1. Einleitung
 

FPT Software Company, Ltd. (im Folgenden „FPT Software“) legt strenge Anforderungen für die Verarbeitung personenbezogener Daten von Kunden, Geschäftspartnern, Mitarbeitern oder anderen Personen fest. Sie erfüllt die Anforderungen der europäischen Datenschutzrichtlinie und gewährleistet die Einhaltung der Grundsätze der weltweit geltenden nationalen und internationalen Datenschutzgesetze. Die Richtlinie legt einen weltweit gültigen Datenschutz- und Sicherheitsstandard für FPT Software fest und regelt den Austausch von Informationen zwischen FPT Software, Tochtergesellschaften und juristischen Personen. FPT Software hat als Leitprinzipien für den Datenschutz – darunter Transparenz, Datensparsamkeit und Datensicherheit – das FPT Software Personal Data Protection Handbuch und die ISM-Richtlinien festgelegt.

Die Führungskräfte und Mitarbeiter von FPT Software sind verpflichtet, die Datenschutzrichtlinie des Unternehmens zu befolgen und die lokalen Datenschutzgesetze zu beachten. Als Globaler Datenschutzbeauftragter ist es meine Aufgabe, dafür zu sorgen, dass die Regeln und Grundsätze des Datenschutzes bei FPT Software weltweit eingehalten werden.

Gerne beantworte ich Ihre Fragen zum Datenschutz und zur internationalen Übermittlung personenbezogener Daten.

Frau Vy Huynh
Datenschutzbeauftragter, [email protected]

 
1.1. Zweck
 

Diese Datenschutzrichtlinie gilt weltweit für FPT Software, Tochtergesellschaften sowie juristische Personen und basiert auf weltweit anerkannten, grundlegenden Prinzipien des Datenschutzes. Die Gewährleistung des Datenschutzes ist die Grundlage für vertrauenswürdige Geschäftsbeziehungen und den Ruf von FPT Software als erstklassiger Arbeitgeber.

Die Datenschutzrichtlinie ist eine der notwendigen Rahmenbedingungen für den grenzüberschreitenden Datentransfer zwischen FPT Software, Tochtergesellschaften und juristischen Personen. Sie gewährleistet ein angemessenes Datenschutzniveau, wie es in der Datenschutz-Grundverordnung der Europäischen Union, im APPI, im PDPA oder in anderen nationalen Vorschriften zum Schutz personenbezogener Daten sowie in den nationalen Gesetzen für die grenzüberschreitende Datenübermittlung vorgeschrieben ist, auch in Ländern, die noch keine angemessenen Datenschutzgesetze haben.

Um die Erhebung, Verarbeitung, Übertragung und Verwendung personenbezogener Daten zu standardisieren und die angemessene, rechtmäßige, faire und transparente Verwendung personenbezogener Daten zu fördern, um zu verhindern, dass personenbezogene Daten gestohlen, verändert, beschädigt, verloren oder offengelegt werden, legt FPT Software die Datenschutzmanagementrichtlinie und die Informationssicherheitsrichtlinien fest.

 
1.2. Anwendungsbereich
 
 
1.3. Anwendung der nationalen Gesetze
 

Diese Datenschutzrichtlinie umfasst die international anerkannten Grundsätze des Datenschutzes, ohne die bestehenden nationalen Gesetze zu ersetzen. Sie ergänzt die nationalen Datenschutzgesetze. Das einschlägige nationale Recht hat Vorrang, wenn es im Widerspruch zu dieser Datenschutzrichtlinie steht oder strengere Anforderungen als diese Richtlinie stellt. Der Inhalt dieser Datenschutzrichtlinie muss auch dann beachtet werden, wenn es keine entsprechenden nationalen Rechtsvorschriften gibt. Die Meldepflichten für die Datenverarbeitung nach nationalem Recht müssen eingehalten werden.

Jede Tochtergesellschaft oder juristische Person von FPT Software ist für die Einhaltung dieser Datenschutzrichtlinie und der gesetzlichen Verpflichtungen verantwortlich. Besteht Grund zu der Annahme, dass rechtliche Verpflichtungen im Widerspruch zu den Pflichten aus dieser Datenschutzrichtlinie stehen, muss die betreffende Tochtergesellschaft oder Rechtsperson den Globalen Datenschutzbeauftragten informieren. Im Falle von Konflikten zwischen der nationalen Gesetzgebung und der Datenschutzrichtlinie wird FPT Software in Person des Globalen Datenschutzbeauftragten mit der betreffenden Tochtergesellschaft oder juristischen Person von FPT Software zusammenarbeiten, um eine praktische Lösung zu finden, die dem Zweck der Datenschutzrichtlinie entspricht.

 
1.4. Prävention von Verstößen gegen nationale und internationale Datenschutzgesetze
 

Der Globale Datenschutzbeauftragte GDPO, der dem für den Datenschutz zuständigen Vorstandsmitglied CFO unterstellt ist, beaufsichtigt die Compliance- und Regulierungsfunktionen von FPT Software mit dem Ziel, alle Bereiche mit möglichen Regulierungs- und Reputationsrisiken in Bezug auf die Verarbeitung personenbezogener Daten zu identifizieren, zu reduzieren und zu überwachen.

Das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien, Verfahren, Vorlagen) wird zweimal im Jahr überarbeitet und ergänzt. Der GDPO koordiniert alle Überarbeitungen oder Ergänzungen des Handbuchs. Der GDPO und der endgültige CFO überprüfen und genehmigen das Handbuch unverzüglich im Falle wesentlicher Änderungen von Gesetzen, Vorschriften oder Geschäftspraktiken.

Das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien, Verfahren, Vorlagen) wird im QMS von FPT Software veröffentlicht; alle Mitarbeiter haben Zugang zum QMS. Relevante Teile des Handbuchs werden bei wesentlichen Änderungen des Handbuchs umgehend verteilt. Neue Mitarbeiter werden über das Handbuch und das QMS informiert. Sie sind verpflichtet, das Handbuch durchzulesen und zu bestätigen, dass sie die relevanten Bestimmungen des Handbuchs verstehen, soweit sie auf den jeweiligen Mitarbeiter zutreffen.

GDPO bietet in regelmäßigen Abständen ein Online-Schulungsprogramm zum Schutz personenbezogener Daten auf der Online-Schulungsplattform e-campus von FPT Software an, um die Mitarbeiter über aktuelle regulatorische Entwicklungen, Aktualisierungen von Richtlinien und Verfahren sowie rechtliche Anforderungen zu informieren. Siehe Richtlinie_Personal Data Protection Training_v1.4.1.

Wenn ein Verstoß gegen das Handbuch zum Schutz personenbezogener Daten (Richtlinien, Leitlinien, Verfahren, Vorlagen) vorliegt oder eine vorläufige Feststellung getroffen wird, dass ein Verstoß stattgefunden haben könnte, muss ein Bericht an den GDPO und die Geschäftsleitung erfolgen.

Die Geschäftsleitung sollte angemessene Sanktionen gegen Mitarbeiter verhängen, die gegen die im Handbuch enthaltenen Richtlinien verstoßen. Zu den Sanktionen können eine oder alle der folgenden Maßnahmen gehören: ein Tadel, eine Geldstrafe, die vorübergehende Aussetzung des Beschäftigungsverhältnisses, die Beendigung des Beschäftigungsverhältnisses oder jede andere von der Geschäftsleitung für angemessen erachtete Sanktion.

 
2. Richtlinie
 
2.1. Leitende Grundsätze
 

Grundsatz 1: Personenbezogene Daten werden rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person transparenten Weise verarbeitet (Rechtmäßigkeit, Fairness und Transparenz). Die Erhebung, Verarbeitung, Übermittlung und Nutzung personenbezogener Daten in rechtswidriger Weise oder zu nicht administrativen Zwecken ist strengstens untersagt.

Grundsatz 2: Verarbeitung personenbezogener Daten nur, wenn dies für rechtliche und regulatorische Zwecke oder für legitime organisatorische Zwecke unbedingt erforderlich ist.

Erhebung nur für festgelegte, ausdrückliche und rechtmäßige Zwecke und keine Weiterverarbeitung in einer Weise, die mit diesen Zwecken unvereinbar ist (Zweckbindung).

Grundsatz 3: Verarbeitung nur des für diese Zwecke erforderlichen Minimums an personenbezogenen Daten. Angemessen, sachdienlich und beschränkt auf das, was im Hinblick auf den Zweck der Verarbeitung erforderlich ist (Datenminimierung).

FPT Software wird die von den Parteien zur Verfügung gestellten personenbezogenen Daten nur im Rahmen von Gesetzen, Vorschriften und geschäftlichen Anforderungen erheben, verarbeiten, übertragen und nutzen und geeignete und angemessene Maßnahmen ergreifen, um die personenbezogenen Daten im notwendigen und angemessenen Umfang zu behandeln und zu nutzen.

Grundsatz 4: Klare Information der betroffenen Personen (einschließlich Kinder) darüber, wie und von wem ihre personenbezogenen Daten verwendet werden.

Grundsatz 5: Gewährleistung besonderer Schutzmaßnahmen, wenn Daten direkt von Kindern erhoben werden.

Grundsatz 6: Nur relevante und angemessene personenbezogene Daten verarbeiten. Sachlich richtig und, soweit erforderlich, auf den neuesten Stand gebracht; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können (sachliche Richtigkeit).

Grundsatz 7: Führung eines dokumentierten Verzeichnisses der Kategorien personenbezogener Daten, die von FPT Software verarbeitet werden.

Grundsatz 8: Personenbezogene Daten nur so lange aufbewahren, wie dies aus rechtlichen oder behördlichen Gründen oder für legitime organisatorische Zwecke erforderlich ist, und eine rechtzeitige und angemessene Entsorgung sicherstellen (Speicherbegrenzung).

Grundsatz 9: Wahrung der Rechte der betroffenen Person in Bezug auf ihre personenbezogenen Daten.



Grundsatz 10: Verarbeitung in einer Weise, die eine angemessene Sicherheit personenbezogener Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch den Einsatz geeigneter technischer oder organisatorischer Maßnahmen. (Integrität und Vertraulichkeit)

Grundsatz 11: Die DSGVO und andere nationale und internationale Gesetze schränken die Übermittlung personenbezogener Daten in Länder z. B. außerhalb des EWR oder relevanter Länder ein. Diese Einschränkungen gelten für alle Übermittlungen, unabhängig vom Umfang der Übermittlung oder der Häufigkeit der Übermittlung, es sei denn, die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten werden auf andere Weise geschützt. Übermittlung personenbezogener Daten nur dann, wenn sie „angemessenen Garantien“ unterliegen, die in der Datenschutz-Grundverordnung oder anderen nationalen und internationalen Rechtsvorschriften aufgeführt sind.

Grundsatz 12: Geeignete Garantien sind die von der Kommission angenommenen Standarddatenschutzklauseln. Die Klauseln enthalten vertragliche Verpflichtungen für den Datenexporteur und den Datenimporteur sowie Rechte für die Personen, deren personenbezogene Daten übermittelt werden. Einzelpersonen können diese Rechte direkt gegenüber dem Datenimporteur und dem Datenexporteur geltend machen. Die Standardvertragsklauseln müssen in ihrer Gesamtheit und ohne Änderungen verwendet werden.

Grundsatz 13: Entwicklung und Umsetzung eines PIMS, um die Umsetzung der PIMS-Richtlinie zu ermöglichen.

Grundsatz 14: Identifizierung von Personen/Mitarbeitern mit besonderer Verantwortung und Rechenschaftspflicht für das PIMS. Einführung einer strengen Governance einschließlich eines Globalen Datenschutzbeauftragten.

Grundsatz 15: Führung von Aufzeichnungen über die Verarbeitung personenbezogener Daten.

Mitarbeiter von FPT Software, die gegen diese Grundsätze verstoßen, werden auf der Grundlage der arbeitsvertraglichen Bestimmungen sanktioniert.

 
2.2. Kunden- und Anbieterdaten (Drittpartei)
 

 

2.2.1 Datenverarbeitung im Rahmen eines Vertragsverhältnisses
 

Personenbezogene Daten von Kunden und Anbietern (Drittpartei) können zum Zweck der Begründung, Durchführung und Beendigung eines Vertrages verarbeitet werden. Im Vorfeld eines Vertrags – in der Phase der Vertragsanbahnung – können personenbezogene Daten verarbeitet werden, um Angebote oder Bestellungen vorzubereiten oder um andere Anfragen zu erfüllen, die mit dem Vertragsabschluss zusammenhängen. Kunden oder Anbieter können während der Vertragserstellung anhand der von ihnen bereitgestellten Informationen kontaktiert werden. Etwaige von Kunden oder Anbietern geforderte Einschränkungen müssen beachtet werden.



Die Öffentlichkeit, d. h. jeder Kunde, Anbieter und jede betroffene Person, muss Zugang zu Informationen über die Grundsätze und Aktivitäten von FPT Software zum Schutz personenbezogener Daten haben (siehe Kapitel 4) und muss in der Lage sein, auf einfache Weise mit dem Globalen Datenschutzbeauftragten von FPT Software zu kommunizieren:



Frau Vy Huynh | Datenschutzbeauftragter | FPT Deutschland GmbH



Am Thyssenhaus 1-3 (Haus 3), 45128 Essen, Deutschland



Tel: +49 201 49039350



URL: www.fptsoftware.de



Die Richtlinie zum Schutz personenbezogener Daten muss auf www.fpt-software.com veröffentlicht werden. Unter „Kontakt“ auf www.fptsoftware.de müssen die Kontaktdaten des Globalen Datenschutzbeauftragten veröffentlicht werden.



2.2.2 Einwilligung zur Datenverarbeitung
 

Daten können nach Einwilligung der betroffenen Person verarbeitet werden. Bevor die betroffene Person ihre Einwilligung gibt, muss sie gemäß dieser Datenschutzrichtlinie informiert werden. Die Einwilligungserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen, z. B. bei Telefongesprächen, kann die Einwilligung auch mündlich erteilt werden. Die Erteilung der Einwilligung muss dokumentiert werden.



2.2.3 Datenverarbeitung aufgrund einer gesetzlichen Ermächtigung
 

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn nationale Rechtsvorschriften dies verlangen, vorschreiben oder erlauben. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen.



2.2.4 Datenverarbeitung aufgrund eines berechtigten Interesses
 

Personenbezogene Daten können auch verarbeitet werden, wenn dies für ein berechtigtes Interesse von FPT Software erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einziehung offener Forderungen) oder wirtschaftlicher Natur (z. B. Vermeidung von Vertragsverletzungen). Personenbezogene Daten dürfen nicht zur Wahrung eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall ein schutzwürdiges Interesse der betroffenen Person nachgewiesen werden kann und dieses überwiegt. Vor der Verarbeitung von Daten ist zu prüfen, ob schutzwürdige Interessen vorliegen.



2.2.5 Benutzerdaten und Internet
 

Werden auf Websites oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt, müssen die betroffenen Personen in einer Datenschutzerklärung und ggf. in Informationen über Cookies darüber informiert werden. Die Datenschutzerklärung und etwaige Cookie-Informationen müssen so integriert werden, dass sie für die betroffenen Personen leicht zu erkennen, direkt zugänglich und ständig verfügbar sind.



Werden Nutzungsprofile (Tracking) erstellt, um die Nutzung von Websites und Apps auszuwerten, müssen die betroffenen Personen in der Datenschutzerklärung immer entsprechend informiert werden.



Wenn Websites oder Apps auf personenbezogene Daten in einem Bereich zugreifen können, der registrierten Benutzern vorbehalten ist, müssen die Identifizierung und Authentifizierung der betroffenen Person einen ausreichenden Schutz beim Zugriff bieten



Alle derzeit getroffenen technischen Maßnahmen siehe Kapitel 4, Technische Maßnahmen.

 

 
2.3. Mitarbeiterdaten
 

 

2.3.1 Datenverarbeitung für das Arbeitsverhältnis
 

In Arbeitsverhältnissen können personenbezogene Daten verarbeitet werden, wenn dies zur Aufnahme, Durchführung und Beendigung des Arbeitsverhältnisses erforderlich ist. Bei der Aufnahme eines Arbeitsverhältnisses können die personenbezogenen Daten der Bewerber verarbeitet werden. Wird der Bewerber abgelehnt, müssen seine Daten unter Einhaltung der vorgeschriebenen Aufbewahrungsfrist gelöscht werden, es sei denn, der Bewerber hat zugestimmt, dass seine Daten für ein künftiges Auswahlverfahren gespeichert bleiben. Die Einwilligung ist auch erforderlich, um die Daten für weitere Bewerbungsverfahren zu verwenden oder bevor die Bewerbung an andere juristische Personen von FPT Software weitergegeben wird.



Im bestehenden Arbeitsverhältnis muss sich die Datenverarbeitung immer auf den Zweck des Arbeitsvertrages beziehen, wenn keiner der folgenden Umstände für eine zulässige Datenverarbeitung vorliegt.



Sollte es während des Bewerbungsverfahrens erforderlich sein, Informationen über einen Bewerber bei einer dritten Person einzuholen, müssen die Anforderungen der entsprechenden nationalen Gesetze beachtet werden. In Zweifelsfällen muss die Einwilligung der betroffenen Person eingeholt werden.



Es muss eine gesetzliche Ermächtigung zur Verarbeitung personenbezogener Daten vorliegen, die im Zusammenhang mit dem Arbeitsverhältnis stehen, aber ursprünglich nicht Teil der Erfüllung des Arbeitsvertrags waren. Dazu gehören gesetzliche Vorgaben, kollektive Regelungen mit den Arbeitnehmervertretern, die Einwilligung des Mitarbeiters oder das berechtigte Interesse des Unternehmens.



2.3.2 Datenverarbeitung aufgrund einer gesetzlichen Ermächtigung
 

Die Verarbeitung personenbezogener Daten von Arbeitnehmern ist auch zulässig, wenn die nationale Gesetzgebung dies verlangt, vorschreibt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitungstätigkeit erforderlich sein und den einschlägigen gesetzlichen Bestimmungen entsprechen. Besteht ein gewisser rechtlicher Spielraum, so müssen die schutzwürdigen Interessen des Arbeitnehmers berücksichtigt werden.



2.3.3 Kollektivvereinbarungen zur Datenverarbeitung
 

Wenn eine Datenverarbeitung über den Zweck der Vertragserfüllung hinausgeht, kann sie zulässig sein, wenn sie durch Kollektivvereinbarungen genehmigt wurde. Kollektivvereinbarungen sind Tarifverträge oder Vereinbarungen zwischen Arbeitgebern und Arbeitnehmervertretern im Rahmen des geltenden Arbeitsrechts. Die Vereinbarungen müssen sich auf den spezifischen Zweck der beabsichtigten Datenverarbeitungstätigkeit beziehen und im Rahmen der nationalen Datenschutzvorschriften erstellt werden.



2.3.4 Einwilligung zur Datenverarbeitung
 

Arbeitnehmerdaten können mit Einwilligung der betroffenen Person verarbeitet werden. Einverständniserklärungen müssen freiwillig abgegeben werden. Eine unfreiwillige Einwilligung ist nichtig. Die Einwilligungserklärung muss zu Dokumentationszwecken schriftlich oder elektronisch eingeholt werden. Unter bestimmten Umständen kann die Einwilligung mündlich erteilt werden; in diesem Fall muss sie ordnungsgemäß dokumentiert werden. Im Falle einer informierten, freiwilligen Bereitstellung von Daten durch die betreffende Partei kann von einer Einwilligung ausgegangen werden, wenn die nationalen Rechtsvorschriften keine ausdrückliche Einwilligung verlangen. Bevor die betroffene Person ihre Einwilligung gibt, muss sie gemäß dieser Datenschutzrichtlinie informiert werden.



2.3.5 Datenverarbeitung aufgrund eines berechtigten Interesses
 

Personenbezogene Daten können auch verarbeitet werden, wenn dies zur Durchsetzung eines berechtigten Interesses von FPT Software erforderlich ist. Berechtigte Interessen sind in der Regel rechtlicher (z. B. Einreichung, Durchsetzung oder Abwehr von Rechtsansprüchen) oder finanzieller Natur (z. B. Bewertung von Unternehmen).



Personenbezogene Daten dürfen nicht auf der Grundlage eines berechtigten Interesses verarbeitet werden, wenn im Einzelfall Anhaltspunkte dafür vorliegen, dass die Interessen des Arbeitnehmers schutzwürdig sind. Vor der Verarbeitung von Daten ist zu prüfen, ob schutzwürdige Interessen vorliegen.



Kontrollmaßnahmen, die eine Verarbeitung von Arbeitnehmerdaten erfordern, können nur ergriffen werden, wenn eine gesetzliche Verpflichtung dazu besteht oder ein legitimer Grund vorliegt. Selbst wenn ein legitimer Grund vorliegt, muss auch die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z. B. Einhaltung gesetzlicher Bestimmungen und unternehmensinterner Regelungen) sind mit den schutzwürdigen Interessen des von der Maßnahme betroffenen Arbeitnehmers an deren Ausschluss abzuwägen und können nur in angemessener Weise wahrgenommen werden. Die berechtigten Interessen des Unternehmens und die schutzwürdigen Interessen des Arbeitnehmers sind zu ermitteln und zu dokumentieren, bevor irgendwelche Maßnahmen ergriffen werden. Darüber hinaus sind etwaige zusätzliche Anforderungen nach nationalem Recht (z. B. Mitbestimmungsrechte der Arbeitnehmervertreter und Informationsrechte der Betroffenen) zu berücksichtigen.



2.3.6 Telekommunikation und Internet
 

Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden vom Unternehmen in erster Linie für arbeitsbezogene Aufgaben zur Verfügung gestellt. Sie sind Unternehmensinstrumente und Unternehmensressourcen. Sie können im Rahmen der geltenden gesetzlichen Bestimmungen und internen Unternehmensrichtlinien verwendet werden. Bei einer genehmigten Nutzung zu privaten Zwecken sind die Gesetze über das Fernmeldegeheimnis und gegebenenfalls die einschlägigen nationalen Telekommunikationsgesetze zu beachten.



Es wird keine allgemeine Überwachung des Telefon- und E-Mail-Verkehrs oder der Intranet-/Internetnutzung geben. Zur Abwehr von Angriffen auf die IT-Infrastruktur oder einzelne Benutzer können für die Verbindungen zum FPT Software-Netzwerk Schutzmaßnahmen implementiert werden, die technisch schädliche Inhalte blockieren oder die Angriffsmuster analysieren. Aus Sicherheitsgründen kann die Nutzung von Telefonanlagen, E-Mail-Adressen, Intranet/Internet und internen sozialen Netzwerken für einen begrenzten Zeitraum protokolliert werden. Auswertungen dieser Daten einer bestimmten Person können nur in einem konkreten, begründeten Fall von vermuteten Verstößen gegen Gesetze oder Richtlinien von FPT Software vorgenommen werden. Die Bewertungen können nur von den untersuchenden Dienststellen durchgeführt werden, wobei der Grundsatz der Verhältnismäßigkeit zu beachten ist. Die jeweiligen nationalen Gesetze müssen beachtet werden.

 

 
2.4. Auskunftsersuchen von staatlichen/staatlichen oder föderalen Behörden oder anderen Aufsichtsbehörden
 

Anträge auf Zugang zu personenbezogenen Daten von staatlichen/staatlichen oder föderalen Agenturen oder anderen Regulierungsbehörden werden auf die gleiche Weise und unter den gleichen Bedingungen wie internationale Datenübermittlungen behandelt, wobei die Anforderungen des nationalen Rechts des jeweiligen Landes strikt eingehalten werden. Alle Auskunftsersuchen werden im Register für Auskunftsersuchen registriert. Alle Anfragen werden vom GDPO verwaltet und unterliegen der Zustimmung des für den Datenschutz zuständigen Vorstandsmitglieds von FPT Software (CFO). Der GDPO ist für die Kommunikation mit staatlichen/staatlichen oder föderalen Behörden oder anderen Regulierungsstellen verantwortlich. Der GDPO ist für das Register der Zugangsanträge zuständig.

 
2.5. Überprüfung und Bewertung der Richtlinien
 

Diese Richtlinien müssen zweimal jährlich überprüft und bewertet werden, um den neuesten Stand der internationalen Normen, Rechtsvorschriften, Technologien und Unternehmen widerzuspiegeln und die Aktualität der Verfahren zur Verwaltung personenbezogener Daten zu gewährleisten (siehe Guideline_Personal Data Protection Policy Development_v2.4.1).

 
2.6. Ankündigung und Freigabe
 

Diese Richtlinie basiert auf einem Ankündigungsverfahren, das es dem Personal ermöglicht, die relevanten Grundsätze und Bestimmungen der Richtlinie zum Schutz personenbezogener Daten zu verstehen, damit sie diese befolgen können.

Diese Richtlinie muss von der Arbeitsgruppe für den Schutz personenbezogener Daten überarbeitet und überprüft sowie vom Globalen Datenschutzbeauftragten und dem zuständigen Vorstandsmitglied von FPT Software (CFO) genehmigt werden. Der Globale Datenschutzbeauftragte ist für die Umsetzung und die internen Audits zuständig.

 
3. Datenschutzkontrolle
 

Die Einhaltung der Datenschutzrichtlinie und der geltenden Datenschutzgesetze wird jährlich durch Datenschutzaudits und andere Kontrollen überprüft. Die Durchführung dieser Kontrollen liegt in der Verantwortung der Datenschutzbeauftragten. Die Ergebnisse der Datenschutzkontrollen müssen dem Globalen Datenschutzbeauftragten und dem zuständigen Vorstandsmitglied von FPT Software (CFO) mitgeteilt werden. Auf Anfrage werden die Ergebnisse der Datenschutzkontrollen der zuständigen Datenschutzbehörde zur Verfügung gestellt. Die zuständige Datenschutzbehörde kann eigene Kontrollen der Einhaltung der Bestimmungen dieser Richtlinie durchführen, soweit dies nach nationalem Recht zulässig ist.

 
4. Technische und organisatorische Maßnahmen
 

Als nicht-öffentliches Unternehmen, das personenbezogene Daten im Rahmen eines Auftragsdatenverarbeitungsvertrages verarbeitet, muss FPT Software technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der Europäischen Datenschutz-Grundverordnung und anderer internationaler Datenschutzgesetze sicherzustellen. Zusätzlich zu diesem Verfahren muss FPT Software die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Komponenten garantieren.

Die folgenden Maßnahmengruppen befassen sich mit allen Aspekten des derzeitigen Mindestsicherheitsniveaus. Sie dienen dazu, das Datenschutzniveau von FPT Software bei der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen zu bewerten. Wenn FPT Software eine Verbindung zu den Systemen des Verantwortlichen herstellt, muss FPT Software zumindest den Vertraulichkeitsteil abschließen, wobei FPT Software die Zugangs- und Zugriffsberechtigungskontrollen sowie die Kontrollen der Aufgabentrennung abgeschlossen haben muss (Abschnitte b) c) d) unten).

Nachfolgend die technischen und organisatorischen Maßnahmen, die derzeit bei FPT Software realisiert werden. Ein kontinuierlicher Verbesserungsprozess wird eingeführt:

 
4.1. Vertraulichkeit
 

 

a) Zugangskontrolle/Gebäudesicherheit
 
Ziel der Zugangskontrolle ist es, die unbefugte Nutzung von Datenverarbeitungssystemen zu verhindern, die zur Verarbeitung und Nutzung personenbezogener Daten eingesetzt werden.


Im Kontaktverzeichnis werden die Benutzerstammdaten und der individuelle Identifikationscode jedes Mitarbeiters registriert. Der Zugang zu den Datenverarbeitungssystemen ist nur nach Identifizierung und Authentifizierung mit Hilfe des Identifikationscodes und des Passworts für das jeweilige System möglich.

 

☒ Alarm system

☒ Schutz von Gebäudeschächten

☒ Automatisches Zugangskontrollsystem

☒ Zugangskontrolle durch Chipkartentransporter

☒ Schließsystem mit Code-Schloss

☒ Manuelles Schließsystem

☐ Biometrische Zugangskontrolle

☒ Videoüberwachung der Eingänge

☐ Lichtschranken / Bewegungsmelder

☒ Sicherheitsschlösser

☒ Erfassung von Besuchern

☒ Identitätskontrolle durch Hausmeister/Empfang

☒ Verpflichtung einer besonderen ausgewählten Sicherheit

☒ Einsatz von speziell ausgewähltem Reinigungspersonal

☒ Regelung der Schlüsselübergabe (Übergabe der Schlüssel usw.)

☒ Verpflichtung zum Tragen der Berechtigungskarte Personal



b) Physische Zugangskontrolle/Systemschutz
 
Ziel der physischen Zugangskontrolle ist es, Unbefugte am physischen Zugang zu solchen Datenverarbeitungsanlagen zu hindern, die personenbezogene Daten verarbeiten oder nutzen.


Geschäftsräume und Einrichtungen sind aufgrund ihrer jeweiligen Sicherheitsanforderungen in verschiedene Sicherheitszonen mit unterschiedlichen Zugangsberechtigungen unterteilt. Sie werden vom Sicherheitspersonal überwacht.



Der Zugang zu speziellen Sicherheitsbereichen wie dem Servicecenter für Fernwartung oder ODC ist zusätzlich durch einen separaten Zugangsbereich geschützt. Die baulichen und inhaltlichen Sicherheitsstandards entsprechen den Sicherheitsanforderungen für Rechenzentren.

 

☒ Interne Zugangskontrolle

☒ Isolationskontrolle (Erlaubnis für Benutzerrechte)

☒ Angabe eines sicheren Passworts

☐ Biometrische Authentifizierung

☒ Authentifizierung eines Benutzernamens / Passworts

☒ Zuweisung von Benutzerprofilen zu IT-Systemen

☒ Abschließbare Servergehäuse / Computer

☒ Einsatz von VPN-Technologie (Fernzugriff)

☒ Sperren externer Schnittstellen (USB usw.)

☒ Verschlüsselung von mobilen Datenträgern

☒ System zur Erkennung von Eindringlingen

☐ Zentrale Smartphone-Verwaltung (z. B. Fernlöschung)

☐ Verschlüsselung von Smartphone-Inhalten

☐ Sichere Passwörter für Smartphones

☒ Verschlüsselung von Datenträgern auf Laptops

☒ Vergabe von individuellen Benutzernamen

☐ Andernfalls bitte angeben:

 


c) Elektronische Zugangskontrolle/Sicherung der Zugangsberechtigung
 
Maßnahmen zur elektronischen Zugriffskontrolle sind darauf auszurichten, dass nur auf solche Daten zugegriffen werden kann, für die eine Zugriffsberechtigung besteht, und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können.


Der Zugriff auf die für die Erfüllung der jeweiligen Aufgabe notwendigen Daten wird innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept sichergestellt.

 

☒ Konzept der Rechtevergabe

☒ Rechteverwaltung durch den Systemadministrator

☒ Anzahl der Systemadministratoren „auf ein Minimum reduziert“

☒ Aufzeichnung der Löschung

☒ Protokollierung von Systemzugriffsereignissen, insbesondere Eingaben, Änderungen und Löschungen von Daten

☒ Anwendung des Virenschutzes

☒ Physische Löschung von Medien vor der Wiederverwendung

☒ Anwendung der Software-Firewall

☒ Sichere Speicherung von Datenträgern

☒ Passwortrichtlinien (inkl. definierter Passwortlänge, Passwortänderungen)

☒ Verschlüsselung von Datenträgern

☒ Einsatz von geeigneten Schreddern bzw. spezialisierten Dienstleistern

☒ Anwendung der Hardware-Firewall

☒ Ordnungsgemäße Vernichtung von Datenträgern

☐ Andernfalls bitte angeben:

☒ Zugangsprotokolle



d) Trennungskontrolle/Maßnahmen zur Gewährleistung der Trennung der Zwecke, für die personenbezogene Daten erhoben wurden
 
Mit der Trennungskontrolle soll sichergestellt werden, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können.


Die personenbezogenen Daten werden vom Auftragsverarbeiter nur für interne Zwecke verwendet. Eine Übermittlung an einen Dritten, z. B. einen Unterauftragnehmer, erfolgt ausschließlich unter Berücksichtigung der vertraglichen Vereinbarungen und der Europäischen Datenschutz-Grundverordnung.



Die Mitarbeiter des Auftragsverarbeiters sind angewiesen, personenbezogene Daten nur im Rahmen und für die Zwecke ihrer Aufgaben (z. B. Leistungserbringung) zu erheben, zu verarbeiten und zu nutzen. Auf technischer Ebene werden dazu die Mandantenfähigkeit, die Funktionstrennung sowie die Trennung von Prüf- und Produktionssystemen genutzt.

 

☒ Physikalisch getrennte Speicherung mit separaten Systemen oder Datenträgern


☒ Definition eines Berechtigungskonzepts


☒ Trennung zwischen Produktiv- und Prüfsystemen

☒ Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden


☒ Keine produktiven Daten in Prüfsystemen


☒ Logische Kliententrennung (softwarebasiert)


☐ Andernfalls bitte angeben:



e) Pseudonymisierung
 

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hilfe zusätzlicher Informationen nicht mit einer bestimmten betroffenen Person in Verbindung gebracht werden können, vorausgesetzt, diese zusätzlichen Informationen werden getrennt gespeichert und unterliegen geeigneten technischen und organisatorischen Maßnahmen. Siehe Guideline_Pseudonymisation Minimisation and Encryption_v1.4.1

 

☒ Pseudonymisierte (oder anonyme) Verarbeitung von Daten


☒ Trennung von Auftragsdatei und Speicherung in einem separaten, sicheren IT-System

 

 
4.2. Integrität
 

 

a) Kontrolle der Datenübertragung/Datenübertragungssicherheit
 
Ziel der Datenübertragungskontrolle ist es, sicherzustellen, dass personenbezogene Daten während ihrer Übertragung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass überwacht und festgestellt werden kann, an welche Empfänger eine Übertragung personenbezogener Daten beabsichtigt ist.


Die Weitergabe von personenbezogenen Daten durch FPT Software an Dritte (z. B. Kunden, Subunternehmer, Dienstleister) erfolgt nur bei Vorliegen eines entsprechenden Vertrages und nur für einen bestimmten Zweck. Werden personenbezogene Daten an Unternehmen mit Sitz außerhalb der EU/des EWR oder des Herkunftslandes übermittelt, stellt FPT Software sicher, dass am Zielort oder in der Zielorganisation ein angemessenes Datenschutzniveau gemäß der EU-Datenschutzverordnung besteht, z. B. durch die Verwendung von Verträgen auf der Grundlage der EU-Mustervertragsklauseln.

 

☒ Einrichtung von Standleitungen bzw. VPN-Tunnel


☒ E-Mail-Verschlüsselung


☒ Erfassung der Datenempfänger sowie der Zeiträume der geplanten Übermittlung bzw. der vereinbarten Löschfristen


☒ Physischer Transport: Auswahl des speziellen Transportpersonals und des Trägers


☐ Andernfalls bitte angeben:

☒ Datenübermittlung in anonymer oder pseudonymer Form


☒ Erstellung einer Übersicht über die regelmäßige Datenabfrage sowie den Datentransfer


☒ Physischer Transport: Verwendung von sicheren Transportbehältern/Verpackungen


☒ Verwendung von verschlüsselten externen Geräten bei der Datenübertragung (CD, USB, Stick usw.)



b) Eingabekontrolle
 
Ziel der Eingabekontrolle ist es, mit Hilfe geeigneter Maßnahmen sicherzustellen, dass die Umstände der Dateneingabe rückwirkend überprüft und kontrolliert werden können.


Systemeingaben werden in Form von Protokolldateien aufgezeichnet. Auf diese Weise ist es möglich, zu einem späteren Zeitpunkt zu überprüfen, ob und von wem personenbezogene Daten eingegeben, geändert oder gelöscht wurden.

 

☒ Erstellung einer Übersicht, aus der hervorgeht, welche Anwendung zur Eingabe, Änderung oder Löschung welcher Daten berechtigt ist


☒ Berechtigungseinstellungen, die zur Eingabe, Änderung und Löschung von Daten nach einem Rechtevergabekonzept berechtigen


☒ Kontinuierliche Protokollierung von Eingaben, Änderungen und Löschungen von Daten

☒ Verwendung von individuell zugewiesenen Benutzernamen, um die Zugangskontrolle oder die Eingabe, Änderung oder Löschung von Daten zu gewährleisten


☒ Beibehaltung eines Archivierungssystems zur Bewertung der Herkunft von Daten, die an automatisch verarbeitete Daten übermittelt werden


☒ Aktivitätsprotokolle


☐ Andernfalls bitte angeben.

 

 
4.3. Verfügbarkeit und Ausfallsicherheit
 

 

a) Verfügbarkeitskontrolle und Schutz vor zufälliger oder vorsätzlicher Zerstörung oder Verlusta) Availability control and protection to prevent accidental or willful destruction or loss
 
Ziel der Verfügbarkeitskontrolle ist es, sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung und Verlust geschützt sind.The aim of the availability control is to ensure that Personal Data is protected against accidental destruction and loss.


Wenn personenbezogene Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr benötigt werden, werden sie unverzüglich gelöscht. Es ist zu beachten, dass bei jeder Löschung die personenbezogenen Daten zunächst nur gesperrt werden und dann mit einer gewissen Verzögerung endgültig gelöscht werden. Dies erfolgt, um versehentliche Löschungen oder mögliche absichtliche Beschädigungen zu verhindern.

 

☒ Mit Klimaanlage ausgestattete Serverräume


☒ Mit Schutzsteckern ausgestattete Serverräume


☒ Mit Feuerlöschern ausgestattete Serverräume


☒ Separat aufbewahrte Backups an einem sicheren Ort


☒ Notfallplan


☒ Plan zur Aufrechterhaltung des Geschäftsbetriebs


☒ Keine Serverräume unter den Sanitäranlagen


☒ Regelmäßige Datensicherungen


☒ Notfallplan für die Beaufsichtigung


☐ Andernfalls bitte angeben:



b) Schnelle Wiederherstellung
 

☒ Recovery acc, Sicherungs- und Wiederherstellungskonzept


☒ Wiederherstellungstests


☒ Notfallplan für die Beaufsichtigung

 

 
4.4. Verfahren für die regelmäßige Überprüfung, Bewertung und Evaluierung
 

 

a) Datenschutzmanagement
 
 

☒ Die Grundsätze für die Verarbeitung personenbezogener Daten (Erhebung, Verarbeitung oder Nutzung) sind Gegenstand einer internen Unternehmensrichtlinie


☒ Der Datenschutzbeauftragte wurde schriftlich benannt


☒ Die Mitarbeiter sind auf das Datengeheimnis/den Umgang mit personenbezogenen Daten verpflichtet


☒ Die Mitarbeiter sind verpflichtet, die Vorschriften zum Fernmeldegeheimnis einzuhalten


☒ Eine interne Liste der Verarbeitungsvorgänge ist verfügbar. Siehe Guideline_Personal Data Inventory Management_v3.4.1

☒ Der Datenschutzbeauftragte ist an der Datenschutz-Folgenabschätzung beteiligt


☒ Der Datenschutzbeauftragte ist Mitglied des Organisationsplans


☒ Mitarbeiterschulungen. Siehe Policy_Personal Data Protection Training_v1.4.1


☒ Implementierung eines Kontrollsystems zur Aufdeckung von unberechtigtem Zugriff auf personenbezogene Daten


☐ Andernfalls bitte angeben:



b) Management der Reaktion auf Zwischenfälle
 

Es entspricht dem Management von Zwischenfällen bei festgestellten oder vermuteten Sicherheitsvorfällen bzw. Ausfällen im IT-Bereich.



☒ Bearbeitungsschema für das Störfallmanagement


☒ Team übt realistische Übungen


☒ Sicherheitsteam benannt und geschult


☐ Andernfalls bitte angeben:



c) Datenschutz durch geeignete technische Maßnahmen und datenschutzfreundliche Voreinstellungen (gemäß der EU-Verordnung)
 

☒ Einhaltung des „Privacy by Design“/Datenschutz durch geeignete Technologien


☒ Auswahl von Technologien zur Verbesserung des Datenschutzes für künftige Anforderungen


☒ Einhaltung des Datenschutzes durch Voreinstellung/Datenschutz durch entsprechende Einstellungen


☐ Andernfalls bitte angeben:



d) Überwachung/Beauftragung von Subunternehmern
 

Keine Datenverarbeitung darf ohne vorherige ausdrückliche Genehmigung des für die Verarbeitung Verantwortlichen durchgeführt werden, z. B. klare vertragliche Verpflichtung, formalisierte Auftragsverwaltung, strenge Auswahl des Dienstleisters, Verpflichtung zur Vorabkontrolle, Nachkontrolle.



☒ Auswahl von (Unter-)Auftragnehmern mit professioneller Sorgfalt (insbesondere im Hinblick auf die Datensicherheit)


☒ Für den Auftragsverarbeiter erstellte und schriftlich dokumentierte Leitlinien (z. B. durch einen Datenverarbeitungsvertrag)


☒ Benannter Datenschutzbeauftragter des Auftragsverarbeiters (falls erforderlich)


☒ Wirksame Aufsichtsrechte des für die Verarbeitung Verantwortlichen vereinbart

☒ Vor der Beauftragung Überprüfung der vom Unterauftragnehmer aufgezeichneten Sicherheitsmaßnahmen


☒ Die Mitarbeiter des Auftragsverarbeiters sind verpflichtet, eine Geheimhaltungs-/Vertraulichkeitsvereinbarung zu unterzeichnen.


☒ Sicherstellung der Löschung oder Vernichtung von Daten nach Beendigung des Vertragsverhältnisses


☒ Ständige Überprüfung des Auftragsverarbeiters und seiner Tätigkeiten


☐ Andernfalls bitte angeben:

 

 
5. Schulung zum Schutz personenbezogener Daten
 

Jeder neue Mitarbeiter muss am ersten Tag an einer Schulung zum Schutz personenbezogener Daten teilnehmen.



Für jeden Mitarbeiter, der personenbezogene Daten verarbeitet, ist die Teilnahme an einer Datenschutzschulung auf e-campus (FPT Software Training Platform) einschließlich einer erfolgreichen Prüfung vor Beginn der Verarbeitung personenbezogener Daten obligatorisch. Eine jährliche Auffrischungsschulung ist ebenfalls obligatorisch.



Jeder PM, DM, SDM, Teamleiter, der mit der Verarbeitung personenbezogener Daten zu tun hat, ist verpflichtet, vor Beginn der Verarbeitung personenbezogener Daten an der erweiterten Datenschutzschulung auf e-campus (FPT Software Training Platform) teilzunehmen und eine Prüfung abzulegen. Eine jährliche Auffrischungsschulung ist ebenfalls obligatorisch (siehe Policy_Personal Data Protection Training_v1.4.1).



FPT Software VN wird jeder juristischen Person und jeder Tochtergesellschaft von FPT Software eine Download-Version aller Schulungsunterlagen zur Verfügung stellen.

 
6. Globaler Datenschutzbeauftragter
 

Der Globale Datenschutzbeauftragte, der intern von beruflichen Aufträgen unabhängig ist, wirkt auf die Einhaltung nationaler und internationaler Datenschutzbestimmungen hin. Er ist verantwortlich für die Datenschutzrichtlinie und beaufsichtigt deren Einhaltung. Der Globale Datenschutzbeauftragte wird vom Vorstand von FPT Software ernannt.



Die Datenschutzvertreter unterrichten den Globalen Datenschutzbeauftragten unverzüglich über alle Datenschutzrisiken.



Jede betroffene Person kann sich jederzeit an den oder den zuständigen Globalen Datenschutzbeauftragten wenden, um Bedenken zu äußern, Fragen zu stellen, Informationen anzufordern oder Beschwerden in Bezug auf den Datenschutz oder die Datensicherheit vorzubringen. Auf Wunsch werden Anliegen und Beschwerden vertraulich behandelt.



Kann der betreffende Datenschutzvertreter eine Beschwerde nicht lösen oder einen Verstoß gegen die Datenschutzrichtlinie nicht beheben, ist unverzüglich der Globale Datenschutzbeauftragte zu konsultieren. Entscheidungen des Globalen Datenschutzbeauftragten zur Behebung von Datenschutzverstößen müssen von der Leitung des betreffenden Unternehmens bestätigt werden. Anfragen von Aufsichtsbehörden müssen immer dem Globalen Datenschutzbeauftragten gemeldet werden (siehe Template_DPO Job Description_v1.3.1).

 


Die Kontaktdaten des Globalen Datenschutzbeauftragten und der Mitarbeiter lauten wie folgt:


FPT Deutschland GmbH

Datenschutzbeauftragter, Frau Vy Huynh

Am Thyssenhaus 1-3 (Haus 3), 45128 Essen, Deutshland

E-mail: [email protected]

 
7. Zuständigkeiten und Disziplinarmaßnahmen
 

Die Führungskräfte von FPT Software, die Tochtergesellschaften und die juristischen Personen sind für die Datenverarbeitung in ihrem Zuständigkeitsbereich verantwortlich. Daher müssen sie sicherstellen, dass die gesetzlichen und in der Datenschutzrichtlinie enthaltenen Anforderungen an den Datenschutz erfüllt werden (z. B. nationale Meldepflichten). FSU-Leiter, OB-Leiter und Geschäftsführer einer juristischen Person sind dafür verantwortlich, dass organisatorische, personelle und technische Maßnahmen getroffen werden, um eine datenschutzkonforme Datenverarbeitung zu gewährleisten. Die Einhaltung dieser Anforderungen liegt in der Verantwortung der jeweiligen Mitarbeiter. Wenn externe Stellen Datenschutzkontrollen durchführen, muss der Globale Datenschutzbeauftragte unverzüglich informiert werden.

Die jeweiligen FSU-Leiter, OB-Leiter oder Geschäftsführer einer juristischen Person müssen den Globalen Datenschutzbeauftragten über den Namen ihres Datenschutzvertreters informieren. Die Datenschutzvertreter sind die Ansprechpartner vor Ort für den Datenschutz. Sie müssen Kontrollen durchführen und die Mitarbeiter mit dem Inhalt der Datenschutzrichtlinien vertraut machen. Das zuständige Management ist verpflichtet, den Globalen Datenschutzbeauftragten und die Datenschutzvertreter bei ihren Bemühungen zu unterstützen. FSUs, OBs oder juristische Personen müssen die Datenschutzvertreter rechtzeitig über neue Verarbeitungen von personenbezogenen Daten informieren. Bei Datenverarbeitungsvorhaben, die Risiken für die Persönlichkeitsrechte der betroffenen Personen mit sich bringen können, muss der Globale Datenschutzbeauftragte vor Beginn der Verarbeitung informiert werden. Dies gilt insbesondere für äußerst sensible personenbezogene Daten. Die Führungskräfte müssen sicherstellen, dass ihre Mitarbeiter ausreichend im Datenschutz geschult sind (jährliche Sensibilisierungsschulung mit Prüfung, erweiterte Schulung für PM, DM, BU-Leads).

Die unsachgemäße Verarbeitung personenbezogener Daten oder andere Verstöße gegen die Datenschutzgesetze können in vielen Ländern strafrechtlich verfolgt werden und Schadensersatzforderungen nach sich ziehen. Verstöße, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

Wenn Sie die Auswirkungen dieser Richtlinie nicht verstehen oder nicht wissen, wie sie auf Sie zutreffen, wenden Sie sich bitte telefonisch oder per E-Mail an den Datenschutzbeauftragter (Frau Vy Huynh, E-Mail: [email protected]).

 
8. Ergänzende Leitlinien und Dokumente
 

PDP-Handbuch V3.3

Policies:



Leitlinien:

Vorlagen:
  • Template_DS Consent Withdrawal Form_v1.2
  • Template_retention schedule_V1.2
  • Template_audit checklist short_V1.2
  • Template_internal competence matrix_V1.2
  • Template_privacy notice register_V1.2
  • Template_DP Job Description and Responsibilities_v1.3.1
  • Template_DPO Job Description_v1.3.1
  • Template_DS request_incident_compliant_appeal_register-DP_V1.3
  • Template_Rationale DPO_v1.2
  • Template_Parental Consent Withdrawal Form_v1.2
  • Template_Data Subject Right Request Form_v2.3
  • Template_Parental Consent Form_v1.2
  • Template_Data Subject Consent Form_v2.3
  • Template Personal Data Processing Inventory V2.6
  • Template Standard Contractual Clauses V2.3
  • Template Personal Data Protection Exhibit V1.5
  • Template risk management DPIA V3.3
  • Checklist Before Engagement V3.2
  • Template Data Processing Agreement V1.2
  • Template_Non Conformance Report_v1.1
  • Template_Internal Audit Report_v1.1
  • Template_Internal Audit Schedule_v1.1
  •  


Verfahren:

Aufzeichnungen:
  • Record_DP contacts_V1.2
  • Record_internal contracts_V1.2
  • Record_authorities_Key-Supplier_V1.2


Jeder Mitarbeiter von FPT Software kann diese Richtlinien und Vorlagen auf der Plattform QMS finden.

 

 
9. Ausnahmen
 

Jede Ausnahme muss vom Globalen Datenschutzbeauftragten geprüft und genehmigt werden und auch vom verantwortlichen Vorstandsmitglied von FPT Software (CFO)/Geschäftsführer eines Tochterunternehmens/einer juristischen Person genehmigt werden.

 
10. Appendix
 
10.1. Definition
 

 

Abkürzungen
Beschreibung
 

PII, Persönlich identifizierbare Informationen, personenbezogene Daten

Unter „personenbezogenen Daten“ versteht die EU-DSGVO (Artikel 4 Nr. 1) alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

 

Betroffene Person

EU-DSGVO (Artikel 4 Nr. 1), Betroffene Person bezieht sich auf jede natürliche Person, die direkt oder indirekt identifiziert werden kann.

 

Verantwortlicher

EU-DSGVO (Artikel 4 Nr. 7), Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet; sind der Zweck und die Mittel der Verarbeitung durch Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt, so können der Verantwortliche oder die spezifischen Kriterien für seine Benennung durch Rechtsvorschriften der Union oder der Mitgliedstaaten vorgesehen werden.

 

Auftragsverarbeiter

EU-DSGVO (Artikel 4 Nr. 8), Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person, die Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

 

Empfänger

EU-DSGVO (Artikel 4 Nr. 9), eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person, an die personenbezogene Daten weitergegeben werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht.

 

Dritter

EU-DSGVO (Artikel 4 Nr. 10), eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Person als die betroffene Person, der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter und Personen, die unter direkter Aufsicht des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten

 

DSB/GDSB

DSB/GDSBDPO/GDPODatenschutzbeauftragter/Globaler Datenschutzbeauftragter

 

DPIA

Datenschutzfolgenabschätzung (engl. Data Protection Impacted Assessment)

 

PIMS

Managementsystem für personenbezogene Daten (engl. Personal Information Management System)

 

EU

Europäische Union

 

 

 
10.2. Zugehörige Dokumente
 
Nein
Nein
Code
Name der Dokumente
 

1

1

EU-DSGVO

EU-Datenschutz-Grundverordnung

 

2

2

95/26/EC

EU-Datenschutzrichtlinie 95/46/EC

 

3

3

Privacy Shield

EU-U.S. und Swiss-U.S. Privacy Shield Frameworks, die vom U.S. Department of Commerce und der Europäischen Kommission und der Schweizer Verwaltung entwickelt wurden, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung der Datenschutzanforderungen bei der Übertragung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels zu bieten.

 

4

4

APPI

Gesetz über den Schutz personenbezogener Daten, Japan. Es trat am 30. Mai 2017 in Kraft.

 

5

5

PDPA

Gesetz zum Schutz personenbezogener Daten 2012 (engl. Personal Data Protection Act), Singapur

 

6

6

PDPO

Verordnung über personenbezogene Daten (Datenschutz) (engl. Personal Data (Privacy) Ordinance), Hongkong, 2012

 

7

7

PIPA

Südkoreas umfangreiches Gesetz zum Schutz personenbezogener Daten (PIPA, engl. Personal Information Protection Act) wurde am 30. September 2011 in Kraft gesetzt.

 

8

8

PIPEDA

Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (engl. Personal Information Protection and Electronic Documents Act), Kanada 2018

 

9

9

Privacy Act, APPs, CDR

Datenschutzgesetz Australien, einschließlich der australischen Datenschutzgrundsätze (engl. Australian Privacy Principles), Recht auf Verbraucherdaten (engl. Consumer Data Right)

 

10

10

HITRUST

Health Information Trust Alliance (CSF, Gemeinsamer Sicherheitsrahmen)

 

11

11

HIPAA

Health Insurance Portability and Accountability Act von 1996 (HIPAA), USA

 

12

12

PCI DSS

Payment Card Industry Data Security Standard, Mai 2018

 

13

13

CCPA

California Consumer Privacy Act of 2018, Cal. Civ. Code §§ 1798.100 et seq.

 

14

14

PDPL, UAR

Gesetzesdekret Nr. 45 von 2021

 

15

15

DPA Philippines

Republikgesetz 10173, Datenschutzgesetz 2012

 

16

16

PIPL

Gesetz zum Schutz personenbezogener Daten (engl. Personal Information Protection Law) der Volksrepublik China und damit zusammenhängende Gesetze und Vorschriften

 

17

17

PDPA Malaysia

Gesetz zum Schutz personenbezogener Daten 2010 (engl. Personal Data Protection Act), Malaysia

 

18

18

TISAX

Trusted Information Security Assessment Exchange

 

19

19

BS10012: 2017

British Standard Personal Information Management System

 

20

20

 

Vietnamesische Gesetze zum Schutz der Privatsphäre:
– Artikel 21 der Verfassung von 2013
– Artikel 38 des Zivilgesetzbuches 2015
– Artikel 125 des Strafgesetzbuches
– Klausel 2 von Artikel 19 des Arbeitsgesetzes-Erlass der vietnamesischen Regierung:
Nghị Định Quy Định Về Bảo Vệ Dữ Liệu Cá Nhân Noch nicht in Kraft

 

21

21

FPT Software Handbuch zum Schutz personenbezogener Daten

 

DP_ Handbook_Version_V3.3

 

 

 
10.3. Datenschutzgesetz, Vietnam, Überblick
 

In Vietnam gibt es kein einheitliches Datenschutzgesetz. Regelungen zum Datenschutz und zum Schutz der Privatsphäre finden sich in verschiedenen Rechtsinstrumenten. Das Recht auf Privatsphäre und das Recht auf Ansehen, Würde und Ehre sowie die Grundprinzipien dieser Rechte sind derzeit in der Verfassung 2013 („Verfassung“) und im Zivilgesetzbuch 2015 („Zivilgesetzbuch“) als unantastbar und gesetzlich geschützt verankert.
Die Leitprinzipien für die Erhebung, Speicherung, Verwendung, Verarbeitung, Offenlegung und Übermittlung personenbezogener Daten sind in den folgenden wichtigen Gesetzen und Dokumenten festgelegt:

  • Strafgesetzbuch 100/2015/QH13, verabschiedet von der Nationalversammlung am 27. November 2015
  • Gesetz Nr. 24/2018/QH14 über Cybersicherheit, verabschiedet von der Nationalversammlung am 12. Juni 2018 (“Cybersicherheitsgesetz”);
  • Gesetz Nr. 86/2015/QH13 über die Sicherheit von Netzwerken, verabschiedet von der Nationalversammlung am 19. November 2015; geändert durch Gesetz Nr. 35/2018/QH14 vom 20. November 2018 über die Änderung einiger Artikel zur Planung von 37 Gesetzen (“Gesetz über die Sicherheit von Netzwerken”);
  • Gesetz Nr. 59/2010/QH12 über den Schutz der Verbraucherrechte, verabschiedet von der Nationalversammlung am 17. November 2010; geändert durch das Gesetz Nr. 35/2018/QH14 vom 20. November 2018 über die Änderung einiger Artikel zur Planung von 37 Gesetzen (“CRPL”);
  • Gesetz Nr. 67/2006/QH11 über Informationstechnologie, verabschiedet von der Nationalversammlung am 29. Juni 2006; geändert durch Gesetz Nr. 21/2017/QH14 vom 14. November 2017 über Planung (“IT-Gesetz”);
  • Gesetz Nr. 51/2005/QH11 über E-Transaktionen, verabschiedet von der Nationalversammlung am 29. November 2005 (“E-Transaktionsgesetz”);
  • Erlass Nr. 85/2016/ND-CP vom 1. Juli 2016 über die Sicherheit von Informationssystemen durch Klassifizierung (“Erlass 85”);
  • Erlass Nr. 72/2013/ND-CP vom 15. Juli 2013 über die Verwaltung, Bereitstellung und Nutzung von Internetdiensten und Online-Informationen, geändert durch Erlass Nr. 27/2018/ND-CP vom 1. März 2018 und Erlass Nr. 150/2018/ND-CP vom 7. November 2018 (“Erlass 72”);
  • Erlass Nr. 52/2013/ND-CP vom 16. Mai 2013, geändert durch Erlass Nr. 08/2018/ND-CP vom 15. Januar 2018 über die Änderung bestimmter Dekrete in Bezug auf die Unternehmensbedingungen unter staatlicher Verwaltung des Ministeriums für Industrie und Handel und Erlass Nr. 85/2021/ND-CP vom 25. September 2021 (“Erlass 52”);
  • Erlass Nr. 15/2020/ND-CP der Regierung vom 3. Februar 2020 über Sanktionen für administrative Verstöße gegen die Vorschriften über Postdienste, Telekommunikation, Funkfrequenzen, Informationstechnologie und elektronische Transaktionen (“Erlass 15”);
  • Rundschreiben Nr. 03/2017/TT-BTTTT des Ministeriums für Information und Kommunikation vom 24. April 2017 über Leitlinien für den Erlass 85 (“Rundschreiben 03”);
  • Rundschreiben Nr. 20/2017/TT-BTTTT vom 12. September 2017 des Ministeriums für Information und Kommunikation, das Vorschriften zur landesweiten Koordinierung und Reaktion auf Informationssicherheitsvorfälle enthält (“Rundschreiben 20”);
  • Rundschreiben Nr. 38/2016/TT-BTTTT vom 26. Dezember 2016 des Ministeriums für Information und Kommunikation, das die grenzüberschreitende Bereitstellung öffentlicher Informationen regelt (“Rundschreiben 38”);
  • Rundschreiben Nr. 24/2015/TT-BTTTT vom 18. August 2015 des Ministeriums für Information und Kommunikation, das die Verwaltung und Nutzung von Internetressourcen regelt, geändert durch Rundschreiben Nr. 06/2019/TT-BTTTT vom 19. Juli 2019 (“Rundschreiben 25”); und
  • Beschluss Nr. 05/2017/QD-TTg des Premierministers vom 16. März 2017 über Notfallpläne zur Gewährleistung der nationalen Cyber-Informationssicherheit (“Beschluss 05” ).

Die Anwendbarkeit der Rechtsdokumente hängt vom jeweiligen Sachkontext ab, z. B. können Unternehmen im Banken- und Finanzsektor, im Bildungswesen und im Gesundheitswesen speziellen Datenschutzbestimmungen unterliegen, ganz zu schweigen von den Bestimmungen über personenbezogene Daten von Arbeitnehmern, die im Arbeitsgesetzbuch 2019 (“Arbeitsgesetzbuch”) enthalten sind.


Die wichtigsten vietnamesischen Rechtsdokumente, die den Datenschutz regeln, sind das Cybersicherheitsgesetz und das Gesetz über die Sicherheit von Netzwerken. Das vietnamesische Cybersicherheitsgesetz hat Ähnlichkeiten mit den Cybersicherheitsgesetzen anderer Länder, die sich an der Datenschutz-Grundverordnung der EU orientieren, und mit dem chinesischen Cybersicherheitsgesetz aus dem Jahr 2017. Das Gesetz zielt darauf ab, die Regierung in die Lage zu versetzen, den Informationsfluss zu kontrollieren. Das Gesetz über die Sicherheit von Netzwerken setzt die Datenschutzrechte der betroffenen Personen durch.


Der Entwurf einer Verordnung, die eine Reihe von Artikeln des Cybersicherheitsgesetzes (“Entwurf der Cybersicherheitsverordnung”) detailliert ausführt, insbesondere die Umsetzungsrichtlinien für die Anforderungen an die Datenlokalisierung, sowie der Entwurf einer Verordnung, die die Reihenfolge und die Verfahren für die Anwendung einer Reihe von Maßnahmen zur Gewährleistung der Cybersicherheit detailliert ausführt, und der Entwurf eines Beschlusses des Premierministers, der eine Liste von Informationssystemen, die für die nationale Sicherheit wichtig sind, verkündet, werden derzeit vom Ministerium für öffentliche Sicherheit (“MPS”) in Abstimmung mit anderen relevanten Ministerien, ministeriellen Agenturen und Gremien vorbereitet.



Das MPS hat einen Erlass über den Schutz personenbezogener Daten (“PDPD-Entwurf”) ausgearbeitet, mit dem alle Datenschutzgesetze und -verordnungen in einem umfassenden Datenschutzgesetz zusammengefasst und die bestehenden Vorschriften erheblich ergänzt und verbessert werden sollen. Der PDPD-Entwurf wurde im Februar 2021 zur öffentlichen Stellungnahme freigegeben und sollte ursprünglich bis Dezember 2021 in Kraft treten. Der Abschluss des Prozesses nimmt viel mehr Zeit in Anspruch, als das MPS zunächst angenommen hatte. Der PDPD-Entwurf wird voraussichtlich Ende 2022 fertiggestellt und in Kraft treten.

 
This website uses cookies to improve user experience. By using our website you consent to
all cookies in accordance with our Cookie Policy. Privacy Statement | Save Preferences
Functional
Always Active
Accept