Konzernrichtlinie PCOC - CSDatenschutz und PrivacyCode of Conduct für Kunden/Lieferanten

November 2016

2

Inhaltsverzeichnis

Das Motto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Vorwort des Vorstands . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Vorwort des Konzernbetriebsrats . . . . . . . . . . . . . . . . . . . 5

Vorwort des Konzerndatenschutzbeauftragten . . . . . . . . . . 6

I. Ziel des Code of Conduct . . . . . . . . . . . . . . . . . . . . . . . 7

II. Geltungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

III. Geltung einzelstaatlichen Rechts . . . . . . . . . . . . . . . . . 7

IV. Grundsätze für die Verarbeitung personenbezogener

Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

V. Besondere Arten personenbezogener Daten . . . . . . . . 8

VI. Verarbeitung auf der Basis von Arbeitsvertrag

oder Arbeitsverhältnis, Betriebsvereinbarung

und Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

VII. Rechte der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . 10

VIII. Vertraulichkeit der Verarbeitung . . . . . . . . . . . . . . . . . 10

IX. Grundsätze der Datensicherheit . . . . . . . . . . . . . . . . . 11

X. Datenverarbeitung im Auftrag / Einbeziehung Dritter in

Arbeitsabläufe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

XI. Telekommunikation und Internet . . . . . . . . . . . . . . . . . 12

XII. Abhilfe / Sanktionen / Verantwortlichkeiten . . . . . . . . 13

XIII. Der Konzernbeauftragte für den Datenschutz . . . . . . . 13

Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4

Die Herausforderungen:

Wünsche und Ansprüche der Kunden

Persönlichkeitsrechte der Mitarbeiter

Gewachsene Sensibilität der Mitarbeiter

Heterogene Datenschutzregulierung

Datenschutz bei grenzüberschreitendem

Datenverkehr

Adäquates Datenschutzniveau im Konzern

Integratives Datenschutz- und

Datensicherheitsmanagement

Die Lösungen:

Globaler Ansatz

Adäquates Datenschutzniveau durch

Selbstregulierung

Datenschutz ist Qualitäts- und

Wettbewerbsvorteil

Interne Datenschutzorganisation

Internes Law Enforcement

Integration von Datenschutz und

Datensicherheit in Produkte und

Dienstleistungen

Das Motto

5

Liebe Mitarbeiterinnen und Mitarbeiter,

die Grundlagen unseres Erfolgs und unseres

hervorragenden Ansehens liegen darin

begründet, dass wir jederzeit die Wünsche

und Ansprüche unserer Kunden zum Maßstab

unseres Handelns gemacht haben. Unser Ziel

ist es, nicht nur den Vorstellungen unserer

Kunden gerecht zu werden, sondern vielmehr

deren Erwartungen zu übertreffen. Nur auf

diese Weise können wir unsere Stellung in

dem global umkämpften Markt behaupten

und weiter ausbauen.

Heute genügt es nicht mehr, ausschließlich

die gewachsenen Anforderungen unserer

Kunden an Dienstleistungen rund um die

Technik zu berücksichtigen. Vielmehr wird es

auch immer wichtiger, der aufgrund der fort-

schreitenden Möglichkeiten der Datenverar-

beitung gewachsenen Sensibilität unserer

Kunden und Vertragspartner bezüglich des

Datenschutzes Rechnung zu tragen. Hierzu

müssen entsprechende Konzepte erarbeitet

werden, die frühestmöglich –

am besten bereits bei der Entwicklung von

Dienstleistungen und Produkten – zu berük-

ksichtigen sind. Dazu müssen wir uns in

erster Linie an den datenschutzrechtlichen

Rahmenbedingungen orientieren.

Diese sind weltweit sehr unterschiedlich.

Auch bestehen gesetzliche Anforderungen für

den grenzüberschreitenden Transfer von per-

sonenbezogenen Daten. Basierend auf welt-

weit anerkannten Datenschutzprinzipien zielt

der „Datenschutz und Privacy – Code of

Conduct für Kunden/Lieferaten“ darauf ab,

einheitliche, adäquate und globale Daten-

schutz- und Datensicherheitsstandards aufzu-

stellen, um einen konzernweiten Austausch

von personenbezogenen Datenschutz gerecht

zu ermöglichen.

Da der „Datenschutz und Privacy – Code of

Conduct für Kunden/Lieferaten“ nicht jede

mögliche Situation Ihres beruflichen Alltags

abbilden kann, wenden Sie sich bitte für wei-

tere Hinweise an den Konzernbeauftragten für

den Datenschutz oder an die anderen

Ansprechpartner, die im „Datenschutz und

Privacy – Code of Conduct für

Kunden/Lieferaten“ angesprochen und auf

den Intranetseiten des Bereichs Datenschutz

aufgeführt sind.

Sie als Mitarbeiter der MTU Aero Engines

oder einer konzernangehörigen Gesellschaft

der MTU Aero Engines sind verpflichtet, die

im „Datenschutz und Privacy – Code of

Conduct für Kunden/ Lieferaten“ niedergeleg-

ten Grundsätze bei Ihrer Arbeit zu beachten,

um weiterhin das hohe Ansehen unseres

Hauses, unserer Produkte und

Dienstleistungen zu gewährleisten.

Vorwort des Vorstands

Reiner WinklerVorsitzender des Vorstandes (CEO)

6

Liebe Mitarbeiterinnen und Mitarbeiter,

aufgrund gesetzlicher Regelungen und

Rahmenbedingungen der Europäischen Union

und um unserer Sorgfaltspflicht als Konzern-

betriebsrat der MTU Gruppe gerecht zu wer-

den, haben wir mit der Unternehmensleitung

und dem Konzerndatenschutzbeauftragten

gemeinsam auf dieses Regelwerk zum

Umgang mit personenbeziehbaren Daten hin-

gewirkt.

Dies bedeutet, wir gemeinsam achten darauf,

dass die Persönlichkeitsrechte der Mitarbeiter

und unserer Kunden und Lieferanten nicht

verletzt werden. Dazu sind in erster Linie die

datenschutzrechtlichen Rahmenbedingungen

zu beachten. Diese sind weltweit sehr unter-

schiedlich. Auch bestehen gesetzliche Anfor-

derungen für den grenzüberschreitenden

Transfer von Daten. Basierend auf weltweit

anerkannten Datenschutzprinzipien zielen der

„Datenschutz und Privacy – Code of Conduct

für Human Resources“ und der „Datenschutz

und Privacy – Code of Conduct für Kunden

und Lieferanten“ darauf ab, einheitliche, adä-

quate und globale Datenschutz- und

Datensicherheitsstandards aufzustellen,

um einen konzernweiten Austausch von

Mitarbeiter-, Kunden- und Lieferantendaten

datenschutzgerecht zu ermöglichen. Sie als

Mitarbeiter der MTU Aero Engines oder einer

konzernangehörigen Gesellschaft sind damit

gefordert, diese Regelungen zur

Wertschätzung der informationellen Selbst-

bestimmung weltweit in unserem Konzern zur

Gültigkeit zu verhelfen.

Vorwort desKonzernbetriebsrats

Michael WinkelmannStellv. Vorsitzender

Josef MailerVorsitzender Konzernbetriebsrat MTU Aero Engines

7

Liebe Mitarbeiterinnen und Mitarbeiter,

ein wichtiger Aspekt bei der bedarfsgerechten

Betreuung unserer Kunden und der effektiven

Gestaltung unserer Geschäftsprozesse ist die

Berücksichtigung datenschutzrechtlicher

Belange.

Als global tätiges Unternehmen steht die MTU

Aero Engines und die konzernangehörigen

Gesellschaften vor der Aufgabe, den weltweit

sehr unterschiedlichen rechtlichen

Anforderungen an die Erhebung und

Verarbeitung personenbezogener Daten

gerecht zu werden. So sind insbesondere

auch bei einem grenzüberschreitenden

Austausch von personenbezogenen Daten

zwischen den einzelnen konzernangehörigen

Gesellschaften rechtliche Erfordernisse zu

beachten. Eine grenzüberschreitende Über-

mittlung personenbezogener Daten ist nach

einer Reihe von verschiedenen nationalen

Gesetzen grundsätzlich nur dann erlaubt,

wenn die Stelle, an die die Daten übermittelt

werden, ein angemessenes Datenschutz-

niveau gewährleistet.

Um unter hinreichender Berücksichtigung der

nationalen Anforderungen konzernweit ein

angemessenes Datenschutzniveau als

Voraussetzung für einen grenzüberschreiten-

den Transfer personenbezogener Daten herzu-

stellen, hat die MTU Aero Engines den

“Datenschutz und Privacy – Code of Conduct

für Kunden/Lieferanten“ für Kundendaten und

Daten anderer Vertragspartner eingeführt.

Die Durchsetzung der aus dem „Datenschutz

und Privacy – Code of Conduct für Kunden/

Lieferanten“ folgenden Verpflichtungen und

die Einhaltung der nationalen

Datenschutzgesetze wird durch den

Konzernbeauftragten für den Datenschutz der

MTU Aero Engines sichergestellt.

Um wirkungsvoll diese Aufgaben vor Ort wahr-

nehmen zu können und um den Konzern-

beauftragten bei seiner Tätigkeit zu unterstüt-

zen, sind in den Fachabteilungen und

Gesellschaften im In- und Ausland dezentral

Mitarbeiter als Datenschutz-Koordinatoren

benannt. Diese berichten an den Konzern-

beauftragten für den Datenschutz und werden

von ihm fachlich angeleitet. Den jeweils für

Sie zuständigen Datenschutz-Koordinator fin-

den Sie auf den Intranetseiten des Bereichs

Datenschutz (MTU Intranet - Datenschutz).

Sowohl die Datenschutz-Koordinatoren als

auch ich stehen Ihnen als Ansprechpartner

bei Rückfragen bezüglich der Umsetzung des

„Datenschutz und Privacy – Code of Conduct

für Kunden/Lieferanten“ zur Verfügung.

Vorwort des Konzern-datenschutzbeauftragten

Helga SchorrKonzerndatenschutzbeauftragte (CPO)

8

I. Ziel des Code of ConductFür ein globales Unternehmen wie MTU AeroEngines ist die moderne Informations- undKommunikationstechnologie ein wichtigerBestandteil der Geschäftsprozesse. Eine nichtsachgerechte oder missbräuchliche Verwen-dung dieser Technologie kann zur Verletzungvon Persönlichkeitsrechten führen.Bei der Gestaltung der Informationsgesell-schaft soll ein Ziel sein, den Schutz derPersönlichkeitsrechte in den Vordergrund zustellen. Perfekter Service und perfekteProdukte, die Ziel unseres Hauses sind, erfor-dern auch auf Datenschutzbelange unsererKunden und Vertragspartner einzugehen. ImBewusstsein dieses Zieles verpflichten sichdie MTU Aero Engines und die konzernange-hörigen Gesellschaften, den nachfolgendenCode of Conduct konzernweit einzuhalten.Ziel ist es, für die gesamte MTU Aero Engineseinheitliche, adäquate und globale Daten-schutz- und Datensicherheitsstandards aufzu-stellen, um den aus der EuropäischenDatenschutzrichtlinie 1 und anderen nationa-len Gesetzen folgenden Anforderungen anden grenzüberschreitenden Datenverkehr zugenügen. Der Code of Conduct schafft in die-sem Zusammenhang ein konzernweites ein-heitliches Datenschutzniveau, ersetzt abernicht die Legitimation, die jeder Verarbeitungoder Übermittlung zu Grunde liegen muss.Daneben sollen die Mitarbeiter undFührungskräfte dabei unterstützt werden,Datenschutzbelange unserer Kunden undVertragspartner in die Gestaltung vonProdukten und Dienstleistungen unseres

Hauses zu integrieren. Dieser Paragraph sollim Einklang mit den folgenden Paragraphendieses Code of Conduct, insbesondere mitParagraph III., der die Geltung des einzel-staatlichen Rechts regelt, interpretiert wer-den.

II. GeltungsbereichDer Code of Conduct ist eine Konzernricht-linie der MTU Aero Engines und gilt sowohlfür die Verarbeitung personenbezogenerKundendaten als auch für die personenbezo-genen Daten von Zulieferern, Beratern undanderen Vertragspartnern im gesamtenKonzern.

III. Geltung einzelstaatlichenRechts

Die Zulässigkeit von Datenerhebungen und –verarbeitungen ist anhand des jeweiligennationalen und lokalen Rechts des Landes zubeurteilen, in dem die Erhebung undVerarbeitung erfolgt. Das bedeutet, dass sichdie Zulässigkeit der Verarbeitung von perso-nenbezogenen Daten, die nicht in derEU/EWR erhoben worden sind und auch nichtin der EU/ EWR verarbeitet werden nach demnationalen und lokalen Recht des Herkunfts-landes richtet. Für den Fall von Datenüber-mittlungen aus der EU/EWR bzw. ausStaaten, die für Datenübermittlungen in ande-re Länder einen adäquaten Datenschutzstan-dard fordern, haben die datenimportierendenStellen bei der Verarbeitung der übermitteltenpersonenbezogenen Daten das jeweiligenationale Recht des Staates anzuwenden, ausdem die Daten übermittelt wurden. Dies gilt

nicht für Datenübermittlungen innerhalb derEU/EWR bzw. für Datenübermittlungen inDrittstaaten, deren Datenschutzniveau vonder Europäischen Kommission als angemes-sen im Sinne von Art. 25 der EU-Datenschutz-richtlinie beurteilt wurde.

Die nach nationalem Datenschutzrecht mögli-cherweise bestehenden Meldepflichten müs-sen beachtet werden. Jede juristisch selbstän-dige Gesellschaft der MTU Gruppe hat zuüberprüfen, ob und in welchem Umfang einesolche Meldepflicht gegenüber den nationalenAufsichtsbehörden bzw. Kontrollstellen be-steht. In Zweifelsfällen kann der Konzern-beauftragte für den Datenschutz zu Rategezogen werden.Erhebungen bzw. Übermittlungen von perso-nenbezogenen Daten an staatlicheEinrichtungen und Behörden erfolgen nur aufder Basis jeweils einschlägiger nationalerRechtsvorschriften.Dieser Code of Conduct enthält nur solcheEinschränkungen, die erforderlich sind, umden aus nationalen Gesetzen folgendenAnforderungen an den grenzüberschreiten-den Datenverkehr zu genügen.

Code of Conduct fürKunden/Lieferanten

9

IV. Grundsätze für die Verarbeitungpersonenbezogener Daten

1. Bei der Datenverarbeitung müssen diePersönlichkeitsrechte der Betroffenengewahrt werden.

2. Personenbezogene Daten dürfen nurverarbeitet werden, wenn dies recht-lich zulässig ist oder wenn der Betroffe-ne eingewilligt hat. PersonenbezogeneDaten dürfen nur für diejenigen Zweckeverarbeitet werden, für die sie ur-sprünglich erhoben wurden und auf diesich die rechtliche Zulässigkeit oder dieEinwilligung erstreckt.

3. Personenbezogene Daten sollen richtigund wenn nötig auf dem aktuellenStand gespeichert sein. Es sind ange-messene Maßnahmen dafür zu treffen,dass nicht zutreffende oder unvollstän-dige Daten gelöscht oder berichtigtwerden.

4. Zugriff auf personenbezogene Datendürfen nur solche Mitarbeiter haben, inderen Tätigkeitsbereich der Umgangmit diesen personenbezogenen Datenfällt; die Zugriffsberechtigung ist nachArt und Umfang des jeweiligen Tätig-keitsfeldes zu begrenzen.

5. Daten, die für die Geschäftszwecke, fürdie sie ursprünglich erhoben und ge-speichert wurden, nicht mehr benötigtwerden, sind, gegebenenfalls unter Be-achtung gesetzlich vorgeschriebenerAufbewahrungspflichten, zu löschen.

6. Widerspricht ein Betroffener derNutzung seiner personenbezogenenDaten zu Marketingzwecken, dürfendie Daten für diese Zwecke nichtverwendet werden.

7. Die Datenverarbeitung hat sich an demZiel auszurichten, nur die erforderlichenpersonenbezogenen Daten, d.h.so wenig wie möglich, zu erheben, zuverarbeiten oder zu nutzen. Möglich-keiten der Anonymisierung und Pseu-donymisierung sind zu nutzen, soweitdies möglich ist und der Aufwand ineinem angemessenen Verhältnis zudem angestrebten Schutzzweck steht.Statistische Auswertungen oder Unter-suchungen, die auf der Basis anonymi-sierter oder pseudonymisierter Datenerfolgen, sind nicht datenschutz-relevant, soweit die Daten nicht mehrindividualisierbar sind.

8. Entscheidungen, die für den Betroffe-nen eine negative rechtliche Folge nachsich ziehen oder ihn erheblich beein-trächtigen, dürfen nicht ausschließlichauf eine automatisierte Verarbeitungpersonenbezogener Daten gestütztwerden, die der Bewertung einzelnerPersönlichkeitsmerkmale wie z.B. derKreditwürdigkeit dient. Die Infor-mationstechnik darf grundsätzlich nurals Hilfsmittel für eine Entscheidungherangezogen werden, ohne dabeideren einzige Grundlage zu bilden.Sofern im Einzelfall die sachlicheNotwendigkeit bestehen sollte, auto-matisierte Entscheidungen zu treffen,muss der Betroffene die Möglichkeiteiner Stellungnahme haben, wenn nichteine derartige Entscheidung durch einGesetz zugelassen ist, das Garantienzur Wahrung der berechtigten Inte-ressen der betroffenen Personen fest-legt.

9. Bei Datenverarbeitungsvorhaben, ausdenen sich besondere Risiken für Per-sönlichkeitsrechte der Betroffenenergeben können, ist der Bereich Daten-schutz schon vor Beginn der Verar-

beitung zu beteiligen. Dies gilt insbe-sondere für die nachfolgenden beson-deren Arten personenbezogener Daten.

V. Besondere Arten perso-nenbezogener Daten

Die Verarbeitung personenbezogener Da-ten über die rassische und ethnischeHerkunft, über politische Meinungen,über religiöse oder philosophische Über-zeugungen, über Gewerkschaftszuge-hörigkeiten oder über die Gesundheitoder das Sexualleben des Betroffenen istgrundsätzlich untersagt, sofern sich dieRechtmäßigkeit der Verarbeitung nichtaus einer gesetzlichen Erlaubnis oder auseinem gesetzlichen Erfordernis ergibt.

Eine Verarbeitung besonderer Arten per-sonenbezogener Daten ist ferner zulässigfür die Geltendmachung, Ausübung oderVerteidigung rechtlicher Ansprüche auchim Rahmen eines Rechtsstreits, wennkein Grund zu der Annahme besteht, dassdas schutzwürdige Interesse des Betrof-fenen an dem Ausschluss der Verarbei-tung oder Nutzung überwiegt. Ansonstenmuss der Betroffene ausdrücklich in dieVerarbeitung dieser Daten eingewilligthaben.

10

VI. Unterrichtung und Ein-willigung der Betroffenen

Die nachfolgenden Anforderungen beziehensich nicht auf Datenerhebungen, die in denUSA vorgenommen werden. Für diese gilt dasjeweilige nationale bzw. lokale Recht.

1. Die vertragliche Beziehung

Personenbezogene Daten des Betroffenendürfen auf der Grundlage bzw. zur Durchfüh-rung eines Vertrags- bzw. Vertragsanbahn-ungsverhältnisses verarbeitet werden. In die-sem Zusammenhang ist auch die Verarbeitungund Nutzung zu Zwecken des Marketings bzw.der Markt- und Meinungsforschung zulässig,sofern sich dies mit dem Zweck, für den dieDaten ursprünglich erhoben wurden, verein-baren lässt. Bei der Erhebung muss derBetroffene folgendes erkennen können oderentsprechend informiert werden:

Identität des VerantwortlichenZweck der DatenverarbeitungDritte oder Kategorien von Dritten, andie die Daten gegebenenfalls über-mittelt werden.Freiwilligkeit der Teilnahme an Aktionenim Bereich des Marketings oder derMarkt- und Meinungsforschung.

Diese Transparenz kann mittels individuellerMitteilung oder durch allgemeine Informationhergestellt werden. Der Betroffene ist daraufhinzuweisen, dass er über Auskunfts- undBerichtigungsrechte hinsichtlich seiner perso-nenbezogenen Daten verfügt. Spätestens beider ersten Adressierung zu Zwecken derDirekt-werbung muss er darüber informiertwerden, dass er ein Widerspruchsrecht gegendie Verarbeitung dieser Daten zu Zweckendes Direktmarketings hat.

2. Beziehung ohne Vertrags-verhältnis

Sofern ein (vor-) vertragliches Verhältnis fehlt,muss der Betroffene in die Erhebung undVerarbeitung seiner personenbezogenenDaten eingewilligt haben, sofern sich dieZulässigkeit der Erhebung oder Verarbeitungnicht aus nationalem Recht ergibt. Dasselbegilt, wenn eine weitere Verarbeitung oderNutzung von Daten außerhalb des ursprüng-lichen Erhebungszweckes erfolgen soll. Vorder Einwilligung muss der Betroffene wieunter Paragraph VI. Ziffer 1 dieses Code ofConduct unterrichtet werden. Die Einwil-ligungserklärung ist aus Beweisgründen regel-mäßig schriftlich einzuholen. Handelt es sichz.B. um eine Einwilligung, die im Zusammen-hang mit dem Abschluss eines Kaufvertrageseingeholt wird, muss diejenigeVertragsklausel, die die Einwilligung enthält,auf dem Kaufvertragsformular optisch hervor-gehoben werden. In der Einwilligungserklä-rung müssen Umfang und Zweck derDatenverarbeitung spezifiziert werden. ImFalle besonderer Umstände, z.B. bei telefoni-scher Beratung, kann die Einwilligung aus-nahmsweise auch mündlich erteilt werden.Für die Gestaltung von online abzugebendenEinwilligungserklärungen sind dieDatenschutz- und Qualitätsstandards für e-Business Anwendungen im MTU Intranetunter Datenschutz und die anderen jeweilsgeltenden Arbeitsanweisungen zu beachten.

3. Datenaustausch mitDritten/Datenerwerb

Grundsätzlich sind personenbezogene Datenbeim Betroffenen selbst zu erheben. SofernDaten bei Dritten erhoben bzw. von Drittenübermittelt werden, ist sicherzustellen, dassder Betroffene bei der ersten Ansprache ent-

sprechend wie unter Paragraph VI. Ziffer 1dieses Code of Conduct informiert ist oderwird. Bonitätsanfragen bedürfen einerEinwilligung. Im Falle eines Datenerwerbsmuss sichergestellt sein, dass die Daten imRahmen des jeweils geltenden Rechts recht-mäßig erhoben wurden.

4. Datenaustausch innerhalbdes Konzerns MTU Aero Engines

Sofern eine juristisch selbständigeKonzerngesellschaft personenbezogene Datenan eine andere Konzerngesellschaft weiter-gibt, handelt es sich um eine Übermittlung anDritte, weswegen auch in einem solchen„internen“ Fall die Voraussetzungen desParagraphen VI. Ziffer 1 und 2 dieses Code ofConduct vorliegen müssen, d.h. es muss eineLegitimation für die Übermittlung geben. Füreine Weiterübermittlung an Dritte, die nichtzur MTU Gruppe gehören, müssen sowohl dieVoraussetzungen des Paragraphen VI. Ziffer 1und 2 als auch die des Paragraphen X. Ziffer5 dieses Code of Conduct vorliegen.

11

VII. Rechte der Betroffenen

Betroffene können sich mit Fragen undBeschwerden an den für sie zuständigenDatenschutz-Koordinator, an ihrenAnsprechpartner oder an den Konzern-beauftragten für den Datenschutz wenden.Insbesondere wenn sie ihre nachfolgendenRechte wahrnehmen, müssen diese Anfragenumgehend bearbeitet werden.

1. Der Betroffene kann Auskunft darüberverlangen, welche personenbezogenenDaten welcher Herkunft über ihn zuwelchem Zweck gespeichert sind.

2. Im Falle von Übermittlungen personen-bezogener Daten an Dritte muss auchüber die Identität der Empfänger oderüber die Kategorien von EmpfängernAuskunft gegeben werden.

3. Sollte sich beispielsweise im Rahmender Bearbeitung des Auskunftsrechtsherausstellen, dass personenbezogeneDaten unrichtig oder unvollständigsind, ist der Betroffene berechtigt, eineBerichtigung zu verlangen. Stellt sichheraus, dass der Zweck der Daten-verarbeitung durch Zeitablauf oderaus anderen Gründen entfallen bzw.die Verarbeitungsmaßnahme rechts-widrig ist und dies im Rahmen turnus-mäßiger Überprüfung bislang über-sehen wurde, sind die Daten, ggf. unter

Beachtung gesetzlicher Aufbe-wahrungspflichten, zu löschen.

4. Der Betroffene hat das Recht, derNutzung seiner personenbezogenenDaten zu Zwecken der Direktwerbungoder der Markt- und Meinungsfor-schung zu widersprechen. Für dieseZwecke müssen die Daten gesperrtwerden.

5. Darüber hinaus hat der Betroffeneein grundsätzliches Widerspruchs-recht gegen die Verarbeitungseiner personenbezogenen Daten,das insoweit zu berücksichtigen ist,als eine Prüfung ergibt, dass seinschutzwürdiges Interesse wegenseiner besonderen persönlichenSituation das Interesse der verant-wortlichen Stelle überwiegt. Diesgilt nicht, wenn eine Rechtsvor-schrift zur Verarbeitung oderNutzung verpflichtet.

VIII. Vertraulichkeit derVerarbeitung

Nur befugte und auf die Einhaltung desDatengeheimnisses besonders verpflichteteMitarbeiter dürfen personenbezogene Datenerheben, verarbeiten oder nutzen. Insbeson-dere ist es untersagt, solche Daten für eigeneprivate Zwecke zu nutzen, an Unbefugte zuübermitteln oder diesen auf andere Weise

zugänglich zu machen. Unbefugt in diesemSinne sind z.B. auch Arbeitskollegen, sofernsich nicht aufgrund des Tätigkeitsfeldes undder konkreten Aufgaben dieser Kollegenetwas anderes ergibt. Das Muster einer sol-chen Verpflichtungserklärung kann im MTUIntranet unter Datenschutz abgerufen werden.Die Vertraulichkeitsverpflichtung besteht auchnach Beendigung des Beschäftigungsverhält-nisses fort.

12

IX. Grundsätze der Daten-sicherheit

Die zur Gewährleistung der Datensicherheiterforderlichen technisch-organisatorischenMaßnahmen beziehen sich auf:

- Rechner (Server und Arbeitsplatz-rechner)

- Netze bzw. Kommunikations-verbindungen

- Applikationen.

Hinsichtlich der Server sind physische undinfrastrukturelle Sicherheitsmaß-nahmen installiert, die Zutrittskontrolle (mitdifferenzierten Berechtigungen),Schließsysteme und Brandschutzmaßnahmenumfassen. Alle Arbeitsplatzrechner sind miteinem Passwortschutz ausgestattet. Dasunternehmenseigene Netzwerk (CorporateNetwork) ist durch Firewallsysteme vor unbe-rechtigtem, externem Zugang und Zugriff ausdem Internet geschützt. Die Übertragung vonDaten mit Personenbezug außerhalb desCorporate Networks erfolgt verschlüsselt.Sofern hiervon abgewichen wird, ist dies demBereich Datenschutz gegenüber zu begrün-den. Zum Schutz der personenbezogenenDaten in den Datenbanken ist ein personen-und applikationsbezogener Zugangs- undZugriffsschutz eingerichtet. Diese technisch-organisatorischen Maßnahmen sind in ein dieVerantwortlichkeiten regelndes Datenschutz-und Sicherheitsmanagement eingebettet.

X. Marketingdaten/Daten-verarbeitung im Auftrag /Einbeziehung Dritter inArbeitsabläufe

Vielfach kommt es dazu, dass externe Drittein Arbeitsabläufe eingebunden werden. Soferneine Gesellschaft unseres Konzerns imRahmen eines Auftragsverhältnisses alsAuftraggeber oder als Auftragnehmer fungiert,und/oder wenn andere Dritte bei derVerarbeitung oder Nutzung personenbezoge-ner Daten ein-bezogen werden, sind die fol-genden Maßgaben zu beachten:

1. Es ist nur ein solcher Auftragnehmer/Dritter auszuwählen, der die im Hin-blick auf die für die Verarbeitung not-wendigen technischen und organisa-torischen Anforderungen und Sicher-heitsvorkehrungen gewährleisten kann.

2. Die Durchführung der (Auftrags-) Ver-arbeitung muss in einem schriftlichenoder auf entsprechend andere Weisedokumentierbaren Vertrag geregeltwerden. Vertragsklauseln könnenbeim Konzernbeauftragten für denDatenschutz abgerufen werden, der beiBedarf beratend mitwirkt.

3. Der Auftraggeber bleibt Ansprech-partner für Kunden, Zulieferer, Beraterund andere Vertragspartner, die ihreRechte geltend machen.

Durchsetzung seiner Rechte nach ParagraphVII. dieses Code of Conduct gegenüber derdatenimportierenden Konzerngesellschaftsicherzustellen. Darüber hinaus ist derMitarbeiter berechtigt, seine Rechte ausParagraph VII. auch gegenüber der datenex-portierenden Konzerngesellschaft geltend zumachen.

4. Externe Dritte, die mit der Erfüllungvon Datenverarbeitungs- oder son-stigen Aufgaben z.B. in den BereichenMarketing, Markt- und Meinungs-forschung beauftragt werden, müssenvertraglich darauf verpflichtet werden,personenbezogene Daten, die sie vomAuftraggeber erhalten, nur im Rahmendes Auftrages zu verarbeiten oder zunutzen. Nutzungen zu eigenen oder zuZwecken Dritter sind vertraglich auszu-schließen.

5. Sonstige Kooperationen mit Dritten, inderen Rahmen personenbezogeneDaten an diese Dritten übermittelt oderdiesen auf sonstige Weise zugänglichgemacht werden, setzen ebenfallsvoraus, dass diese Dritten auf dieGewährleistung eines Datenschutz-und Datensicherheitsstandards

verpflichtet werden, der diesem Codeof Conduct entspricht.

6. Widersprüche des Betroffenen gegendie Einbeziehung in Marketing- bzw.Meinungsforschungsaktionen (vgl.Paragraph VII. Ziffer 4 dieses Code ofConduct) sind auch im Falle der Ein-bindung Dritter zu beachten undnötigenfalls an die beteiligteninternen oder externen Drittenweiterzuleiten.

XI. Telekommunikation undInternet

Die Verarbeitung personenbezogener Daten,die bei der Telekommunikation mit demBetroffenen einschließlich der Internet-Kommunikation anfallen, richtet sich nach denlokal jeweils geltenden Arbeitsanweisungenbzw. nach dem jeweils geltenden Recht.

13

XII. Abhilfe/Sanktionen/Verantwortlichkeiten

Die Gesellschaften unseres Konzerns sind alsfür die Datenverarbeitung Verantwortlichenverpflichtet, den Betroffenen gegenübersicherzustellen, dass die Anforderungen desDatenschutzes beachtet werden. SofernSchulungsbedarf vorhanden ist, kann derBereich Datenschutz unterstützend hinzugezo-gen werden. Mitarbeiter, die mit derVerarbeitung personenbezogener Datenbeschäftigt sind, müssen wissen, dass in vie-len Staaten Verstöße gegen datenschutzrecht-liche Vorschriften auch strafrechtlich verfolgtwerden und Schadensersatzansprüche nachsich ziehen können. Zuwiderhandlungen, fürdie einzelne Mitarbeiter verantwortlichgemacht werden können, ziehen grundsätzlicharbeitsrechtliche Sanktionen entsprechenddem jeweils geltenden nationalen Recht nachsich.Werden personenbezogene Daten von einerKonzerngesellschaft mit Sitz in der EU/EWRan eine Konzerngesellschaft mit Sitz in einemDrittstaat übermittelt, so sind derKonzernbeauftragte für den Datenschutz unddie datenimportierende Gesellschaft verpflich-tet, bei allen Anfragen der zuständigenKontrollstelle des Staates, in dem die daten-exportierende Stelle ihren Sitz hat, mit dieserzu kooperieren und die Feststellungen derKontrollstelle im Hinblick auf die Verarbei-tung der übermittelten Daten zu respektieren.Im Fall eines vom Betroffenen behauptetenVerstoßes gegen diesen Code of Conductdurch eine datenimportierendeKonzerngesellschaft mit Sitz in einemDrittstaat hat die datenexportierendeKonzerngesellschaft mit Sitz in der EU/EWR,den Betroffenen, dessen Daten in derEU/EWR erhoben worden sind, sowohl beider Sachverhaltsaufklärung zu unterstützenals auch die Durchsetzung seiner Rechte nach

Paragraph VII. dieses Code of Conduct gegen-über der datenimportierenden Konzerngesell-schaft sicherzustellen. Darüber hinaus ist derBetroffene berechtigt, seine Rechte ausParagraph VII. auch gegenüber der datenex-portierenden Konzerngesellschaft geltend zumachen.

XIII. Der Konzernbeauftragtefür den Datenschutz

Der Konzernbeauftragte für den Daten-schutzals internes weisungsunabhängiges Organüberwacht die Einhaltung der nationalen undinternationalen Datenschutzvorschriften unddes Code of Conduct und überprüft diesstichprobenartig. Weltweit sind Datenschutz-Koordinatoren im Auftrag des Konzernbeauf-tragten dezentral für die Sicherstellung desDatenschutzes gemäß diesem Code ofConduct und den nationalen und lokalenRechtsvorschriften zuständig. Die jeweiligenGeschäftsführungen sind für die Bestellungder Datenschutzkoordinatoren verantwortlich.Die jeweiligen Geschäftsführungen sind ver-pflichtet, den Konzernbeauftragten und dieDatenschutz-Koordinatoren in ihrer Tätigkeitzu unterstützen. Um Verstößen schon imVorfeld entgegenzuwirken, ist der BereichDatenschutz frühzeitig zu beteiligen (vgl.Paragraph IV. Ziffer 9 dieses Code ofConduct). Bei Verletzungen der sich aus die-sem Code of Conduct ergebendenVerpflichtungen und Beschwerden sind dieverantwortlichen Führungskräfte verpflichtet,umgehend entweder den zuständigen

Datenschutz-Koordinator oder denKonzernbeauftragten selbst zu unterrichten.Daneben kann sich jeder Mitarbeiter, Kundeoder sonstiger Vertragspartner jederzeit mitAnregungen, Anfragen, Auskunftsersuchenoder Beschwerden im Zusammenhang mitFragen des Datenschutzes oder der Daten-

sicherheit an den Konzernbeauftragten oderan einen Datenschutz-Koordinator wenden.Anfragen und Beschwerden werden vertrau-lich behandelt. Kann der zuständigeDatenschutz-Koordinator einer Beschwerdenicht abhelfen oder einen Verstoß gegen die-sen Code of Conduct nicht abstellen, ist erverpflichtet, den Konzernbeauftragten einzu-schalten.

Die Entscheidungen des Konzernbeauftragtenzur Abhilfe der Datenschutzverletzung sinddurch die jeweiligen Geschäftsführungen zurespektieren.

Der Konzernbeauftragte und seine Mitarbeiterkönnen wie folgt erreicht werden:

MTU Aero EnginesKonzerndatenschutzbeauftragterDachauer Straße 66580665 München • DeutschlandTel. +49 89 1489-4004Fax +49 89 1489-99123E-Mail: MTU.DSB@mtu.deoder im Intranet unter Datenschutz

14

• Betroffene im Sinne dieses Code of

Conduct sind alle Personen, mit denen

eine Vertragsbeziehung besteht oder

geplant ist, also auch sogenannte

Prospects oder Potentials, allerdings

nur soweit personenbezogene Daten

über diese Personen betroffen sind.

• Personenbezogene Daten sind alle

Informationen über eine bestimmte

oder bestimmbare natürliche Person.

Bestimmbar ist eine Person z.B. dann,

wenn der Personenbezug durch eine

Kombination von sachbezogenen

Informationen mit auch nur zufällig

vorhandenem Zusatzwissen des

jeweiligen Sachbearbeiters hergestellt

werden kann.

• Verarbeitung personenbezogener

Daten ist jeder mit oder ohne Hilfe

automatisierter Verfahren ausgeführte

Vorgang, der der Erhebung, der Spei-

cherung, der Organisation, der Aufbe-

wahrung, der Anpassung, der Ver-

änderung, der Abfrage, der Nutzung,

der Weitergabe durch Übermittlung,

der Verbreitung oder der Kombination

bzw. dem Abgleich von Daten dient.

Auch das Sperren, das Löschen oder

das Vernichten werden umfasst.

• Anonymisiert sind Daten dann, wenn

ein Personenbezug dauerhaft und von

niemandem mehr hergestellt werden

kann bzw. wenn der Personenbezug

nur mit einem unverhältnismäßig

großen Aufwand an Zeit, Kosten und

Arbeitskraft wiederhergestellt werden

könnte.

• Pseudonymisieren ist das Ersetzen

des Namens und anderer Identifi-

kationsmerkmale durch ein Kenn-

zeichen zu dem Zweck, die Bestim-

mung des Betroffenen auszuschließen

oder wesentlich zu erschweren.

• Verantwortlich für die Datenver-

arbeitung (verantwortliche Stelle) ist

im Außenverhältnis, z.B. gegenüber

Konzernkunden oder anderen Vertrags-

partnern, diejenige juristisch selbstän-

dige Gesellschaft des MTU Aero

Engines Konzerns, deren Geschäfts-

aktivität die jeweilige Verarbeitungs-

maßnahme veranlasst hat. Im Innen-

verhältnis regelt eine Organisations-

und Hierarchiestruktur, welche

Mitarbeiter inwieweit für die Ordnungs-

mäßigkeit der Datenverarbeitung

verantwortlich sind.

• Auftragsverarbeiter sind diejenigen

natürlichen oder juristischen Personen,

die personenbezogene Daten im

Auftrag (als Auftragnehmer) für einen

Verantwortlichen (als Auftraggeber)

verarbeiten. Neben Dienstleistern im

Marketingbereich kommen z.B. auch

Betreiber von Rechenzentren als

Datenverarbeiter im Auftrag in Be-

tracht.

• Dritter ist jede natürliche oder juri-

stische Person oder Behörde, die nicht

dem Verantwortlichen für die Daten-

verarbeitung zuzurechnen ist. Nicht

Dritte sind daher Auftragsverarbeiter

oder Mitarbeiter des Verantwort-

lichen, sofern die betroffenen perso-

nenbezogenen Daten in ihren Zustän-

digkeitsbereich fallen.

• Übermittlung ist die Bekanntgabe an

einen Dritten, der nicht zum Verant-

wortungsbereich des für die Daten-

verarbeitung Verantwortlichen gehört.

• Einwilligung ist eine Willensäußerung,

mit der ein Betroffener in Kenntnis der

Sachlage ohne erkennbaren äußeren

Zwang zu verstehen gibt, dass er mit

der Verarbeitung ihn betreffender per-

sonenbezogener Daten einverstanden

ist.

• Das Widerspruchsrecht (Recht zum

opt-out) bedeutet, dass der Betroffene

die Nutzung seiner Daten zu Zwecken

des Marketings oder der Markt- und

Meinungsforschung verbieten kann.

Definitionen

MTU Aero EnginesDachauer Straße 66580995 München DeutschlandTel +49 89 1489-4004Fax +49 89 1489-99123www.mtu.de G

ER08

/10

/M

UC

/0

0500

/A

MS

P/D

IB/

D