Landis+Gyr | Globale Datenschutzrichtlinie
INHALTSVERZEICHNIS
1| Einleitung
2| Befolgung von Gesetzen
3| Erhebung und Verarbeitung personenbezogener Daten
3.1 Erhobene personenbezogene Daten
3.2 Zwecke der Verarbeitung und Rechtsgrundlage
3.3 Aufbewahrung personenbezogener Daten
3.4 Offenlegung personenbezogener Daten
3.5 Übermittlung personenbezogener Daten
3.6 Sicherheit personenbezogener Daten
4| Datenschutzrechte in Bezug auf personenbezogene Daten
5| Datenschutzrechte in Kalifornien
6| Spezifische Anforderungen für China
7| Aktualisierungen dieser Richtlinie
8| So erreichen Sie uns
1| Einleitung
Die Landis+Gyr Group AG ist nach Schweizer Recht gegründet, hat ihren eingetragenen Sitz in der Alten Steinhauserstrasse 18, 6330 Cham, Schweiz, ist über ihre Tochtergesellschaften weltweit tätig (zusammen als das „Unternehmen“ bezeichnet) und kann als Datenverantwortlicher oder Datenverarbeiter fungieren.
Das Unternehmen erhebt und verarbeitet personenbezogene Daten im täglichen Geschäftsbetrieb. Diese globale Datenschutzrichtlinie („Richtlinie“) wurde erstellt und implementiert, um die Praktiken des Unternehmens und die relevanten Datenschutzprinzipien für den Schutz personenbezogener Daten während der Verarbeitung personenbezogener Daten seiner Kunden, Auftragnehmer und anderer Geschäftspartner („betroffene Personen“) zu beschreiben.
Für die Zwecke des Geltungsbereichs dieser Richtlinie bezeichnet das Unternehmen die Landis+Gyr Group AG und ihre verbundenen Unternehmen („verbundene Unternehmen“), die alle als Teil der Konzerngesellschaften betrachtet werden.
„Anwendbares Recht“ bezieht sich auf das relevante Landesdatenschutzgesetz oder die geltende Datenschutzverordnung.
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;
„Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, der/die an personenbezogenen Daten oder an Gruppen personenbezogener Daten durchgeführt wird, unabhängig davon, ob dies automatisiert erfolgt oder nicht, wie z. B. Erhebung, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Abfrage, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Beschränkung, Löschung oder Vernichtung.
2| Befolgung von Gesetzen
Das Unternehmen ist ein weltweit führender Anbieter von Produkten für intelligente Netze und intelligente Verbrauchsmessung und damit verbundenen Dienstleistungen und strebt danach, ein guter Unternehmensbürger zu sein. Das Unternehmen erkennt die relevanten Datenschutzrechte an und hält sich an geltendes Recht. Bestimmte Anforderungen können je nach geltendem Recht von einem verbundenen Unternehmen zu einem anderen variieren. Diese Richtlinie stellt eine globale Richtlinie dar, zu der sich das Unternehmen verpflichtet hat, und ist ein integraler Bestandteil der internen Verhaltenskodizes des Unternehmens.
Das Unternehmen verpflichtet sich zur Einhaltung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) („DSGVO“), EU-Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation, Datenschutz-Grundverordnung des Vereinigten Königreichs (Verordnung (EU) (2016/679) („DSGVO des Vereinigten Königreichs“) und des Datenschutzgesetzes 2018, des schweizerischen Bundesgesetzes über den Datenschutz 235.1 vom 25. September 2020, des California Consumer Privacy Act von 2018 („CCPA“), in der Fassung des California Privacy Rights Act von 2020 („CPPA“), des Gesetzes zum Schutz personenbezogener Daten der Volksrepublik China („PIPL“), des brasilianischen Gesetzes Nr. 13.709 vom 14. August 2018 ((allgemeines Gesetz zum Schutz personenbezogener Daten in der durch das Gesetz Nr. 13.853 vom 8. Juli 2019 geänderten Fassung) („LGPD“), des indischen Gesetzes zum Schutz digitaler personenbezogener Daten und aller anderen relevanten Datenschutzbestimmungen nach geltendem Recht in Ländern, in denen das Unternehmen tätig ist.
3| Erhebung und Verarbeitung personenbezogener Daten
3.1 Erhobene personenbezogene Daten
Diese Richtlinie gilt für die Kunden des Unternehmens (einschließlich der Endnutzer seiner Kunden), Lieferanten und andere Geschäftspartner. Das Unternehmen kann die folgenden Kategorien personenbezogener Daten verarbeiten:
- Identitätsdaten: Nachname, Vorname, Geschlecht, Nationalität und Geburtsdatum
- Daten in Bezug auf das gekaufte Produkt: Modell, Seriennummer, Nutzungsdaten
- Daten in Bezug auf die erbrachte Dienstleistung, einschließlich Messdaten
- Daten in Bezug auf das Feedback, das ein Partner gibt
- Messdaten, einschließlich Stromverbrauch
- Personenbezogene Daten durch Rechnungsstellung und Kundenbeziehung
3.2 Zwecke der Verarbeitung und Rechtsgrundlage
Personenbezogene Daten können auf der Rechtsgrundlage der Ausführung eines Vertrags oder vorvertraglicher Maßnahmen verarbeitet werden, die Folgendes umfassen:
- Erfüllung der vertraglichen Verpflichtungen des Unternehmens
- Erbringung von After-Sales-Dienstleistungen nach dem Kauf eines Produkts durch einen Kunden
- Bearbeitung von Kundenanfragen und Service-Support
- Schadenmanagement
- Rechnungsstellung und Abrechnungsmanagement
Personenbezogene Daten können auch auf der Grundlage der berechtigten Interessen des Unternehmens verarbeitet werden, insbesondere um seine Produkte und Dienstleistungen, die Kundenerfahrung und interne Prozesse zu verbessern. Die Verarbeitung umfasst:
- Marketingzwecke (z. B. Versand von Newslettern oder Updates) im Rahmen unserer Geschäftsbeziehung gemäß geltendem Recht
- Interaktion mit der betroffenen Person, z. B. für Konto- und Kundenmanagementzwecke
- Durchführung statistischer/Nutzungsanalysen
- Durchführung interner administrativer Funktionen
- Bearbeitung von Kundenanfragen
- Verbesserung der Sicherheit hinsichtlich des Schutzes personenbezogener Daten und Verhinderung betrügerischer Aktivitäten
- Kundenbeziehungsmanagement mit betroffenen Personen
- Profiling zur besseren Verwaltung von Kundenbeziehungen, nicht Gegenstand automatisierter Entscheidungsfindung
- Bewertung der von unseren Produkten erfassten Daten
- Videoüberwachung auf dem Gelände des Unternehmens zu Sicherheitszwecken
Das Unternehmen kann je nach geltendem Recht personenbezogene Daten auch auf der Grundlage der Erfüllung gesetzlicher Verpflichtungen für die Sorgfaltspflicht gegenüber Ihren Kunden verarbeiten. Im Falle von Marketingmaßnahmen an potenzielle Kunden, die vom Unternehmen oder seinen Partnern durchgeführt werden können, holt das Unternehmen zunächst die Einwilligung der betroffenen Person ein und stellt sicher, dass Vorkehrungen getroffen werden, um solche Marketingmaßnahmen jederzeit abzulehnen.
3.3 Aufbewahrung personenbezogener Daten
Personenbezogene Daten werden für die Dauer der Verarbeitung und in Übereinstimmung mit der Datenaufbewahrungsrichtlinie des Unternehmens und dem zugehörigen Datenaufbewahrungsplan aufbewahrt. Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung personenbezogener Daten im Sinne der Datenaufbewahrungsrichtlinie und des Datenaufbewahrungsplans erreicht wurde, können aber gegebenenfalls länger aufbewahrt werden, um gesetzlichen Verpflichtungen oder anderen geltenden Gesetzen nachzukommen oder die Rechte des Unternehmens zu schützen oder auszuüben, soweit dies nach geltendem Recht zulässig ist.
Am Ende der Aufbewahrungsfrist und je nach Art der personenbezogenen Daten kann das Unternehmen personenbezogene Daten für einen begrenzten Zeitraum mit eingeschränktem Zugriff archivieren, um geltendes Recht einzuhalten.
Die Aufbewahrungsfrist kann je nach Land, in dem die betroffene Person ihren Wohnsitz hat, und nach geltendem Recht variieren.
3.4 Offenlegung personenbezogener Daten
Personenbezogene Daten können an andere verbundene Unternehmen, Regierungsbehörden und Dritte weitergegeben werden, um die vertraglichen Verpflichtungen des Unternehmens zu erfüllen, aus legitimen geschäftlichen Gründen oder wenn dies anderweitig nach geltendem Recht zulässig oder erforderlich ist.
3.5 Übermittlung personenbezogener Daten
Die Verwendung von Dritten kann die Übermittlung personenbezogener Daten über Landesgrenzen hinweg beinhalten. Darüber hinaus können Geschäftsprozesse die internationale Übermittlung personenbezogener Daten innerhalb des Unternehmens erfordern.
Wenn personenbezogene Daten innerhalb der EU/des EWR verarbeitet werden und wenn personenbezogene Daten an Dritte oder an ein Land weitergegeben werden, das nach geltendem Recht kein ausreichendes Schutzniveau bietet, stellt das Unternehmen bei Bedarf sicher, dass es:
- verbindliche interne Datenschutzvorschriften für konzerninterne Datenübertragungen übernimmt;
- Standardvertragsklauseln (Standard Contractual Clauses, SCC) wie von der EU-Kommission zugelassen oder von einer anderen Aufsichtsbehörde nach geltendem Recht genehmigt umsetzt;
- die Registrierung zur Selbstauskunft gemäß dem EU-US-Datenschutzrahmenabkommen abschließt;
- ergänzende Maßnahmen, wie z. B. eine Angemessenheitsbewertung, trifft oder einen Nachtrag zur Datenverarbeitung erlässt.
Für personenbezogene Daten, die nicht innerhalb der EU/des EWR verarbeitet werden, und für den Fall, dass personenbezogene Daten an Dritte weitergegeben werden, die sich außerhalb der Gerichtsbarkeit der betroffenen Person befinden, stellt das Unternehmen sicher, dass es die erforderlichen Einwilligungen einholt, die notwendigen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten trifft und/oder die Genehmigung der Aufsichtsbehörde erhält, soweit dies erforderlich ist. Diese Mechanismen können je nach Land und geltendem Recht unterschiedlich sein.
3.6 Sicherheit personenbezogener Daten
Das Unternehmen implementiert Sicherheitsmaßnahmen, um personenbezogene Daten vor Sicherheitsvorfällen und unbefugter Offenlegung zu schützen. Zu diesen Sicherheitsmaßnahmen gehören unter anderem Zugriffskontrollen, Passwortschutz, Verschlüsselung, Sicherheitsbewertungen und Audits.
Im Falle eines Datenschutzverstoßes verfügt das Unternehmen über Verfahren zur:
- Untersuchung und Analyse einer Datenschutzverletzung, um deren Konsequenzen auf die Rechte und Freiheiten der betroffenen Personen zu bestimmen;
- Benachrichtigung der zuständigen Behörde und, falls erforderlich, der betroffenen Personen, wenn die Rechte und Freiheiten der betroffenen Personen gefährdet sind;
- Implementierung notwendiger Maßnahmen zur Behebung und Minderung der Datenschutzverletzung;
- Sicherstellung der Rückverfolgbarkeit des Vorfalls.
Entsprechende Maßnahmen können je nach geltendem Recht unterschiedlich sein.
4| Datenschutzrechte in Bezug auf personenbezogene Daten
Gemäß geltendem Recht hat jede Person, deren personenbezogene Daten vom Unternehmen verarbeitet werden, Rechte in Bezug auf ihre Daten, einschließlich:
- Recht auf Zugang
- Recht auf Berichtigung
- Recht auf Löschung, vorbehaltlich behördlicher Beschränkungen
- Widerspruch oder Einschränkung der Verarbeitung
- Übertragbarkeit personenbezogener Daten
- Einspruch gegen automatisierte individuelle Entscheidungsfindung
- Bereitstellung von Anweisungen zur posthumen Verarbeitung personenbezogener Daten (je nach geltendem Recht)
Die Ausübung dieser Rechte ist nicht absolut und unterliegt den Beschränkungen, die durch geltendes Recht vorgesehen sind.
Je nach geltendem Recht kann die betroffene Person das Recht haben, eine Beschwerde bei der zuständigen Aufsichtsbehörde in ihrer Gerichtsbarkeit einzureichen, wenn sie mit der Antwort des Unternehmens nicht zufrieden ist.
Um die oben genannten Rechte auszuüben, kann die betroffene Person das Unternehmen wie im Abschnitt „8| So erreichen Sie uns“ beschrieben kontaktieren.
5| Datenschutzrechte in Kalifornien
Das kalifornische Zivilgesetzbuch, Abschnitt 1798, erlaubt es Einwohnern Kaliforniens, Unternehmen, mit denen sie eine etablierte Geschäftsbeziehung unterhalten, aufzufordern, bestimmte Informationen über die Weitergabe personenbezogener Daten an Dritte durch das Unternehmen zu Direktmarketingzwecken bereitzustellen. Das Unternehmen gibt keine personenbezogenen Daten kalifornischer Verbraucher ohne Zustimmung an Dritte für Marketingzwecke weiter.
6| Spezifische Anforderungen für China
Dieser Abschnitt gilt, wenn sich personenbezogene Daten innerhalb der Grenzen der Volksrepublik China (VRC) befinden oder wenn personenbezogene Daten von einem der in der VRC ansässigen verbundenen Unternehmen des Unternehmens verarbeitet werden.
Gemäß Artikel 13 des PIPL können personenbezogene Daten für die folgenden Zwecke erhoben werden:
- basierend auf der Einwilligung einer Person;
- für die Erfüllung von Verträgen;
- für legitime Geschäftsinteressen; oder
- zur Erfüllung gesetzlicher Aufgaben und Verantwortlichkeiten oder gesetzlicher Verpflichtungen.
Gemäß den in Artikel 23 des PIPL dargelegten Anforderungen und den in Abschnitt 4 genannten Inhalten erfolgt die Übermittlung und Weitergabe personenbezogener Daten an Dritte nicht ohne (1) ggf. die spezifische Einwilligung der betroffenen Person oder (2) die Erfüllung der gesetzlichen Pflichten nach geltendem Recht.
Für geschäftliche Zwecke kann es erforderlich sein, dass das Unternehmen personenbezogene Daten außerhalb der VRC übermittelt und verarbeitet.
Basierend auf den in dieser Richtlinie vorgeschriebenen Zwecken können personenbezogene Daten zur Verarbeitung in ein Land oder eine Region außerhalb des Wohnsitzes der betroffenen Person übermittelt werden. Zu diesem Zeitpunkt wird das Unternehmen die Sicherheit der personenbezogenen Daten in Übereinstimmung mit dem geltenden Recht schützen, einschließlich, aber nicht beschränkt auf die Implementierung von Zugriffskontrollen, Passwörtern, Verschlüsselungsstandards, strengen Fristen für Aufbewahrungsfristen, Protokollierungsmechanismen und regelmäßigen Sicherheitsbewertungen.
Das Unternehmen wird die betroffene Person gemäß Artikel 39 des PIPL vor der Übermittlung personenbezogener Daten außerhalb der VR China vollständig über die grenzüberschreitende Datenübertragung informieren und eine Einwilligung einholen, wobei die betroffene Person über Folgendes informiert wird: den Namen des ausgehenden Empfängers, die Kontaktinformationen, den Zweck der Verarbeitung, die Art der Verarbeitung, die Art der personenbezogenen Daten, und die betroffene Person wird an die Methoden und Verfahren zur Ausübung der Rechte gemäß dem PIPL erinnert
Soweit erforderlich, führt das Unternehmen eine Risikobewertung für die grenzüberschreitende Datenübertragung gemäß geltendem Recht durch, wenn personenbezogene Daten außerhalb der VRC übermittelt werden.
7| Aktualisierungen dieser Richtlinie
Das Unternehmen muss diese Richtlinie möglicherweise aktualisieren, um neue regulatorische Anforderungen zu erfüllen. Eine aktualisierte Version dieser Richtlinie wird über einen geeigneten Kanal zur Verfügung gestellt und gilt nur für Daten, die nach ihrem Inkrafttreten erfasst und verarbeitet werden.
8| So erreichen Sie uns
Bei Bedenken zu dieser Richtlinie oder zur Ausübung der Rechte von betroffenen Personen wenden Sie sich bitte an den Datenschutzbeauftragten des Unternehmens unter der folgenden Adresse: Landis+Gyr AG, Alte Steinhauserstrasse 18, 6330 Cham, Schweiz, oder durch Ausfüllen dieses Formulars.