternehmensinterne Datenschutzvorschriften (BCRs) veröffentlicht hat, die vom Information Commissioner’s Office im Vereinigten Königreich genehmigt wurden. Heute setzen diese BCRs weiterhin einen Rahmen für unsere starken Verpflichtungen im Hinblick auf die Privatsphäre und fördern eine solide Compliance-Kultur in unserem Unternehmen.
Unter anderem regeln unsere BCRs die Übermittlungen Personenbezogene Daten innerhalb der internationalen American Express BCRs-Unternehmen nach Geltendem Datenschutzrecht und stellen sicher, dass Ihre Personenbezogene Daten immer angemessen geschützt sind, ungeachtet dessen, wohin sie übermittelt werden.
1.2. Einfacher Zugang zu den BCRs
Unsere BCRs sind auf den Webseiten von American Express europaweit abrufbar. Sie können auch ein Exemplar unserer BCRs in einem alternativen Format von unserem Datenschutzbeauftragten (DPO) bei der unten bezeichneten Adresse oder von dem lokalen American Express Unternehmen anfordern, das für Ihre Personenbezogenen Daten verantwortlich ist. Bitte beachten Sie, dass die führende Aufsichtsbehörde, die unsere BCRs beaufsichtigt, die Agencia Española de Protección de Datos (AEPD) mit Sitz in Madrid, Spanien ist.
Unsere BCRs sind für die American Express BCRs-Unternehmen und ihre Mitarbeiter durch eine Konzernvereinbarung zwischen American Express Company und American Express Europe, S.A. (AEESA), dem gesetzlichen Vertreter von American Express im EWR, rechtsverbindlich.
Jedes American Express BCRs-Unternehmen und seine Mitarbeiter dürfen Personenbezogene Daten nur gemäß diesen BCRs verarbeiten. Mitarbeiter, die diese BCRs verletzen, können Disziplinarmaßnahmen unterliegen.
3.1. Geographischer Geltungsbereich
Unsere BCRs gelten für die Verarbeitung sämtlicher Personenbezogener Daten vorbehaltlich des Geltenden Datenschutzrechts. Das heißt, Personenbezogene Daten einer Betroffenen Person, die im Zusammenhang mit den Aktivitäten eines im EWR eingerichteten American Express BCRs-Unternehmen verarbeitet werden oder wurden, auch wenn die Verarbeitung von einem American Express BCRs-Unternehmen außerhalb des EWR ausgeführt wird.
3.2. Sachlicher Geltungsbereich
In seiner Funktion als Datenverantwortlicher verarbeitet American Express die Personenbezogenen Daten ehemaliger, aktueller und künftiger Mitarbeiter, Geschäftsführer, Auftragnehmer, individueller Berater, vorübergehend Beschäftigter, die von American Express in Vollzeit, Teilzeit, unbefristet oder befristet beschäftigt werden, sowie Pensionäre („Mitarbeiter”) und die Personenbezogenen Daten ehemaliger, aktueller und künftiger American Express Kunden sowie natürlicher Personen, die bei den Unternehmenskunden, Lieferanten und Partnern von American Express arbeiten („Kunden”).
Der Zweck für den American Express Personenbezogene Daten verarbeitet, bezieht sich vor allem auf Kundenbeziehungen, Werbung, Händlerverträge, Versicherungen, Reisen, Veranstaltungen und Netzwerkdienste sowie Human Resources.
Die Verarbeitung Personenbezogener Daten durch die American Express BCRs-Unternehmen - in Verbindung mit den in diesen BCRs bezeichneten Zwecken – kann eine internationale Übermittlungen Personenbezogener Daten Betroffener Personen von einem American Express BCRs-Unternehmen im EWR zu einem anderen American Express BCRs-Unternehmen außerhalb des EWR (einschließlich von Ländern im EWR in die Vereinigten Staaten, wo sich die Hauptserver von American Express befinden) und eine Weiterübermittlung dieser empfangenen Personenbezogenen Daten an einen Dritten außerhalb der American Express Gruppe umfassen, um die globalen Aktivitäten von American Express effektiv auszuüben.
Einen umfassenderen Überblick über die Verarbeitungsaktivitäten von American Express entnehmen Sie bitte dem Anhang 1. Um zu erfahren, wo unsere American Express BCRs-Unternehmen ansässig sind, vergleichen Sie bitte Anhang 2.
Bei der Verarbeitung Ihrer Personenbezogenen Daten sind American Express BCRs-Unternehmen verpflichtet, solide Datenschutzgrundsätze einzuhalten (Abschnitt 4.1) und Ihre Datenschutzrechte zu respektieren (Abschnitt 4.2).
4.1. Datenschutzgrundsätze
4.1.1. Transparenz und Fairness
Die American Express BCRs-Unternehmen werden Ihre Personenbezogenen Daten auf transparente Weise und auf faire Weise erheben und verarbeiten.
Wir stellen sicher, dass Sie leichten Zugang zu den Informationen zu unseren Verarbeitungsaktivitäten erhalten, wie dies von der Datenschutz-Grundverordnung (DSGVO) verlangt wird. Diese Informationen werden an Sie auf präzise, transparente, verständliche und leicht zugängliche Weise in eindeutiger und klarer Sprache zur Verfügung gestellt und sind in den relevanten American Express Datenschutzerklärungen verfügbar, die für Ihre Beziehung zu Uns gelten. Diese Hinweise und Bedingungen und Konditionen können auch weitere Bestimmungen enthalten, die für die Verarbeitung Personenbezogener Daten nach geltenden nationalen Gesetzen und Vorschriften relevant sind.
Insbesondere werden die folgenden Informationen, wenn die Personenbezogenen Daten von der Betroffenen Person erhoben werden, in dem Moment zur Verfügung gestellt, in dem Personenbezogene Daten erhoben werden:
- die Identität und Kontaktdaten des Datenverantwortlichen und gegebenenfalls seines Vertreters;
- die Kontaktdaten des Datenschutzbeauftragten (DPO);
- die Zwecke der Verarbeitung, für welche die Personenbezogenen Daten vorgesehen sind, und die Rechtsgrundlage der Verarbeitung;
- die Empfänger oder gegebenenfalls Kategorien von Empfängern der Personenbezogene Daten;
- das Vorliegen von Übermittlungen Personenbezogener Daten in Länder ohne angemessenes Schutzniveau und die geeigneten Sicherheitsvorkehrungen, die umgesetzt wurden, um das gleiche Schutzniveau zu gewährleisten, das von der DSGVO verlangt wird;
- der Zeitraum, für den die Personenbezogenen Daten gespeichert werden, oder wenn das nicht möglich ist, die Kriterien, die zur Festlegung dieses Zeitraums eingesetzt werden; und das Bestehen der Rechte der Betroffenen Personen, die von der DSGVO anerkannt werden.
Wenn die Personenbezogenen Daten nicht von der Betroffenen Person erhoben wurden, werden die vorherigen Informationen sowie die Kategorien der betroffenen Personenbezogenen Daten und die Quelle, aus welcher die Personenbezogenen Daten stammen, rechtzeitig mitgeteilt (es sei denn, die Betroffene Person besitzt die Informationen bereits, die Bereitstellung der Informationen erweist sich als unmöglich oder die Erlangung würde unangemessene Anstrengungen erfordern, oder die Offenlegung wird ausdrücklich durch Gemeinschaftsrecht oder das Recht eines Mitgliedsstaates festgelegt, oder wenn die Personenbezogenen Daten vorbehaltlich einer Verpflichtung zur beruflichen Geheimhaltung vertraulich bleiben müssen, die durch Gemeinschaftsrecht oder das Recht eines Mitgliedsstaates reguliert wird, einschließlich einer gesetzlichen Verpflichtung zur Geheimhaltung).
Unsere BCRs informieren Sie auch über die Rechte, die Sie haben, um sie als Drittbegünstigter in Bezug auf die Verarbeitung Ihrer Personenbezogenen Daten gemäß diesen BCRs gegen die American Express Europe S.A. (AEESA) oder ein American Express BCRs-Unternehmen durchsetzen zu können („Rechte von Drittbegünstigten”) und über die Mittel zur Ausübung dieser Rechte (vgl. Abschnitt 8). Zudem bieten Ihnen diese BCRs Informationen zu den Datenschutzgrundsätzen, die Wir bei der Verarbeitung Ihrer Personenbezogenen Daten anwenden (wie in diesem Abschnitt 4 erläutert) und Information zur Haftung, die American Express BCRs-Unternehmen im Falle einer Verletzung dieser BCRs übernehmen (vgl. Abschnitt 8).
Zudem sind Sie immer in der Lage, auf Anfordern ein Exemplar unserer BCRs zu erhalten. Eine öffentliche Version wird auf den öffentlichen Webseiten der American Express BCRs-Unternehmen im EWR sowie für Mitarbeiter auf unsere Intranet-Seite abrufbar sein.
4.1.2. Rechtmäßigkeit der Verarbeitung
Ihre Personenbezogenen Daten und Besondere Kategorien personenbezogener Daten werden fair und rechtmäßig im Einklang mit Geltendem Datenschutzrecht verarbeitet. Die Rechtsgrundlagen für die Verarbeitung Ihrer Personenbezogenen Daten werden im Einzelnen in den relevanten American Express Datenschutzerklärungen beschrieben, die für Ihre Beziehung zu American Express anwendbar sind.
- Verarbeitung personenbezogener Daten
Ihre Personenbezogenen Daten werden nur erhoben und verarbeitet, wenn eine rechtmäßige Grundlage für die Verarbeitung vorliegt:
- wenn Sie Ihre ausdrückliche Zustimmung erteilt haben (beispielsweise zur Versendung von E-Mail-Kommunikation an Sie, die Werbeanzeigen, Werbeaktionen und Angebote für Produkte und Dienstleistungen von American Express enthält);
- wenn die Verarbeitung für die Erfüllung eines Vertrages notwendig ist, dessen Partei Sie sind oder, um auf Ihr Anfordern vor Abschluss eines Vertrages Schritte zu ergreifen (beispielsweise um unsere vertragliche Beziehung mit Ihnen zu verwalten und Ihren Antrag auf eine Karte, ein Konto oder ein anderes Produkt zu verarbeiten oder Ihre bestehenden Konten zu verwalten);
- wenn die Verarbeitung für die Einhaltung rechtlicher Pflichten notwendig ist (beispielsweise um bestimmte verdächtige Transaktionen bei den zuständigen Behörden nach Vorschriften zur Verhinderung der Geldwäsche anzuzeigen oder, wenn dies gesetzlich verlangt wird, um die Sorgfaltspflichten in Bezug auf Kunden auszuführen, bevor ihre Anträge genehmigt werden); oder
- wenn die Verarbeitung für Zwecke der berechtigten Interessen notwendig ist, die von einem American Express BCRs-Unternehmen oder von Dritten verfolgt werden (beispielsweise, um Produkte und Dienstleistungen zu übermitteln, Produkte und Dienstleistungen zu bewerben und zu vermarkten, Forschung und Analyse zu betreiben und unsere Betrugs- und Sicherheitsrisiken zu verwalten), außer wenn diese Interessen durch Ihre Interessen oder grundlegenden Rechte und Freiheiten außer Kraft gesetzt werden.
- Verarbeitung von Besonderen Kategorien personenbezogener Daten
Wir können Besondere Kategorien personenbezogener Daten erheben, einschließlich Daten in Bezug auf Gesundheit, biometrische Daten, sexuelle Orientierung oder Rasse /ethnische Herkunft. Diese Daten werden erhoben und verarbeitet, um rechtliche Anforderungen zu Zwecken zu erfüllen, die für die Verwaltung des Arbeitsverhältnisses wesentlich sind oder, wenn sie mit ausdrücklicher Zustimmung übermittelt werden und nur wenn dies nach geltendem Recht zulässig ist.
Manchmal können Sie diese Art von Daten an Uns übermitteln, um Ihre mit uns organisierte Reise zu optimieren (wenn Sie Uns beispielsweise über besondere Ernährungsbedürfnisse oder Ihren Bedarf nach besonderer Unterstützung während eines Fluges informieren).
In dem eingeschränkten Umfang, in dem Besondere Kategorien personenbezogener Daten erhoben werden, werden sie nur bei Bestehen einer der vorstehend bezeichneten rechtlichen Grundlagen verarbeitet und vorausgesetzt, dass eine der Bedingungen für die Verarbeitung von Besondere Kategorien personenbezogener Daten anwendbar ist, beispielsweise wenn:
Sie Ihre ausdrückliche Zustimmung zu der Verarbeitung erteilt haben;
- die Verarbeitung zum Zwecke der Erfüllung der Pflichten und der spezifischen Rechte von American Express im Bereich des Arbeits- und Sozialversicherungs- und Sozialschutzrechts erforderlich ist;
- sich die Verarbeitung auf Besondere Kategorien personenbezogener Daten bezieht, die Sie augenscheinlich öffentlich gemacht haben;
- die Verarbeitung für die Einrichtung, Ausübung oder Abwehr rechtlicher Ansprüche notwendig ist;
- die Verarbeitung aus Gründen des wesentlichen öffentlichen Interesses auf der Basis des Gemeinschaftsrechts und des Rechts der Mitgliedsstaaten notwendig ist.
Zudem werden die American Express BCRs-Unternehmen verstärkte Maßnahmen ergreifen, um Besondere Kategorien personenbezogener Daten nach Bedarf des Geltenden Datenschutzrechts zu verarbeiten.
4.1.3. Datenminimierung, Richtigkeit und Speichergrenzen
Die American Express BCRs-Unternehmen setzen geeignete Technologien und etablierte Prozesse ein, um Ihre Personenbezogenen Daten unmittelbar und präzise zu verarbeiten.
Wir ergreifen angemessene Schritte, um sicherzustellen, dass Ihre Personenbezogenen Daten:
- unter Berücksichtigung der Zwecke, für die sie verarbeitet werden, richtig und aktuell sind (Datenrichtigkeit). Fehlerhafte Personenbezogene Daten werden unverzüglich gelöscht oder berichtigt;
- in Bezug auf den Zweck für den die Personenbezogenen Daten erhoben und verarbeitet werden, angemessen, relevant und nicht unverhältnismäßig sind (Datenminimierung);
- in identifizierbarer Form nicht länger als nötig für die Zwecke aufbewahrt werden, für welche die Personenbezogenen Daten verarbeitet werden und nur zu Archivierungszwecken oder, wenn ihre Aufbewahrung nach geltendem Recht anderweitig zulässig ist oder verlangt wird, aufbewahrt werden und dann nur, wenn angemessene administrative, technische und organisatorische Maßnahmen ergriffen werden.
4.1.4. Einschränkung des Zwecks
Die American Express BCRs-Unternehmen erheben Personenbezogene Daten nur für bestimmte und berechtigte Zwecke. Wir verarbeiten Ihre Personenbezogenen Daten angemessen und nur zu den Zwecken, die Wir Ihnen mitgeteilt haben, zu Zwecken, die Sie erlaubt haben, oder die nach Geltendem Datenschutzrecht zulässig sind. Wir stellen sicher, dass Ihre Personenbezogenen Daten nicht auf eine Weise weiter verarbeitet werden, die mit diesen Zwecken nicht kompatibel ist.
4.1.5. Datensicherheit und Vertraulichkeit
American Express unterhält ein umfangreiches schriftliches Informationssicherheitsprogramm und hat sich verpflichtet, dies im Einklang mit geltendem Recht und Geltendem Datenschutzrecht umzusetzen.
Die American Express BCRs-Unternehmen setzen geeignete administrative, technische und organisatorische Maßnahmen ein, um Ihrer Personenbezogenen Daten vor beiläufiger oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf Personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden, zu schützen. Wir werden Ihre Personenbezogenen Daten vertraulich bewahren und den Zugriff auf Ihre Personenbezogenen Daten auf diejenigen beschränken, die ihn benötigen, um ihre geschäftlichen Aktivitäten auszuüben, außer wenn durch das für Uns geltende Recht etwas anderes verlangt wird.
Diese Maßnahmen gewährleisten ein Sicherheitsniveau, das dem Risiko angemessen ist und berücksichtigten den Stand der Technik, die Kosten der Umsetzung und die Art, den Umfang, den Kontext und den Zweck der Verarbeitung sowie das Risiko unterschiedlicher Wahrscheinlichkeiten und Schweregrade für die Rechte und Freiheiten Betroffener Personen und können gegebenenfalls umfassen:
- die Pseudonymisierung und Verschlüsselung Personenbezogener Daten von Betroffenen Personen,
- Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten;
- Maßnahmen zur Sicherstellung der Fähigkeit der rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugriffs auf Personenbezogene Daten von Betroffenen Personen im Falle eines physischen oder technischen Vorfalls; und
- ein Prozess für regelmäßige Prüfung, Beurteilung und Bewertung der Effektivität technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Wir verlangen außerdem angemessene administrative, technische und organisatorische Maßnahmen von Dritten, die von Uns zur Verarbeitung Ihrer Personenbezogenen Daten in unserem Namen autorisiert sind. Wir verpflichten interne und externe Datenverarbeiter vertraglich, die Sicherheitsvorkehrungen einzuhalten, die von der DSGVO verlangt werden.
Insbesondere wird die Verarbeitung durch den Datenverarbeiter von einem Vertrag geregelt, der für den Datenverarbeiter in Bezug auf den Datenverantwortlichen verbindlich ist, und der den Gegenstand und die Dauer der Verarbeitung, das Wesen und den Zweck der Verarbeitung, die Art der Personenbezogenen Daten und die Kategorien Betroffener Personen sowie die Pflichten und Rechte des Datenverantwortlichen darlegt.
Die folgenden Pflichten müssen ebenfalls in der Vereinbarung enthalten sein, die vom Datenverarbeiter verlangt:
- die Personenbezogenen Daten nur auf dokumentierte Weisung des Datenverantwortlichen zu verarbeiten oder zu gewährleisten, dass sich Personen, die zur Verarbeitung der Personenbezogenen Daten autorisiert sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen;
- alle angemessenen technischen und organisatorischen Maßnahmen zu ergreifen, die benötigt werden, um ein akzeptables Sicherheitsniveau zu garantieren;
- ohne vorherige spezifische oder allgemeine schriftliche Autorisierung des Datenverantwortlichen keinen anderen Datenverarbeiter unter Vertrag zu nehmen („Unterverarbeiter”) und nur unter der Voraussetzung, dass die gleichen Datenschutzpflichten diesem Unterverarbeiter auferlegt werden, die im Vertrag zwischen dem Datenverantwortlichen und dem Datenverarbeiter dargelegt werden;
- den Datenverantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen, wann immer möglich, zur Erfüllung der Pflicht des Datenverantwortlichen zu unterstützen, um die Anfragen von Betroffenen Personen zur Ausübung ihrer Rechte zu beantworten;
- den Datenverantwortlichen bei der Erfüllung seiner Pflichten hinsichtlich der Sicherheit der Verarbeitung, Verletzung personenbezogener Daten und Datenschutzfolgenabschätzungen zu unterstützen;
- nach dem Ende der Erbringung der Dienstleistungen in Bezug auf die Verarbeitung nach Wahl des Datenverantwortlichen alle Personenbezogenen Daten zu löschen oder an den Datenverantwortlichen zurückzugeben und bestehende Exemplare zu löschen, es sei denn, das geltende Recht verlangt die Speicherung der Personenbezogenen Daten;
- dem Datenverantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Pflichten zu demonstrieren, die in Artikel 28 der DSGVO in Bezug auf die Datenverarbeiter festgelegt sind, und Prüfungen, einschließlich Inspektionen zu ermöglichen und dazu beizutragen, die vom Datenverantwortlichen oder einem anderen Prüfer durchgeführt werden, die vom Datenverantwortlichen beauftragt werden.
Darüber hinaus haben die American Express BCRs-Unternehmen administrative, technische und organisatorische Maßnahmen umgesetzt, um eine Verletzung personenbezogener Daten zu erkennen, zu untersuchen, zu eskalieren und zu beseitigen. Der American Express Datenschutzbeauftragte (DPO) wird unverzüglich über eine Verletzung personenbezogener Daten von den American Express BCRs-Unternehmen informiert und entscheidet, ob die zuständige Aufsichtsbehörde und die Betroffenen Personen gemäß den Anforderungen der DSGVO benachrichtigt werden. Verletzungen personenbezogener Daten werden dokumentiert (und umfassen den Sachverhalt hinsichtlich der Verletzung personenbezogener Daten, ihre Folgen und die ergriffenen Abhilfemaßnahmen) und die Dokumentation wird der Aufsichtsbehörde auf Anfordern zur Verfügung gestellt.
4.1.6. Weiterleitung
Ihre Personenbezogenen Daten werden an die American Express BCRs-Unternehmen und weiter an Dritte übermittelt. Dabei wird immer ein angemessenes Schutzniveau für die Verarbeitung Ihrer Daten gewährleistet, das vom Geltenden Datenschutzrecht verlangt wird, ungeachtet dessen, wohin sie übermittelt werden.
Dieser Datenfluss wurde durch unsere BCRs legitimiert, die Uns die Übermittlung Personenbezogener Daten aus dem EWR an American Express BCRs-Unternehmen außerhalb des EWR ermöglichen.
In allen Fällen der Weiterübermittlung (d.h. Personenbezogene Daten, die zunächst von einem American Express BCRs-Unternehmen im EWR an ein nicht im EWR ansässiges American Express BCRs-Unternehmen übermittelt wurden und später an Dritte übermittelt werden, die nicht von den BCRs erfasst werden) werden die American Express BCRs-Unternehmen gewährleisten, dass sie eine schriftliche Vereinbarung mit diesen Dritten abschließen, die Bestimmungen enthalten, die sicherstellen, dass die Personenbezogenen Daten mindestens im Hinblick auf Vertraulichkeits- und Sicherheitsstandards geschützt sind, die von diesen BCRs vorgesehen werden oder eine andere gültige rechtliche Methode einsetzen, um zu gewährleisten, dass die Übermittlung rechtmäßig ist und ausreichende Garantien gemäß Artikel 46 DSGVO erteilt werden.
4.1.7. Verantwortlichkeit
Alle American Express BCRs-Unternehmen sind für die Einhaltung dieser BCRs verantwortlich und müssen diese demonstrieren. Die Einhaltung dieser Vorgaben umfasst:
- die Aufrechterhaltung elektronischer Aufzeichnungen der Verarbeitungsaktivitäten, die den Aufsichtsbehörden auf Anforderung zur Verfügung stehen und die Informationen enthalten, die von der DSGVO verlangt werden (beispielsweise den Namen und Kontaktdaten des Datenverantwortlichen, die Zwecke der Verarbeitung, die Kategorien Betroffener Personen und Kategorien Personenbezogene Daten, die Empfänger der Personenbezogenen Daten, die Übermittlungen in Länder außerhalb des EWR, die Fristen für die Löschung der Kategorien Personenbezogener Daten und die Beschreibung der eingesetzten Sicherheitsmaßnahmen);
- den Abschluss von Datenschutzfolgenabschätzungen (nur anwendbar, wenn die Verarbeitungsaktivitäten wahrscheinlich in einem hohen Risiko für die Rechte und Freiheiten der Betroffenen Personen resultieren); und
- Konsultation mit den zuständigen Aufsichtsbehörden, wenn dies erforderlich ist, um diese Einhaltung zu demonstrieren.
Darüber hinaus haben die American Express BCRs-Unternehmen angemessene administrative, technische und organisatorische Maßnahmen eingesetzt, die entwickelt wurden, um Datenschutzgrundsätze umzusetzen und die Einhaltung der Anforderungen zu unterstützen, die von diesen BCRs festgelegt werden (datenschutzfreundliche Voreinstellungen und standardmäßiger Datenschutz).
4.2. Rechte der betroffenen Personen
- Auskunftsrecht, Recht auf Einschränkung, Widerspruch, Berichtigung, Löschung, Recht auf Rücknahme der Zustimmung und der Datenübertragbarkeit
Die American Express BCRs-Unternehmen kommen Ihren Anforderungen zur Ausübung der Rechte nach, auf die Sie nach der DSGVO gegebenenfalls Anspruch haben. Insbesondere stellen Wir sicher, dass Sie Ihr Recht ausüben können:
- auf Ihre Personenbezogenen Daten zuzugreifen (Auskunftsrecht);
- die Verarbeitung Ihrer Personenbezogenen Daten einzuschränken und/oder ihr zu widersprechen (Recht auf Einschränkung der Verarbeitung und Recht auf Widerspruch der Verarbeitung);
- Ihre Personenbezogenen Daten zu berichtigen (Recht auf Berichtigung);
- Ihre Personenbezogenen Daten zu löschen (Recht auf Löschung);
- eine zuvor erteilte Zustimmung zur Verarbeitung zurückzunehmen, und
- Ihre Personenbezogene Daten in einem strukturierten, üblicherweise genutzten und maschinenlesbaren Format zu empfangen und/oder diese Daten an einen anderen Datenverantwortlichen zu übermitteln (Recht auf Datenübertragbarkeit).
Die American Express BCRs-Unternehmen unterliegen Richtlinien zur Bearbeitung dieser Anfragen zur Sicherstellung, dass Sie die Mittel zur Ausübung dieser Rechte haben. Wenn Sie Ihre Rechte ausüben möchten, können Sie unseren Datenschutzbeauftragten (DPO) unter DPO-Europe@aexp.com kontaktieren.
- Automatisierte Entscheidungsfindung
Die American Express BCRs-Unternehmen stellen sicher, dass Sie keinen Entscheidungen unterliegen, die ausschließlich auf automatisierter Verarbeitung Personenbezogener Daten basieren, einschließlich Profilerstellung, die juristische Folgen oder ähnliche erhebliche Effekte produzieren, es sei denn die Verarbeitung ist:
- notwendig, um einen Vertrag zwischen Ihnen und American Express zu schließen und zu erfüllen;
- durch ein Gesetz autorisiert, dem American Express unterliegt, und das auch geeignete Maßnahmen zur Sicherung Ihrer Rechte und Freiheiten und berechtigten Interessen festlegt; oder
- sie basiert auf Ihrer ausdrücklichen Zustimmung zu dieser Verarbeitung.
Nach geltendem Recht werden Wir geeignete Maßnahmen umsetzen, um Ihre Rechte und Freiheiten und berechtigten Interessen zu sichern, mindestens das Recht auf Erwirkung einer menschlichen Intervention, um Ihren Standpunkt darzulegen und die Entscheidung anzufechten.
Unter Einhaltung dieser Bedingungen können Wir einen automatisierten Prozess nutzen, um Uns zu helfen, bestimmte Entscheidungen zu treffen, beispielsweise um Betrug zu erkennen und diesen zu handhaben (z.B. um festzustellen, ob Ihr Konto für Betrugszwecke oder Geldwäsche genutzt wird oder um zu erkennen, ob Betrüger auf Ihr Konto zugegriffen haben); oder um Kartenanträge zu verarbeiten und um Kredit- und Sicherheitsrisiken zu beurteilen. Diese Methoden werden regelmäßig geprüft, um sicherzustellen, dass sie fair, effektiv und unabhängig bleiben.
Sie können unseren Datenschutzbeauftragten (DPO) unter DPO-Europe@aexp.com kontaktieren, um Ihr Recht auszuüben, eine manuelle Prüfung bestimmter automatisierter Verarbeitungsaktivitäten anzufordern, die Ihre gesetzlichen oder anderen vertraglichen Rechte beeinflussen oder die eine ähnliche rechtliche Wirkung haben.
American Express hat einen Datenschutzbeauftragten (DPO) ernannt, der die Einhaltung der BCRs überwacht. Der DPO hat die folgenden Aufgaben:
- Information und Beratung der American Express Unternehmen und American Express Mitarbeiter über ihre Pflichten nach Geltendem Datenschutzrecht;
- Überwachung der Einhaltung des Geltenden Datenschutzrechts durch die Beurteilung von Hauptrisikoindikatoren und Kontrollen. Der DPO meldet die Ergebnisse dieser Überwachungsaktivitäten an das zuständige interne Senior-Level-Führungsgremium;
- Bereitstellung von Beratung in Verbindung mit Datenschutzfolgenabschätzungen und Überwachung ihrer Leistung;
- Kooperation mit Aufsichtsbehörden; und
- Tätigkeit als Kontaktstelle für Aufsichtsbehörden.
Der DPO, der auf Basis professioneller Qualitäten ernannt wurde, ist dem American Express Chief Privacy Officer unterstellt. Der DPO wird von europäischen American Express Unternehmen als Board Director von AEESA und American Express Payments Europe SA ernannt, respektive die vorrangigen emittierenden und erwerbenden Unternehmen in Europa.
Die Ernennung wird den Aufsichtsbehörden der europäischen Länder mitgeteilt, in denen American Express ansässig ist.
Der DPO arbeitet eng mit einem Netzwerk aus Datenschutzexperten und Compliance-Anwälten an jedem europäischen Markt zusammen, die die Einhaltung des Geltenden Datenschutzrechts in ihrer Region überwachen. Der DPO wird bei seinen / ihren Aufgaben vom Global Privacy Office unterstützt, das vom American Express Chief Privacy Officer geleitet wird.
Alle American Express BCRs-Unternehmen stellen angemessene Schulungsmaterialien und Kurse für alle Mitarbeiter zur Verfügung und insbesondere für Mitarbeiter, die personenbezogene Daten erheben, verarbeiten, dauerhaften oder regelmäßigen Zugriff auf Personenbezogene Daten haben oder an der Entwicklung von Tools beteiligt sind, die eingesetzt werden, um Personenbezogene Daten zu verarbeiten, damit gewährleistet ist, dass sie von ihren Pflichten nach Geltendem Datenschutzrecht und diesen BCRs Kenntnis haben. Diese Kurse sind verbindlich und ihr Abschluss wird überwacht.
American Express hat ein Compliance-Programm, das regelmäßige Compliance-Prüfungen und -Audits der Prozesse der American Express BCRs-Unternehmen vorsehen (durch interne oder gegebenenfalls externe Prüfer), um sicherzustellen, dass die BCRs und alle damit verbundenen Richtlinien und Verfahren respektiert werden und aktuell sind.
Datenschutzprüfungen erfassen alle Aspekte der BCRs, einschließlich Methoden der Sicherstellung, dass korrigierende Maßnahmen stattfinden werden.
Weitere Datenschutzprüfungen können vom Datenschutzbeauftragten (DPO) auf seine/ihre eigene Initiative oder auf spezielle Anforderung eines American Express BCRs-Unternehmens angefordert werden. Die interne Auditgruppe von American Express wird als unabhängige Instanz die Einhaltung dieser Prüfanforderungen gemäß ihrem Risikobeurteilungsrahmen beurteilen.
Die Ergebnisse dieser Compliance-Prüfungen und -Audits werden dem Global Privacy Office von American Express, dem DPO und den zuständigen Aufsichtsbehörden mitgeteilt (auf Anforderung) und dem Audit Committee des Board of Directors der American Express Company zur Verfügung gestellt.
Wird eine Compliance-Lücke festgestellt, muss das relevante American Express BCRs-Unternehmen einen bestimmten Leitfaden, der vom DPO erstellt wird, einhalten. Wenn der Leitfaden nicht beachtet werden kann, müssen die American Express BCRs-Unternehmen den Grund hierfür dokumentieren.
American Express wird auch bei Compliance-Prüfungen kooperieren, die von einer Aufsichtsbehörde mit maßgeblicher Zuständigkeit durchgeführt werden, unabhängig davon, ob sie als Antwort auf eine Beschwerde einer Betroffenen Person oder auf eigene Initiative der Aufsichtsbehörde eingeleitet werden.
8.1. Haftung der American Express BCRs-Unternehmen
Die American Express BCRs-Unternehmen sind für die Einhaltung der BCRs verantwortlich. Zusätzlich zu den individuellen Verantwortlichkeiten der American Express BCRs-Unternehmen, wird AEESA die Verantwortung für eine Verletzung der BCRs durch ein American Express BCRs-Unternehmen außerhalb des EWR übernehmen, dass Personenbezogene Daten gemäß Geltendem Datenschutzrecht verarbeitet. AEESA ist berechtigt, notwendige Maßnahmen zur Beseitigung von Handlungen oder Unterlassungen von American Express BCRs-Unternehmen ergreifen, die Personenbezogene Daten unter Verletzung der BCRs verarbeiten.
AEESA haftet für die Zahlung von Entschädigung, die für wesentliche oder nicht wesentliche Schäden fällig sind, die von Betroffenen Personen in Verbindung mit einer Verletzung der BCRs erlitten werden. Eine Entschädigung muss vom DPO genehmigt werden, bevor ein Angebot auf Wiedergutmachung oder Zahlung erfolgt. Sämtliche gezahlten Entschädigungen erfolgen unter vollständiger Befriedigung des Anspruchs der Betroffenen Person gegenüber allen American Express BCRs-Unternehmen. Um Zweifel zu vermeiden, erstreckt sich die Haftung von AEESA auf die Handlungen oder Unterlassungen eines American Express BCRs Unternehmens, das sich nicht im EWR befindet, und dass die BCRs verletzt.
Wenn ein American Express BCRs-Unternehmen (einschließlich eines Unternehmens, das sich außerhalb des EWR befindet) die BCRs verletzt, sind die zuständigen europäischen Gerichte in Bezug auf diese Verletzung zuständig. Soweit ein American Express BCRs-Unternehmen die BCRs verletzt, können Betroffene Personen, Aufsichtsbehörden und Gerichte der maßgeblichen Rechtsordnung ihre Rechte ausüben und einen Anspruch gegen AEESA geltend machen, als sei dieses Verhalten von AEESA im EWR ausgeübt worden. Weitere Informationen zur Einreichung einer Beschwerde können Sie dem folgenden Abschnitt 9 entnehmen.
8.2. Rechte von Drittbegünstigten
Jede Betroffene Person kann die Bedingungen der folgenden Bestimmungen der BCRs als Drittbegünstigter gegen AEESA oder ein American Express BCRs-Unternehmen durchsetzen:
- Datenschutzgrundsätze (Abschnitt 4.1);
- Transparenz und Leichter Zugang zu den BCRs (Abschnitt 1.2 und 4.1.1);
- Rechte Betroffener Personen (Abschnitt 4.2);
- Compliance, Durchsetzung und Haftung (Abschnitt 8);
- Recht zur Beschwerde durch den internen Beschwerdemechanismus von American Express (Abschnitt 9);
- Recht zur Einreichung einer Beschwerde bei der Aufsichtsbehörde und vor dem zuständigen europäischen Gericht (Abschnitt 9);
- Kooperation mit Aufsichtsbehörden (Abschnitt 10); und
- Kollissionsrecht (Abschnitt 11.1).
8.3. Beweislast
AEESA trägt die Beweislast hinsichtlich des Nachweises, dass das American Express BCRs-Unternehmen, das außerhalb des EWR ansässig ist, nicht für eine vermeintliche Verletzung der BCRs haftet, die den Anspruch der Betroffenen Person auf Schadenersatz zur Folge hat. Wenn AEESA beweisen kann, dass ein American Express BCRs-Unternehmen außerhalb des EWR nicht für das Ereignis verantwortlich ist, das den Schaden zur Folge hat, können sich AEESA und dieses Unternehmen von dieser Verantwortung und Haftung entlasten.
Wenn Sie eine Beschwerde oder einen Anspruch einreichen möchten und Ihre Rechte im Hinblick auf diese BCRs ausüben möchten, sind Sie aufgefordert, jederzeit den Datenschutzbeauftragten (DPO) schriftlich am Hauptsitz von American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid / SPAIN oder per E-Mail unter DPO-Europe@aexp.com zu kontaktieren.
Unser DPO wird sich unverzüglich und in jedem Fall innerhalb eines Monats mit Ihren Beschwerden befassen. Unter Berücksichtigung der Komplexität und der Anzahl der Anfragen kann diese Einmonatsfrist um maximal zwei weitere Monate verlängert werden, und in diesem Fall werden Wir Sie entsprechend informieren.
Weitere Informationen zum Beschwerdebearbeitungsprozess von American Express und wie Sie eine Beschwerde einreichen können, erhalten Sie in unserer Online-Datenschutzerklärung.
Wenn das Problem nicht zu Ihrer Zufriedenheit behoben wird, können Sie auch:
- eine Beschwerde bei der Aufsichtsbehörde in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder am Ort der vermeintlichen Verletzung einreichen;
- Ihren Anspruch bei einem zuständigen Gericht des europäischen Landes einreichen, in dem das relevante American Express BCRs-Unternehmen seinen Sitz hat oder in dem Sie Ihren gewöhnlichen Aufenthalt haben. Gegebenenfalls erhalten Sie eine Entschädigung für die Schäden, die Sie infolge der Verletzung der vorstehend bezeichneten Rechte von Drittbegünstigten erlitten haben.
Alle American Express BCRs-Unternehmen werden mit einer relevanten Aufsichtsbehörde kooperieren und akzeptieren, von dieser geprüft zu werden und werden den Rat dieser Aufsichtsbehörden zu Fragen hinsichtlich des Geltendes Datenschutzrechts einhalten.
Wenn die Aufsichtsbehörde feststellt, dass eines der American Express BCRs-Unternehmen einzelne Rechte verletzt hat, die Betroffenen Personen gemäß diesen BCRs angeboten werden, wird dieses American Express BCRs-Unternehmen dem Beschluss der Aufsichtsbehörde vorbehaltlich des Rechts der Anfechtung und des Bestreitens dieses Beschlusses folgen.
11.1. Die nationale Gesetzgebung verhindert die Einhaltung der EU-BCRs
Im Falle, dass ein American Express BCRs-Unternehmen Grund zu der Auffassung hat, dass ein Gesetz, dem es unterliegt, die Einhaltung der BCRs ausschließt oder wahrscheinlich wesentliche Folgen für die Garantien hat, die in den BCRs festgelegt sind, wird der entsprechende Kontakt bei diesem American Express BCRs-Unternehmen den DPO der AEESA benachrichtigen, es sei denn, dies ist nach geltendem Recht verboten. Gegebenenfalls wird der DPO die zuständige Aufsichtsbehörde über den Gesetzeskonflikt benachrichtigen, es sei denn, dass dies nach geltendem Recht verboten ist.
Wenn ein American Express BCRs-Unternehmen eine Anforderung von Personenbezogenen Daten durch eine Vollstreckungsbehörde oder eine Staatssicherheitsbehörde erhält, wird der DPO die zuständige Aufsichtsbehörde über die Anforderung informieren (einschließlich der Benachrichtigung über die angeforderten Daten, die anfordernde Behörde und die Rechtsgrundlage der Offenlegung). Wenn die Aussetzung und/oder Benachrichtigung der zuständigen Aufsichtsbehörde in bestimmten Fällen nach geltendem Recht verboten ist, wird sich American Express nach besten Kräften bemühen, dieses Verbot zu umgehen, um schnellstmöglich umfassende Informationen an die zuständige Aufsichtsbehörde zu übermitteln und, um in der Lage zu sein, einen entsprechenden Nachweis erbringen zu können.
Wenn sich das American Express BCRs Unternehmen in den vorgenannten Fällen trotz des Einsatzes angemessener Kräfte nicht in einer Position befindet, die zuständige Aufsichtsbehörde zu benachrichtigen, wird es jährlich allgemeine Informationen zu den von ihm empfangenen Anforderungen an die zuständige Aufsichtsbehörde übermitteln (beispielsweise die Anzahl Anträge auf Offenlegung, die Art der angeforderten Personenbezogenen Daten, wenn möglich den Namen des Anfordernden, etc.).
In jedem Fall werden Übermittlungen Personenbezogener Daten von einem American Express BCRs-Unternehmen an eine öffentliche Behörde nicht übermäßig, unverhältnismäßig oder willkürlich sein. Diese Grenze gilt für alle rechtsverbindlichen Anforderungen auf Offenlegung Personenbezogener Daten durch eine Vollstreckungsbehörde oder eine Staatssicherheitsbehörde.
11.2. Beziehung zwischen nationalen Gesetzen und den EU-BCRs
Wenn Geltendes Datenschutzrecht ein höheres Maß an Schutz für Personenbezogene Daten verlangt, gehen diese Datenschutzgesetze diesen BCRs vor.
Wir können die Bedingungen unserer BCRs aktualisieren, um beispielsweise Änderungen des aufsichtsrechtlichen Umfelds oder der Unternehmensstruktur zu berücksichtigen. Wir verpflichten uns, wesentliche Änderungen unserer BCRs unverzüglich allen American Express BCRs-Unternehmen und AEPD anzuzeigen. Änderungen der BCRs oder der Liste von American Express BCRs-Unternehmen werden einmal jährlich den zuständigen Aufsichtsbehördenüber die zuständigen Aufsichtsbehörden mit einer kurzen Erklärung der Gründe angezeigt, die die Aktualisierung rechtfertigen. Wenn eine Änderung möglicherweise das von diesen BCRs angebotene Schutzniveau beeinflussen oder diese BCRs wesentlich beeinflussen würde, wird dies sofort den zuständigen Aufsichtsbehörden über die zuständige Aufsichtsbehörde mitgeteilt.
American Express hat ein Team eingesetzt, das eine vollständig aktualisierte Liste der American Express BCRs-Unternehmen führt und Aktualisierungen nachverfolgt und aufzeichnet und die notwendigen Informationen auf Anforderung an die Betroffenen Personen oder an Aufsichtsbehörden übermittelt. Darüber hinaus werden die American Express BCRs-Unternehmen keine Übermittlung an ein neues American Express BCRs-Unternehmen vornehmen, bis dieses neue Unternehmen effektiv an diese BCRs gebunden ist und Compliance gewährleisten kann.
- Beschreibung der Arten und Zwecke der Verarbeitungsaktivitäten
American Express ist ein globales Unternehmen für integrierten Zahlungsverkehr und Reisedienstleistungen, das sich hauptsächlich mit vier Bereichen befasst: i) Zahlungsdienstleistungen für Kunden, ii) Händlerdienste, iii) Netzwerkdienste und -betrieb sowie (iv) Reise- und Veranstaltungsdienste. Unsere Verarbeitungsaktivitäten werden im Zusammenhang mit diesen Aktivitäten ausgeführt, wie nachstehend beschrieben.
i) Kundenzahlungsdienste
American Express bietet ein breites Spektrum an Zahlungsdiensten für natürliche Personen an (beispielsweise Zahlungskarten und Kreditkarten), jeweils mit zugehörigen Dienstleistungen (beispielsweise Treueprogrammen, Mitgliedschafts- und Prämienprogramme sowie Versicherungsvermittlung).
- Zu diesem Zweck verarbeiten Wir Personenbezogene Daten von Kunden hauptsächlich zur Verwaltung und Bedienung unserer vertraglichen Beziehung; zur Verwaltung von Leistungen, Versicherungen oder anderen Programmen, bei denen Sie angemeldet sind, zur Lieferung von Produkten und Dienstleistungen, zur Betreibung von Forschung und Analyse zur Verbesserung unserer Produkte und Dienstleistungen; zum besseren Verständnis unserer Kunden und zur Bereitstellung eines stärker personalisierten Dienstes; zur Handhabung von Betrugs- und Sicherheitsrisiken, zur Förderung unserer Produkte und Dienstleistungen (bei Bedarf vorbehaltlich der Übereinstimmung mit Geltendem Datenschutzrecht); oder zur Einhaltung von sonstigem geltendem Recht.
American Express bietet auch gewerbliche Produkte und Dienstleistungen für Unternehmen an (einschließlich des geschäftlichen Zahlungsverkehrs, Kostenmanagementdiensten und Darlehensprodukten).
- Zu diesem Zweck verarbeiten Wir Personenbezogene Daten von Kunden hauptsächlich zur Verwaltung und Durchführung unserer vertraglichen Beziehung; zur Lieferung der gewerblichen Produkte und zur Erbringung der gewerblichen Dienstleistungen; um Kunden bei der Entwicklung von Auswertungen zu unterstützen, die es ihnen ermöglichen, effektive Beschaffungsrichtlinien, Modelle und Verfahrensabläufe zu unterhalten; zur Entwicklung von Risikomanagementrichtlinien, Modellen und Verfahrensabläufen und/oder zur Entscheidungsfindung darüber, wie Wir Konten von Kunden verwalten; zum Austausch von Informationen mit Betrugspräventionsagenturen, zur Nachverfolgung von Schuldnern, zum Eintreiben von Schulden, zur Verhinderung von Betrug, zur Verwaltung von Konten oder Versicherungsverträgen, zur Entscheidungsfindung über das Produktangebot, beispielsweise Kredit- und zugehörige Leistungen, oder zur Einhaltung des geltenden Rechts.
iI) Händlerdienste
American Express betreibt einen globalen Händlerservice, der das Einholen der Einwilligung der Händler zur Akzeptanz der Karten und anderer Finanzprodukte der Marke American Express von ihren Kunden als Zahlungsmittel sowie die Erlaubnis umfasst, dass American Express die Verarbeitung und Abwicklung von Kartentransaktionen für diese Händler vornimmt.
Als Teil dieses Händlerservices unterstützt American Express insbesondere Händler, die American Express Karten akzeptieren, indem Analyse- und Beratungskompetenz zur Identifikation neuer Trends bereitgestellt wird, Produktinnovation ermöglicht und Expansion und Verbesserungen der Vermarktung durch effektiveren Einsatz der American Express Dateninfrastruktur ermöglicht werden. Die Verarbeitungsaktivitäten, die zu diesem Zweck ausgeführt werden, erzeugen anonymisierte oder aggregierte Datenbanken, wo dies angemessen ist.
- Zu diesem Zweck verarbeiten Wir Personenbezogene Daten hauptsächlich zur Verwaltung und Durchführung unserer vertraglichen Beziehung zu Händlern; zum Austausch von Informationen mit Kreditauskunfteien zur Verhinderung von Betrug oder zur Nachverfolgung von Schuldnern oder zum Zwecke der Verifizierung der Identität, zur Entwicklung unserer Produkte und/oder bei Bedarf vorbehaltlich der Zustimmung durch Geltendes Datenschutzrecht zum Angebot von Produkten und Dienstleistungen oder zur Einhaltung von geltendem Recht, einschließlich von Gesetzen zur Verhinderung von Geldwäsche und zur Terrorismusbekämpfung.
iii) Netzwerkdienste und Betrieb
Das American Express Netzwerk authentifiziert, klärt und wickelt Kartentransaktionen ab und bietet Multi-Channel-Marketingprogramme und -kapazitäten, -dienste und Datenanalytik. Es verwaltet und entwickelt die Zuverlässigkeit, Sicherheit und Verarbeitungskapazitäten des American Express Zahlungsnetzwerks, um Handel weltweit zu ermöglichen. Zudem verwaltet das American Express Netzwerk eine Vielzahl an Kapazitäten, die Zahlungen in neuen Formen oder auf neuen Kanälen ermöglichen, während Richtlinien umgesetzt werden, um die vielen Beteiligten zu regulieren, die sich mit dem Netzwerk befassen.
- Zu diesem Zweck verarbeiten Wir Personenbezogene Daten hauptsächlich zur Abwicklung von Transaktionen für Kunden von American Express bei Händlern, die American Express akzeptieren. Die Verarbeitungsaktivitäten umfassen Schritte zur Verhinderung von Betrug und zur Einhaltung geltenden Rechts, einschließlich von Gesetzen zur Verhinderung von Geldwäsche und Terrorismusbekämpfung.
iv) Reisen, Besprechungen und Veranstaltungsdienste
American Express ist eines der größten Reisevermittlungsunternehmen weltweit und nimmt jährlich Millionen von Reisebuchungen für Kunden und einzelne Mitarbeiter von Firmenkunden und in Ausnahmefällen für ihre Reisebegleiter vor, die weltweit auf Reisen gehen möchten.
American Express Global Business Travel (GBT) bietet auch Reisemanagementkompetenz für Firmenkunden und unterstützt Kunden bei der Organisation von Besprechungen und Veranstaltungen weltweit. Einzelheiten zu den Verarbeitungstätigkeiten von GBT finden Sie hier- https://privacy.amexgbt.com/.
American Express bietet auch Reisedienstleistungen für einzelne Verbraucher an, vorrangig jedoch für diejenigen, die Inhaber einer Karte der Marke American Express sind
- Zu diesem Zweck verarbeiten Wir Personenbezogene Daten von Kunden vorrangig zur Verwaltung der geschäftlichen Beziehung, zur Erbringung von Dienstleistungen, zum Betreiben von Forschung und Analyse zur Verbesserung von Produkten und Dienstleistungen, zum besseren Verständnis unserer Kunden und zur Erbringung eines stärker personalisierten Dienstes; zur Förderung unserer Produkte und Dienstleistungen (bei Bedarf vorbehaltlich der Übereinstimmung mit Geltendem Datenschutzrecht); oder zur Einhaltung von sontigem geltenden Recht.
v) Human Resources
American Express BCRs-Unternehmen verarbeiten auch Personenbezogene Daten von Mitarbeitern vorrangig zur Verwaltung und Erfüllung ihres Arbeitsverhältnisses (beispielsweise Anstellungen oder Abfindungen, Hintergrundprüfungen, Leistungsmanagement, Arbeitsmanagement oder andere Personalangelegenheiten in Bezug auf die Verwaltung von Mitarbeiterbeziehungen); und zur Einhaltung von internen Richtlinien und geltendem Recht.
- Beschreibung der Arten der Personenbezogenen Daten
Die Arten der verarbeiteten Personenbezogenen Daten werden in den verschiedenen American Express Datenschutzerklärungen beschrieben, die für die Beziehung der Betroffenen Personen mit American Express gelten und können allgemein wie folgt beschrieben werden:
i) Personenbezogene Daten der Kunden
Personenbezogene Daten von Kunden können persönliche Angaben umfassen (beispielsweise Name, Adresse und sonstige Kontaktdaten), Informationen zu Produkten und Dienstleistungen, die eingesetzt und erworben werden, Kreditwürdigkeit, Online-Aktivität, beispielsweise einschließlich Informationen, die Wir erfassen, wenn Kunden auf unsere Online-Kundendienste zugreifen oder über Cookies und ähnliche Technologien; Informationen zum Lebensstil und zu sozialen Umständen; etc. um Dienstleistungen in Verbindung mit Reisen und Veranstaltungen zu erbringen, muss American Express Personenbezogene Daten in Bezug auf den Reisenden verarbeiten, einschließlich Nationalität, Angaben im Reisepass, Geschlecht, Geburtsdatum, Geburtsort und Reisevorlieben (gemeinsam „Personenbezogene Daten von Kunden„).
In einigen Fällen können die Personenbezogenen Daten von Kunden Besondere Kategorien personenbezogener Daten umfassen, beispielsweise biometrische Daten zu Sicherheitszwecken (z.B. ID Voice) oder für reisebezogene Leistungen Einzelheiten der Erwerbsunfähigkeit, welche die Reisefähigkeit beeinflussen können.
ii) Personenbezogene Daten der Mitarbeiter
Personenbezogene Daten von Mitarbeitern umfassen beispielsweise persönliche Angaben (beispielsweise Name, Adresse und sonstige Kontaktdaten), Angaben zum Familenstand, Informationen zum Lebensstil und zu sozialen Umständen, Informationen zu eingesetzten Produkten und Dienstleistungen, Online-Aktivität, Kreditwürdigkeit, öffentliche Ämter, Einwanderungsstatus sowie Ausbildung und beruflicher Werdegang sowie andere Informationen in Bezug auf die Beschäftigung, wie Leistung oder Begabungen sowie Informationen zu Vergütung und Leistungen (gemeinsam „Personenbezogene Daten von Mitarbeitern„).
In einigen Fällen und wenn nach nationalem Recht zulässig, können Personenbezogene Daten von Mitarbeitern Besondere Kategorien personenbezogener Daten umfassen, einschließlich Informationen zur rassischen und ethnischen Herkunft, sexuellen Orientierung, Informationen zur Gesundheit der Mitarbeiter, betrieblicher Krankenversicherung, biometrischen Daten, Überwachung von Chancengleichheit, Informationen zu Gewerkschaften und Betriebsräten.
Die American Express BCRs-Unternehmen befinden sich in den folgenden Ländern:
- Argentinien
- Österreich
- Australien
- Belgien
- Kanada
- China
- Kolumbien
- Tschechische Republik
- Dänemark
- Finnland
- Frankreich
- Deutschland
- Griechenland
- Hongkong
- Ungarn
- Indien
- Irland
- Italien
- Japan
- Jersey
- Malaysia
- Mexiko
- Niederlande
- Norwegen
- Philippinen
- Polen
- Russland
- Singapur
- Slowakei
- Spanien
- Schweden
- Schweiz
- Taiwan
- Thailand
- Vereinigtes Königreich
- Vereinigte Staaten
„AEESA” – American Express Europe, S.A., ansässig in Avenida Partenón 12 -14, Madrid, 28042. AEESA ist die europäische Gesellschaft innerhalb von American Express, welche die Verantwortung dafür übernommen hat, dass Personenbezogene Daten im Einklang mit den BCRs verarbeitet werden. AEESA ist eine unterzeichnende Partei der Konzernvereinbarung.
„American Express BCRs-Unternehmen” oder „American Express BCRs-Unternehmen (pl.)” oder „Wir” oder „Uns” – das oder die American Express-Unternehmen, die an die verbindlichen unternehmensinternen Datenschutzvorschriften gebunden sind.
„American Express Company” - die American Express Company, ansässig im World Financial Center, 200 Vesey St., New York, NY 10285 USA. Die American Express Company ist eine unterzeichnende Partei der Konzernvereinbarung.
„American Express Datenschutzerklärungen” – die Datenschutzerklärung für Kartenmitglieder (für Kartenmitglieder), die Online-Datenschutzerklärung (für Kunden und Besucher der Webseite), die Datenschutzerklärung für Online-Rekrutierung (für potenzielle Mitarbeiter), oder der Datenschutzhinweis für Mitarbeiter (für aktuelle Mitarbeiter), und andere Hinweise, Bedingungen und Konditionen (beispielsweise für Händler und Unternehmenskunden), die auf die Beziehung der Betroffenen Person zu American Express anwendbar sind, in der zum jeweiligen Zeitpunkt geltenden Fassung.
„Geltendes Datenschutzrecht” – die DSGVO (und die nationalen Durchführungsvorschriften), die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (und die nationalen Durchführungsvorschriften), und sonstige Datenschutzgesetze und -vorschriften, die im EWR anwendbar sind (alle Vorgenannten in der zum jeweiligen Zeitpunkt geänderten und ersetzten Fassung).
„Zustimmung” – jeder frei erteilte, spezielle, informierte und eindeutige Hinweis durch eine Erklärung oder klare bestätigende Handlung auf die Einwilligung der Betroffenen Personen mit der Verarbeitung ihrer Personenbezogenen Daten.
„Datenverletzung” oder „Verletzung personenbezogener Daten” – eine Verletzung der Sicherheit, die beiläufige(n) oder rechtswidrige(n) Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten Personenbezogenen Daten zur Folge hat.
„Datenverantwortlicher” – die natürliche oder juristische Person, öffentliche Behörde, Vertretung oder andere Instanz, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung der Personenbezogenen Daten festlegt.
„Datenschutzfolgenabschätzung” – eine Beurteilung der Folgen eines geplanten Verarbeitungsprozesses auf den Schutz Personenbezogener Daten, der ausgeführt wird, wobei die Verarbeitung wahrscheinlich in einem hohen Risiko für die Rechte und Freiheiten der Betroffenen Personen resultiert.
„Betroffene Person(en)” oder „Sie” – eine identifizierbare natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator, beispielsweise einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder eine oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person hinsichtlich des Geltungsbereichs dieser BCRs spezifisch sind.
„Datenverarbeiter” – die natürliche oder juristische Person, öffentliche Behörde, Vertretung oder andere Instanz, die Personenbezogene Daten im Auftrag und nach Weisung des Datenverantwortlichen verarbeitet.
„EWR” – der Europäische Wirtschaftsraum, der alle EU-Länder sowie Island, Liechtenstein und Norwegen umfasst.
„DSGVO” – die Datenschutz-Grundverordnung 2016/679.
„Konzernvereinbarung” – die Konzernvereinbarung, die American Express BCRs-Unternehmen (pl.) an die BCRs bindet.
„Personenbezogene Daten” – Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person (Betroffene Person), die sich innerhalb des Geltungsbereichs dieser BCRs.
„Verarbeitung” oder „verarbeiten” – ein Vorgang oder eine Reihe von Vorgängen, die im Hinblick auf Personenbezogene Daten oder eine Reihe Personenbezogener Daten mit oder ohne automatische Mittel ausgeführt wird, beispielsweise die Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Bearbeitung oder Änderung, Wiederherstellung, Konsultation, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitiges Verfügbarmachen, Abstimmung oder Kombination, Einschränkung, Löschung oder Zerstörung.
„Profilerstellung” – automatisierte Verarbeitung der Personenbezogenen Daten, die beabsichtigt, zu analysieren, bestimmte persönliche Aspekte in Bezug auf Einzelpersonen zu beurteilen (beispielsweise ihre Leistung bei der Arbeit, ihre Kreditwürdigkeit, ihre Zuverlässigkeit, ihr Verhalten) oder Vorhersagen über sie zu treffen.
„Besondere Kategorien personenbezogener Daten” –Personenbezogene Daten, welche die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Auffassungen oder Gewerkschaftsmitgliedschaften, genetische Daten oder Daten, die zum Zweck der eindeutigen Identifikation einer natürlichen Person verarbeitet werden, Daten zur Gesundheit oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person offenlegen.
„Aufsichtsbehörde” – eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat gemäß Artikel 51 DSGVO eingerichtet ist.
„Übermittlung”– eine Übermittlung Personenbezogener Daten von einem Unternehmen im EWR auf ein anderes oder eine Weiterleitung, die andernfalls durch die DSGVO eingeschränkt wäre. Eine Übermittlung wird über Kommunikation, eine Kopie oder eine Offenlegung Personenbezogener Daten durch ein Netzwerk vorgenommen, einschließlich des Fernzugriffs auf eine Datenbank oder der Übermittlung von einem Medium auf ein anderes.