Post on 23-May-2020
Konzernrichtlinie PCOC - CSDatenschutz und PrivacyCode of Conduct für Kunden/Lieferanten
November 2016
2
Inhaltsverzeichnis
Das Motto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Vorwort des Vorstands . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Vorwort des Konzernbetriebsrats . . . . . . . . . . . . . . . . . . . 5
Vorwort des Konzerndatenschutzbeauftragten . . . . . . . . . . 6
I. Ziel des Code of Conduct . . . . . . . . . . . . . . . . . . . . . . . 7
II. Geltungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
III. Geltung einzelstaatlichen Rechts . . . . . . . . . . . . . . . . . 7
IV. Grundsätze für die Verarbeitung personenbezogener
Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
V. Besondere Arten personenbezogener Daten . . . . . . . . 8
VI. Verarbeitung auf der Basis von Arbeitsvertrag
oder Arbeitsverhältnis, Betriebsvereinbarung
und Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
VII. Rechte der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . 10
VIII. Vertraulichkeit der Verarbeitung . . . . . . . . . . . . . . . . . 10
IX. Grundsätze der Datensicherheit . . . . . . . . . . . . . . . . . 11
X. Datenverarbeitung im Auftrag / Einbeziehung Dritter in
Arbeitsabläufe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
XI. Telekommunikation und Internet . . . . . . . . . . . . . . . . . 12
XII. Abhilfe / Sanktionen / Verantwortlichkeiten . . . . . . . . 13
XIII. Der Konzernbeauftragte für den Datenschutz . . . . . . . 13
Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4
Die Herausforderungen:
Wünsche und Ansprüche der Kunden
Persönlichkeitsrechte der Mitarbeiter
Gewachsene Sensibilität der Mitarbeiter
Heterogene Datenschutzregulierung
Datenschutz bei grenzüberschreitendem
Datenverkehr
Adäquates Datenschutzniveau im Konzern
Integratives Datenschutz- und
Datensicherheitsmanagement
Die Lösungen:
Globaler Ansatz
Adäquates Datenschutzniveau durch
Selbstregulierung
Datenschutz ist Qualitäts- und
Wettbewerbsvorteil
Interne Datenschutzorganisation
Internes Law Enforcement
Integration von Datenschutz und
Datensicherheit in Produkte und
Dienstleistungen
Das Motto
5
Liebe Mitarbeiterinnen und Mitarbeiter,
die Grundlagen unseres Erfolgs und unseres
hervorragenden Ansehens liegen darin
begründet, dass wir jederzeit die Wünsche
und Ansprüche unserer Kunden zum Maßstab
unseres Handelns gemacht haben. Unser Ziel
ist es, nicht nur den Vorstellungen unserer
Kunden gerecht zu werden, sondern vielmehr
deren Erwartungen zu übertreffen. Nur auf
diese Weise können wir unsere Stellung in
dem global umkämpften Markt behaupten
und weiter ausbauen.
Heute genügt es nicht mehr, ausschließlich
die gewachsenen Anforderungen unserer
Kunden an Dienstleistungen rund um die
Technik zu berücksichtigen. Vielmehr wird es
auch immer wichtiger, der aufgrund der fort-
schreitenden Möglichkeiten der Datenverar-
beitung gewachsenen Sensibilität unserer
Kunden und Vertragspartner bezüglich des
Datenschutzes Rechnung zu tragen. Hierzu
müssen entsprechende Konzepte erarbeitet
werden, die frühestmöglich –
am besten bereits bei der Entwicklung von
Dienstleistungen und Produkten – zu berük-
ksichtigen sind. Dazu müssen wir uns in
erster Linie an den datenschutzrechtlichen
Rahmenbedingungen orientieren.
Diese sind weltweit sehr unterschiedlich.
Auch bestehen gesetzliche Anforderungen für
den grenzüberschreitenden Transfer von per-
sonenbezogenen Daten. Basierend auf welt-
weit anerkannten Datenschutzprinzipien zielt
der „Datenschutz und Privacy – Code of
Conduct für Kunden/Lieferaten“ darauf ab,
einheitliche, adäquate und globale Daten-
schutz- und Datensicherheitsstandards aufzu-
stellen, um einen konzernweiten Austausch
von personenbezogenen Datenschutz gerecht
zu ermöglichen.
Da der „Datenschutz und Privacy – Code of
Conduct für Kunden/Lieferaten“ nicht jede
mögliche Situation Ihres beruflichen Alltags
abbilden kann, wenden Sie sich bitte für wei-
tere Hinweise an den Konzernbeauftragten für
den Datenschutz oder an die anderen
Ansprechpartner, die im „Datenschutz und
Privacy – Code of Conduct für
Kunden/Lieferaten“ angesprochen und auf
den Intranetseiten des Bereichs Datenschutz
aufgeführt sind.
Sie als Mitarbeiter der MTU Aero Engines
oder einer konzernangehörigen Gesellschaft
der MTU Aero Engines sind verpflichtet, die
im „Datenschutz und Privacy – Code of
Conduct für Kunden/ Lieferaten“ niedergeleg-
ten Grundsätze bei Ihrer Arbeit zu beachten,
um weiterhin das hohe Ansehen unseres
Hauses, unserer Produkte und
Dienstleistungen zu gewährleisten.
Vorwort des Vorstands
Reiner WinklerVorsitzender des Vorstandes (CEO)
6
Liebe Mitarbeiterinnen und Mitarbeiter,
aufgrund gesetzlicher Regelungen und
Rahmenbedingungen der Europäischen Union
und um unserer Sorgfaltspflicht als Konzern-
betriebsrat der MTU Gruppe gerecht zu wer-
den, haben wir mit der Unternehmensleitung
und dem Konzerndatenschutzbeauftragten
gemeinsam auf dieses Regelwerk zum
Umgang mit personenbeziehbaren Daten hin-
gewirkt.
Dies bedeutet, wir gemeinsam achten darauf,
dass die Persönlichkeitsrechte der Mitarbeiter
und unserer Kunden und Lieferanten nicht
verletzt werden. Dazu sind in erster Linie die
datenschutzrechtlichen Rahmenbedingungen
zu beachten. Diese sind weltweit sehr unter-
schiedlich. Auch bestehen gesetzliche Anfor-
derungen für den grenzüberschreitenden
Transfer von Daten. Basierend auf weltweit
anerkannten Datenschutzprinzipien zielen der
„Datenschutz und Privacy – Code of Conduct
für Human Resources“ und der „Datenschutz
und Privacy – Code of Conduct für Kunden
und Lieferanten“ darauf ab, einheitliche, adä-
quate und globale Datenschutz- und
Datensicherheitsstandards aufzustellen,
um einen konzernweiten Austausch von
Mitarbeiter-, Kunden- und Lieferantendaten
datenschutzgerecht zu ermöglichen. Sie als
Mitarbeiter der MTU Aero Engines oder einer
konzernangehörigen Gesellschaft sind damit
gefordert, diese Regelungen zur
Wertschätzung der informationellen Selbst-
bestimmung weltweit in unserem Konzern zur
Gültigkeit zu verhelfen.
Vorwort desKonzernbetriebsrats
Michael WinkelmannStellv. Vorsitzender
Josef MailerVorsitzender Konzernbetriebsrat MTU Aero Engines
7
Liebe Mitarbeiterinnen und Mitarbeiter,
ein wichtiger Aspekt bei der bedarfsgerechten
Betreuung unserer Kunden und der effektiven
Gestaltung unserer Geschäftsprozesse ist die
Berücksichtigung datenschutzrechtlicher
Belange.
Als global tätiges Unternehmen steht die MTU
Aero Engines und die konzernangehörigen
Gesellschaften vor der Aufgabe, den weltweit
sehr unterschiedlichen rechtlichen
Anforderungen an die Erhebung und
Verarbeitung personenbezogener Daten
gerecht zu werden. So sind insbesondere
auch bei einem grenzüberschreitenden
Austausch von personenbezogenen Daten
zwischen den einzelnen konzernangehörigen
Gesellschaften rechtliche Erfordernisse zu
beachten. Eine grenzüberschreitende Über-
mittlung personenbezogener Daten ist nach
einer Reihe von verschiedenen nationalen
Gesetzen grundsätzlich nur dann erlaubt,
wenn die Stelle, an die die Daten übermittelt
werden, ein angemessenes Datenschutz-
niveau gewährleistet.
Um unter hinreichender Berücksichtigung der
nationalen Anforderungen konzernweit ein
angemessenes Datenschutzniveau als
Voraussetzung für einen grenzüberschreiten-
den Transfer personenbezogener Daten herzu-
stellen, hat die MTU Aero Engines den
“Datenschutz und Privacy – Code of Conduct
für Kunden/Lieferanten“ für Kundendaten und
Daten anderer Vertragspartner eingeführt.
Die Durchsetzung der aus dem „Datenschutz
und Privacy – Code of Conduct für Kunden/
Lieferanten“ folgenden Verpflichtungen und
die Einhaltung der nationalen
Datenschutzgesetze wird durch den
Konzernbeauftragten für den Datenschutz der
MTU Aero Engines sichergestellt.
Um wirkungsvoll diese Aufgaben vor Ort wahr-
nehmen zu können und um den Konzern-
beauftragten bei seiner Tätigkeit zu unterstüt-
zen, sind in den Fachabteilungen und
Gesellschaften im In- und Ausland dezentral
Mitarbeiter als Datenschutz-Koordinatoren
benannt. Diese berichten an den Konzern-
beauftragten für den Datenschutz und werden
von ihm fachlich angeleitet. Den jeweils für
Sie zuständigen Datenschutz-Koordinator fin-
den Sie auf den Intranetseiten des Bereichs
Datenschutz (MTU Intranet - Datenschutz).
Sowohl die Datenschutz-Koordinatoren als
auch ich stehen Ihnen als Ansprechpartner
bei Rückfragen bezüglich der Umsetzung des
„Datenschutz und Privacy – Code of Conduct
für Kunden/Lieferanten“ zur Verfügung.
Vorwort des Konzern-datenschutzbeauftragten
Helga SchorrKonzerndatenschutzbeauftragte (CPO)
8
I. Ziel des Code of ConductFür ein globales Unternehmen wie MTU AeroEngines ist die moderne Informations- undKommunikationstechnologie ein wichtigerBestandteil der Geschäftsprozesse. Eine nichtsachgerechte oder missbräuchliche Verwen-dung dieser Technologie kann zur Verletzungvon Persönlichkeitsrechten führen.Bei der Gestaltung der Informationsgesell-schaft soll ein Ziel sein, den Schutz derPersönlichkeitsrechte in den Vordergrund zustellen. Perfekter Service und perfekteProdukte, die Ziel unseres Hauses sind, erfor-dern auch auf Datenschutzbelange unsererKunden und Vertragspartner einzugehen. ImBewusstsein dieses Zieles verpflichten sichdie MTU Aero Engines und die konzernange-hörigen Gesellschaften, den nachfolgendenCode of Conduct konzernweit einzuhalten.Ziel ist es, für die gesamte MTU Aero Engineseinheitliche, adäquate und globale Daten-schutz- und Datensicherheitsstandards aufzu-stellen, um den aus der EuropäischenDatenschutzrichtlinie 1 und anderen nationa-len Gesetzen folgenden Anforderungen anden grenzüberschreitenden Datenverkehr zugenügen. Der Code of Conduct schafft in die-sem Zusammenhang ein konzernweites ein-heitliches Datenschutzniveau, ersetzt abernicht die Legitimation, die jeder Verarbeitungoder Übermittlung zu Grunde liegen muss.Daneben sollen die Mitarbeiter undFührungskräfte dabei unterstützt werden,Datenschutzbelange unserer Kunden undVertragspartner in die Gestaltung vonProdukten und Dienstleistungen unseres
Hauses zu integrieren. Dieser Paragraph sollim Einklang mit den folgenden Paragraphendieses Code of Conduct, insbesondere mitParagraph III., der die Geltung des einzel-staatlichen Rechts regelt, interpretiert wer-den.
II. GeltungsbereichDer Code of Conduct ist eine Konzernricht-linie der MTU Aero Engines und gilt sowohlfür die Verarbeitung personenbezogenerKundendaten als auch für die personenbezo-genen Daten von Zulieferern, Beratern undanderen Vertragspartnern im gesamtenKonzern.
III. Geltung einzelstaatlichenRechts
Die Zulässigkeit von Datenerhebungen und –verarbeitungen ist anhand des jeweiligennationalen und lokalen Rechts des Landes zubeurteilen, in dem die Erhebung undVerarbeitung erfolgt. Das bedeutet, dass sichdie Zulässigkeit der Verarbeitung von perso-nenbezogenen Daten, die nicht in derEU/EWR erhoben worden sind und auch nichtin der EU/ EWR verarbeitet werden nach demnationalen und lokalen Recht des Herkunfts-landes richtet. Für den Fall von Datenüber-mittlungen aus der EU/EWR bzw. ausStaaten, die für Datenübermittlungen in ande-re Länder einen adäquaten Datenschutzstan-dard fordern, haben die datenimportierendenStellen bei der Verarbeitung der übermitteltenpersonenbezogenen Daten das jeweiligenationale Recht des Staates anzuwenden, ausdem die Daten übermittelt wurden. Dies gilt
nicht für Datenübermittlungen innerhalb derEU/EWR bzw. für Datenübermittlungen inDrittstaaten, deren Datenschutzniveau vonder Europäischen Kommission als angemes-sen im Sinne von Art. 25 der EU-Datenschutz-richtlinie beurteilt wurde.
Die nach nationalem Datenschutzrecht mögli-cherweise bestehenden Meldepflichten müs-sen beachtet werden. Jede juristisch selbstän-dige Gesellschaft der MTU Gruppe hat zuüberprüfen, ob und in welchem Umfang einesolche Meldepflicht gegenüber den nationalenAufsichtsbehörden bzw. Kontrollstellen be-steht. In Zweifelsfällen kann der Konzern-beauftragte für den Datenschutz zu Rategezogen werden.Erhebungen bzw. Übermittlungen von perso-nenbezogenen Daten an staatlicheEinrichtungen und Behörden erfolgen nur aufder Basis jeweils einschlägiger nationalerRechtsvorschriften.Dieser Code of Conduct enthält nur solcheEinschränkungen, die erforderlich sind, umden aus nationalen Gesetzen folgendenAnforderungen an den grenzüberschreiten-den Datenverkehr zu genügen.
Code of Conduct fürKunden/Lieferanten
9
IV. Grundsätze für die Verarbeitungpersonenbezogener Daten
1. Bei der Datenverarbeitung müssen diePersönlichkeitsrechte der Betroffenengewahrt werden.
2. Personenbezogene Daten dürfen nurverarbeitet werden, wenn dies recht-lich zulässig ist oder wenn der Betroffe-ne eingewilligt hat. PersonenbezogeneDaten dürfen nur für diejenigen Zweckeverarbeitet werden, für die sie ur-sprünglich erhoben wurden und auf diesich die rechtliche Zulässigkeit oder dieEinwilligung erstreckt.
3. Personenbezogene Daten sollen richtigund wenn nötig auf dem aktuellenStand gespeichert sein. Es sind ange-messene Maßnahmen dafür zu treffen,dass nicht zutreffende oder unvollstän-dige Daten gelöscht oder berichtigtwerden.
4. Zugriff auf personenbezogene Datendürfen nur solche Mitarbeiter haben, inderen Tätigkeitsbereich der Umgangmit diesen personenbezogenen Datenfällt; die Zugriffsberechtigung ist nachArt und Umfang des jeweiligen Tätig-keitsfeldes zu begrenzen.
5. Daten, die für die Geschäftszwecke, fürdie sie ursprünglich erhoben und ge-speichert wurden, nicht mehr benötigtwerden, sind, gegebenenfalls unter Be-achtung gesetzlich vorgeschriebenerAufbewahrungspflichten, zu löschen.
6. Widerspricht ein Betroffener derNutzung seiner personenbezogenenDaten zu Marketingzwecken, dürfendie Daten für diese Zwecke nichtverwendet werden.
7. Die Datenverarbeitung hat sich an demZiel auszurichten, nur die erforderlichenpersonenbezogenen Daten, d.h.so wenig wie möglich, zu erheben, zuverarbeiten oder zu nutzen. Möglich-keiten der Anonymisierung und Pseu-donymisierung sind zu nutzen, soweitdies möglich ist und der Aufwand ineinem angemessenen Verhältnis zudem angestrebten Schutzzweck steht.Statistische Auswertungen oder Unter-suchungen, die auf der Basis anonymi-sierter oder pseudonymisierter Datenerfolgen, sind nicht datenschutz-relevant, soweit die Daten nicht mehrindividualisierbar sind.
8. Entscheidungen, die für den Betroffe-nen eine negative rechtliche Folge nachsich ziehen oder ihn erheblich beein-trächtigen, dürfen nicht ausschließlichauf eine automatisierte Verarbeitungpersonenbezogener Daten gestütztwerden, die der Bewertung einzelnerPersönlichkeitsmerkmale wie z.B. derKreditwürdigkeit dient. Die Infor-mationstechnik darf grundsätzlich nurals Hilfsmittel für eine Entscheidungherangezogen werden, ohne dabeideren einzige Grundlage zu bilden.Sofern im Einzelfall die sachlicheNotwendigkeit bestehen sollte, auto-matisierte Entscheidungen zu treffen,muss der Betroffene die Möglichkeiteiner Stellungnahme haben, wenn nichteine derartige Entscheidung durch einGesetz zugelassen ist, das Garantienzur Wahrung der berechtigten Inte-ressen der betroffenen Personen fest-legt.
9. Bei Datenverarbeitungsvorhaben, ausdenen sich besondere Risiken für Per-sönlichkeitsrechte der Betroffenenergeben können, ist der Bereich Daten-schutz schon vor Beginn der Verar-
beitung zu beteiligen. Dies gilt insbe-sondere für die nachfolgenden beson-deren Arten personenbezogener Daten.
V. Besondere Arten perso-nenbezogener Daten
Die Verarbeitung personenbezogener Da-ten über die rassische und ethnischeHerkunft, über politische Meinungen,über religiöse oder philosophische Über-zeugungen, über Gewerkschaftszuge-hörigkeiten oder über die Gesundheitoder das Sexualleben des Betroffenen istgrundsätzlich untersagt, sofern sich dieRechtmäßigkeit der Verarbeitung nichtaus einer gesetzlichen Erlaubnis oder auseinem gesetzlichen Erfordernis ergibt.
Eine Verarbeitung besonderer Arten per-sonenbezogener Daten ist ferner zulässigfür die Geltendmachung, Ausübung oderVerteidigung rechtlicher Ansprüche auchim Rahmen eines Rechtsstreits, wennkein Grund zu der Annahme besteht, dassdas schutzwürdige Interesse des Betrof-fenen an dem Ausschluss der Verarbei-tung oder Nutzung überwiegt. Ansonstenmuss der Betroffene ausdrücklich in dieVerarbeitung dieser Daten eingewilligthaben.
10
VI. Unterrichtung und Ein-willigung der Betroffenen
Die nachfolgenden Anforderungen beziehensich nicht auf Datenerhebungen, die in denUSA vorgenommen werden. Für diese gilt dasjeweilige nationale bzw. lokale Recht.
1. Die vertragliche Beziehung
Personenbezogene Daten des Betroffenendürfen auf der Grundlage bzw. zur Durchfüh-rung eines Vertrags- bzw. Vertragsanbahn-ungsverhältnisses verarbeitet werden. In die-sem Zusammenhang ist auch die Verarbeitungund Nutzung zu Zwecken des Marketings bzw.der Markt- und Meinungsforschung zulässig,sofern sich dies mit dem Zweck, für den dieDaten ursprünglich erhoben wurden, verein-baren lässt. Bei der Erhebung muss derBetroffene folgendes erkennen können oderentsprechend informiert werden:
Identität des VerantwortlichenZweck der DatenverarbeitungDritte oder Kategorien von Dritten, andie die Daten gegebenenfalls über-mittelt werden.Freiwilligkeit der Teilnahme an Aktionenim Bereich des Marketings oder derMarkt- und Meinungsforschung.
Diese Transparenz kann mittels individuellerMitteilung oder durch allgemeine Informationhergestellt werden. Der Betroffene ist daraufhinzuweisen, dass er über Auskunfts- undBerichtigungsrechte hinsichtlich seiner perso-nenbezogenen Daten verfügt. Spätestens beider ersten Adressierung zu Zwecken derDirekt-werbung muss er darüber informiertwerden, dass er ein Widerspruchsrecht gegendie Verarbeitung dieser Daten zu Zweckendes Direktmarketings hat.
2. Beziehung ohne Vertrags-verhältnis
Sofern ein (vor-) vertragliches Verhältnis fehlt,muss der Betroffene in die Erhebung undVerarbeitung seiner personenbezogenenDaten eingewilligt haben, sofern sich dieZulässigkeit der Erhebung oder Verarbeitungnicht aus nationalem Recht ergibt. Dasselbegilt, wenn eine weitere Verarbeitung oderNutzung von Daten außerhalb des ursprüng-lichen Erhebungszweckes erfolgen soll. Vorder Einwilligung muss der Betroffene wieunter Paragraph VI. Ziffer 1 dieses Code ofConduct unterrichtet werden. Die Einwil-ligungserklärung ist aus Beweisgründen regel-mäßig schriftlich einzuholen. Handelt es sichz.B. um eine Einwilligung, die im Zusammen-hang mit dem Abschluss eines Kaufvertrageseingeholt wird, muss diejenigeVertragsklausel, die die Einwilligung enthält,auf dem Kaufvertragsformular optisch hervor-gehoben werden. In der Einwilligungserklä-rung müssen Umfang und Zweck derDatenverarbeitung spezifiziert werden. ImFalle besonderer Umstände, z.B. bei telefoni-scher Beratung, kann die Einwilligung aus-nahmsweise auch mündlich erteilt werden.Für die Gestaltung von online abzugebendenEinwilligungserklärungen sind dieDatenschutz- und Qualitätsstandards für e-Business Anwendungen im MTU Intranetunter Datenschutz und die anderen jeweilsgeltenden Arbeitsanweisungen zu beachten.
3. Datenaustausch mitDritten/Datenerwerb
Grundsätzlich sind personenbezogene Datenbeim Betroffenen selbst zu erheben. SofernDaten bei Dritten erhoben bzw. von Drittenübermittelt werden, ist sicherzustellen, dassder Betroffene bei der ersten Ansprache ent-
sprechend wie unter Paragraph VI. Ziffer 1dieses Code of Conduct informiert ist oderwird. Bonitätsanfragen bedürfen einerEinwilligung. Im Falle eines Datenerwerbsmuss sichergestellt sein, dass die Daten imRahmen des jeweils geltenden Rechts recht-mäßig erhoben wurden.
4. Datenaustausch innerhalbdes Konzerns MTU Aero Engines
Sofern eine juristisch selbständigeKonzerngesellschaft personenbezogene Datenan eine andere Konzerngesellschaft weiter-gibt, handelt es sich um eine Übermittlung anDritte, weswegen auch in einem solchen„internen“ Fall die Voraussetzungen desParagraphen VI. Ziffer 1 und 2 dieses Code ofConduct vorliegen müssen, d.h. es muss eineLegitimation für die Übermittlung geben. Füreine Weiterübermittlung an Dritte, die nichtzur MTU Gruppe gehören, müssen sowohl dieVoraussetzungen des Paragraphen VI. Ziffer 1und 2 als auch die des Paragraphen X. Ziffer5 dieses Code of Conduct vorliegen.
11
VII. Rechte der Betroffenen
Betroffene können sich mit Fragen undBeschwerden an den für sie zuständigenDatenschutz-Koordinator, an ihrenAnsprechpartner oder an den Konzern-beauftragten für den Datenschutz wenden.Insbesondere wenn sie ihre nachfolgendenRechte wahrnehmen, müssen diese Anfragenumgehend bearbeitet werden.
1. Der Betroffene kann Auskunft darüberverlangen, welche personenbezogenenDaten welcher Herkunft über ihn zuwelchem Zweck gespeichert sind.
2. Im Falle von Übermittlungen personen-bezogener Daten an Dritte muss auchüber die Identität der Empfänger oderüber die Kategorien von EmpfängernAuskunft gegeben werden.
3. Sollte sich beispielsweise im Rahmender Bearbeitung des Auskunftsrechtsherausstellen, dass personenbezogeneDaten unrichtig oder unvollständigsind, ist der Betroffene berechtigt, eineBerichtigung zu verlangen. Stellt sichheraus, dass der Zweck der Daten-verarbeitung durch Zeitablauf oderaus anderen Gründen entfallen bzw.die Verarbeitungsmaßnahme rechts-widrig ist und dies im Rahmen turnus-mäßiger Überprüfung bislang über-sehen wurde, sind die Daten, ggf. unter
Beachtung gesetzlicher Aufbe-wahrungspflichten, zu löschen.
4. Der Betroffene hat das Recht, derNutzung seiner personenbezogenenDaten zu Zwecken der Direktwerbungoder der Markt- und Meinungsfor-schung zu widersprechen. Für dieseZwecke müssen die Daten gesperrtwerden.
5. Darüber hinaus hat der Betroffeneein grundsätzliches Widerspruchs-recht gegen die Verarbeitungseiner personenbezogenen Daten,das insoweit zu berücksichtigen ist,als eine Prüfung ergibt, dass seinschutzwürdiges Interesse wegenseiner besonderen persönlichenSituation das Interesse der verant-wortlichen Stelle überwiegt. Diesgilt nicht, wenn eine Rechtsvor-schrift zur Verarbeitung oderNutzung verpflichtet.
VIII. Vertraulichkeit derVerarbeitung
Nur befugte und auf die Einhaltung desDatengeheimnisses besonders verpflichteteMitarbeiter dürfen personenbezogene Datenerheben, verarbeiten oder nutzen. Insbeson-dere ist es untersagt, solche Daten für eigeneprivate Zwecke zu nutzen, an Unbefugte zuübermitteln oder diesen auf andere Weise
zugänglich zu machen. Unbefugt in diesemSinne sind z.B. auch Arbeitskollegen, sofernsich nicht aufgrund des Tätigkeitsfeldes undder konkreten Aufgaben dieser Kollegenetwas anderes ergibt. Das Muster einer sol-chen Verpflichtungserklärung kann im MTUIntranet unter Datenschutz abgerufen werden.Die Vertraulichkeitsverpflichtung besteht auchnach Beendigung des Beschäftigungsverhält-nisses fort.
12
IX. Grundsätze der Daten-sicherheit
Die zur Gewährleistung der Datensicherheiterforderlichen technisch-organisatorischenMaßnahmen beziehen sich auf:
- Rechner (Server und Arbeitsplatz-rechner)
- Netze bzw. Kommunikations-verbindungen
- Applikationen.
Hinsichtlich der Server sind physische undinfrastrukturelle Sicherheitsmaß-nahmen installiert, die Zutrittskontrolle (mitdifferenzierten Berechtigungen),Schließsysteme und Brandschutzmaßnahmenumfassen. Alle Arbeitsplatzrechner sind miteinem Passwortschutz ausgestattet. Dasunternehmenseigene Netzwerk (CorporateNetwork) ist durch Firewallsysteme vor unbe-rechtigtem, externem Zugang und Zugriff ausdem Internet geschützt. Die Übertragung vonDaten mit Personenbezug außerhalb desCorporate Networks erfolgt verschlüsselt.Sofern hiervon abgewichen wird, ist dies demBereich Datenschutz gegenüber zu begrün-den. Zum Schutz der personenbezogenenDaten in den Datenbanken ist ein personen-und applikationsbezogener Zugangs- undZugriffsschutz eingerichtet. Diese technisch-organisatorischen Maßnahmen sind in ein dieVerantwortlichkeiten regelndes Datenschutz-und Sicherheitsmanagement eingebettet.
X. Marketingdaten/Daten-verarbeitung im Auftrag /Einbeziehung Dritter inArbeitsabläufe
Vielfach kommt es dazu, dass externe Drittein Arbeitsabläufe eingebunden werden. Soferneine Gesellschaft unseres Konzerns imRahmen eines Auftragsverhältnisses alsAuftraggeber oder als Auftragnehmer fungiert,und/oder wenn andere Dritte bei derVerarbeitung oder Nutzung personenbezoge-ner Daten ein-bezogen werden, sind die fol-genden Maßgaben zu beachten:
1. Es ist nur ein solcher Auftragnehmer/Dritter auszuwählen, der die im Hin-blick auf die für die Verarbeitung not-wendigen technischen und organisa-torischen Anforderungen und Sicher-heitsvorkehrungen gewährleisten kann.
2. Die Durchführung der (Auftrags-) Ver-arbeitung muss in einem schriftlichenoder auf entsprechend andere Weisedokumentierbaren Vertrag geregeltwerden. Vertragsklauseln könnenbeim Konzernbeauftragten für denDatenschutz abgerufen werden, der beiBedarf beratend mitwirkt.
3. Der Auftraggeber bleibt Ansprech-partner für Kunden, Zulieferer, Beraterund andere Vertragspartner, die ihreRechte geltend machen.
Durchsetzung seiner Rechte nach ParagraphVII. dieses Code of Conduct gegenüber derdatenimportierenden Konzerngesellschaftsicherzustellen. Darüber hinaus ist derMitarbeiter berechtigt, seine Rechte ausParagraph VII. auch gegenüber der datenex-portierenden Konzerngesellschaft geltend zumachen.
4. Externe Dritte, die mit der Erfüllungvon Datenverarbeitungs- oder son-stigen Aufgaben z.B. in den BereichenMarketing, Markt- und Meinungs-forschung beauftragt werden, müssenvertraglich darauf verpflichtet werden,personenbezogene Daten, die sie vomAuftraggeber erhalten, nur im Rahmendes Auftrages zu verarbeiten oder zunutzen. Nutzungen zu eigenen oder zuZwecken Dritter sind vertraglich auszu-schließen.
5. Sonstige Kooperationen mit Dritten, inderen Rahmen personenbezogeneDaten an diese Dritten übermittelt oderdiesen auf sonstige Weise zugänglichgemacht werden, setzen ebenfallsvoraus, dass diese Dritten auf dieGewährleistung eines Datenschutz-und Datensicherheitsstandards
verpflichtet werden, der diesem Codeof Conduct entspricht.
6. Widersprüche des Betroffenen gegendie Einbeziehung in Marketing- bzw.Meinungsforschungsaktionen (vgl.Paragraph VII. Ziffer 4 dieses Code ofConduct) sind auch im Falle der Ein-bindung Dritter zu beachten undnötigenfalls an die beteiligteninternen oder externen Drittenweiterzuleiten.
XI. Telekommunikation undInternet
Die Verarbeitung personenbezogener Daten,die bei der Telekommunikation mit demBetroffenen einschließlich der Internet-Kommunikation anfallen, richtet sich nach denlokal jeweils geltenden Arbeitsanweisungenbzw. nach dem jeweils geltenden Recht.
13
XII. Abhilfe/Sanktionen/Verantwortlichkeiten
Die Gesellschaften unseres Konzerns sind alsfür die Datenverarbeitung Verantwortlichenverpflichtet, den Betroffenen gegenübersicherzustellen, dass die Anforderungen desDatenschutzes beachtet werden. SofernSchulungsbedarf vorhanden ist, kann derBereich Datenschutz unterstützend hinzugezo-gen werden. Mitarbeiter, die mit derVerarbeitung personenbezogener Datenbeschäftigt sind, müssen wissen, dass in vie-len Staaten Verstöße gegen datenschutzrecht-liche Vorschriften auch strafrechtlich verfolgtwerden und Schadensersatzansprüche nachsich ziehen können. Zuwiderhandlungen, fürdie einzelne Mitarbeiter verantwortlichgemacht werden können, ziehen grundsätzlicharbeitsrechtliche Sanktionen entsprechenddem jeweils geltenden nationalen Recht nachsich.Werden personenbezogene Daten von einerKonzerngesellschaft mit Sitz in der EU/EWRan eine Konzerngesellschaft mit Sitz in einemDrittstaat übermittelt, so sind derKonzernbeauftragte für den Datenschutz unddie datenimportierende Gesellschaft verpflich-tet, bei allen Anfragen der zuständigenKontrollstelle des Staates, in dem die daten-exportierende Stelle ihren Sitz hat, mit dieserzu kooperieren und die Feststellungen derKontrollstelle im Hinblick auf die Verarbei-tung der übermittelten Daten zu respektieren.Im Fall eines vom Betroffenen behauptetenVerstoßes gegen diesen Code of Conductdurch eine datenimportierendeKonzerngesellschaft mit Sitz in einemDrittstaat hat die datenexportierendeKonzerngesellschaft mit Sitz in der EU/EWR,den Betroffenen, dessen Daten in derEU/EWR erhoben worden sind, sowohl beider Sachverhaltsaufklärung zu unterstützenals auch die Durchsetzung seiner Rechte nach
Paragraph VII. dieses Code of Conduct gegen-über der datenimportierenden Konzerngesell-schaft sicherzustellen. Darüber hinaus ist derBetroffene berechtigt, seine Rechte ausParagraph VII. auch gegenüber der datenex-portierenden Konzerngesellschaft geltend zumachen.
XIII. Der Konzernbeauftragtefür den Datenschutz
Der Konzernbeauftragte für den Daten-schutzals internes weisungsunabhängiges Organüberwacht die Einhaltung der nationalen undinternationalen Datenschutzvorschriften unddes Code of Conduct und überprüft diesstichprobenartig. Weltweit sind Datenschutz-Koordinatoren im Auftrag des Konzernbeauf-tragten dezentral für die Sicherstellung desDatenschutzes gemäß diesem Code ofConduct und den nationalen und lokalenRechtsvorschriften zuständig. Die jeweiligenGeschäftsführungen sind für die Bestellungder Datenschutzkoordinatoren verantwortlich.Die jeweiligen Geschäftsführungen sind ver-pflichtet, den Konzernbeauftragten und dieDatenschutz-Koordinatoren in ihrer Tätigkeitzu unterstützen. Um Verstößen schon imVorfeld entgegenzuwirken, ist der BereichDatenschutz frühzeitig zu beteiligen (vgl.Paragraph IV. Ziffer 9 dieses Code ofConduct). Bei Verletzungen der sich aus die-sem Code of Conduct ergebendenVerpflichtungen und Beschwerden sind dieverantwortlichen Führungskräfte verpflichtet,umgehend entweder den zuständigen
Datenschutz-Koordinator oder denKonzernbeauftragten selbst zu unterrichten.Daneben kann sich jeder Mitarbeiter, Kundeoder sonstiger Vertragspartner jederzeit mitAnregungen, Anfragen, Auskunftsersuchenoder Beschwerden im Zusammenhang mitFragen des Datenschutzes oder der Daten-
sicherheit an den Konzernbeauftragten oderan einen Datenschutz-Koordinator wenden.Anfragen und Beschwerden werden vertrau-lich behandelt. Kann der zuständigeDatenschutz-Koordinator einer Beschwerdenicht abhelfen oder einen Verstoß gegen die-sen Code of Conduct nicht abstellen, ist erverpflichtet, den Konzernbeauftragten einzu-schalten.
Die Entscheidungen des Konzernbeauftragtenzur Abhilfe der Datenschutzverletzung sinddurch die jeweiligen Geschäftsführungen zurespektieren.
Der Konzernbeauftragte und seine Mitarbeiterkönnen wie folgt erreicht werden:
MTU Aero EnginesKonzerndatenschutzbeauftragterDachauer Straße 66580665 München • DeutschlandTel. +49 89 1489-4004Fax +49 89 1489-99123E-Mail: MTU.DSB@mtu.deoder im Intranet unter Datenschutz
14
• Betroffene im Sinne dieses Code of
Conduct sind alle Personen, mit denen
eine Vertragsbeziehung besteht oder
geplant ist, also auch sogenannte
Prospects oder Potentials, allerdings
nur soweit personenbezogene Daten
über diese Personen betroffen sind.
• Personenbezogene Daten sind alle
Informationen über eine bestimmte
oder bestimmbare natürliche Person.
Bestimmbar ist eine Person z.B. dann,
wenn der Personenbezug durch eine
Kombination von sachbezogenen
Informationen mit auch nur zufällig
vorhandenem Zusatzwissen des
jeweiligen Sachbearbeiters hergestellt
werden kann.
• Verarbeitung personenbezogener
Daten ist jeder mit oder ohne Hilfe
automatisierter Verfahren ausgeführte
Vorgang, der der Erhebung, der Spei-
cherung, der Organisation, der Aufbe-
wahrung, der Anpassung, der Ver-
änderung, der Abfrage, der Nutzung,
der Weitergabe durch Übermittlung,
der Verbreitung oder der Kombination
bzw. dem Abgleich von Daten dient.
Auch das Sperren, das Löschen oder
das Vernichten werden umfasst.
• Anonymisiert sind Daten dann, wenn
ein Personenbezug dauerhaft und von
niemandem mehr hergestellt werden
kann bzw. wenn der Personenbezug
nur mit einem unverhältnismäßig
großen Aufwand an Zeit, Kosten und
Arbeitskraft wiederhergestellt werden
könnte.
• Pseudonymisieren ist das Ersetzen
des Namens und anderer Identifi-
kationsmerkmale durch ein Kenn-
zeichen zu dem Zweck, die Bestim-
mung des Betroffenen auszuschließen
oder wesentlich zu erschweren.
• Verantwortlich für die Datenver-
arbeitung (verantwortliche Stelle) ist
im Außenverhältnis, z.B. gegenüber
Konzernkunden oder anderen Vertrags-
partnern, diejenige juristisch selbstän-
dige Gesellschaft des MTU Aero
Engines Konzerns, deren Geschäfts-
aktivität die jeweilige Verarbeitungs-
maßnahme veranlasst hat. Im Innen-
verhältnis regelt eine Organisations-
und Hierarchiestruktur, welche
Mitarbeiter inwieweit für die Ordnungs-
mäßigkeit der Datenverarbeitung
verantwortlich sind.
• Auftragsverarbeiter sind diejenigen
natürlichen oder juristischen Personen,
die personenbezogene Daten im
Auftrag (als Auftragnehmer) für einen
Verantwortlichen (als Auftraggeber)
verarbeiten. Neben Dienstleistern im
Marketingbereich kommen z.B. auch
Betreiber von Rechenzentren als
Datenverarbeiter im Auftrag in Be-
tracht.
• Dritter ist jede natürliche oder juri-
stische Person oder Behörde, die nicht
dem Verantwortlichen für die Daten-
verarbeitung zuzurechnen ist. Nicht
Dritte sind daher Auftragsverarbeiter
oder Mitarbeiter des Verantwort-
lichen, sofern die betroffenen perso-
nenbezogenen Daten in ihren Zustän-
digkeitsbereich fallen.
• Übermittlung ist die Bekanntgabe an
einen Dritten, der nicht zum Verant-
wortungsbereich des für die Daten-
verarbeitung Verantwortlichen gehört.
• Einwilligung ist eine Willensäußerung,
mit der ein Betroffener in Kenntnis der
Sachlage ohne erkennbaren äußeren
Zwang zu verstehen gibt, dass er mit
der Verarbeitung ihn betreffender per-
sonenbezogener Daten einverstanden
ist.
• Das Widerspruchsrecht (Recht zum
opt-out) bedeutet, dass der Betroffene
die Nutzung seiner Daten zu Zwecken
des Marketings oder der Markt- und
Meinungsforschung verbieten kann.
Definitionen
MTU Aero EnginesDachauer Straße 66580995 München DeutschlandTel +49 89 1489-4004Fax +49 89 1489-99123www.mtu.de G
ER08
/10
/M
UC
/0
0500
/A
MS
P/D
IB/
D