Verbindliche unternehmensinterne Regelungen (Binding Corporate Rules)/ - axa-contento-118412.eu
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
AXA Gruppe
Verbindliche unternehmensinterne Regelungen
(Binding Corporate Rules)/
Hintergrund «AXA Gesellschaften» heisst AXA, Société Anonyme, mit
einem Vorstand mit Hauptsitz in 25, avenue Matignon,
Die AXA Gruppe hat sich der vertraulichen Behandlung 75008 Paris, eingetragen im Handelsregister von Paris
von Daten, die sie im Rahmen ihrer Geschäftstätigkeiten unter der Nummer 572 093 920; und (I) jede andere Ge-
erhält sowie der Einhaltung der anwendbaren Gesetze sellschaft, die von der AXA beherrscht wird bzw. die AXA
und Vorschriften bezüglich der Behandlung von personen- beherrscht, wobei eine Gesellschaft dann als beherr-
bezogenen und besonderen Arten personenbezogener schende Gesellschaft einer anderen gilt, wenn: (a) sie di-
Daten verpflichtet. rekt oder indirekt einen Teil des Kapitals hält, der sie zur
Mehrheit der Stimmrechte bei Hauptversammlungen der
Die AXA Gruppe hat eine globale Datenschutz- Aktionäre dieser Gesellschaft berechtigt; (b) sie die Mehr-
Organisation / Governance eingeführt mit (I) einem vom heit der Stimmrechte an dieser Gesellschaft nur aufgrund
Management Committee beschlossenen Datenschutz-Go- einer mit anderen Gesellschaftern oder Aktionären ge-
vernancemodell, (II) einem Gruppen-Datenschutzbeauf- schlossenen Vereinbarung hält, die nicht den Interessen
tragten, (III) einem Gruppen-Datenschutz-Steuerungsaus- der Gesellschaft widerspricht; (c) sie de facto, durch
schuss, (IV) einem weltweiten Netzwerk an lokalen Stimmrechte, die sie hält, über die Entscheidungen wäh-
Datenschutzbeauftragten die vom Gruppen-Datenschutz- rend der Hauptversammlungen der Aktionäre dieser Ge-
beauftragten koordiniert werden, und (V) einer Gruppen- sellschaft bestimmt; (d) auf jeden Fall, wenn sie direkt
Datenschutzrichtlinie (liegt bisher als Entwurf vor – noch oder indirekt einen Anteil an Stimmrechten hält, der grös-
nicht fertiggestellt). ser ist als 40 % und wenn kein anderer Gesellschafter
oder Aktionär einen Anteil hält, der grösser ist als ihr ei-
Die AXA-Gruppe hat beschlossen, verbindliche unterneh- gener; (II) jede wirtschaftliche Interessengruppe, bei der
mensinterne Regelungen (Binding Corporate Rules – sich AXA bzw. eine oder mehrere der AXA Gesellschaften
«BCR») einzuführen, um angemessene Sicherheitsmass- an mindestens 50% der Betriebskosten beteiligt; (III) in
nahmen einzurichten, damit sichergestellt ist, dass den Fällen, wo durch ein auf eine Gesellschaft anwend-
personenbezogene Daten geschützt sind, während sie in- bares Gesetz die Stimmrechte oder die Beherrschungs-
nerhalb der AXA Gruppe von einer AXA Gesellschaft mit verhältnisse eingeschränkt werden (wie hier oben defi-
Sitz innerhalb des geregelten Zuständigkeitsbereiches niert), wird diese Gesellschaft als Gesellschaft der AXA
(wie im folgenden Artikel I definiert) an eine AXA Gesell- Gruppe betrachtet, wenn die Stimmrechte an Hauptver-
schaft mit Sitz in einem anderen geregelten Zuständig- sammlungen oder die Beherrschung, die eine Gesell-
keitsbereich übermittelt werden, wo diese Übermittlung schaft der AXA Gruppe ausübt, die vom besagten an-
und jede spätere Weiterübermittlung dieser Daten nicht wendbaren Gesetz festgelegte Höchstgrenze erreichen;
anderweitig durch das anwendbare Recht erlaubt ist. und (IV) alle AXA Gesellschaften, welche die «AXA Grup-
pe» bilden.
Artikel I – Definitionen «AXA-Mitarbeiter» sind alle Mitarbeiter der AXA-Gesell-
schaften einschliesslich leitende Angestellte, Auszubil-
Soweit sie in den verbindlichen unternehmensinternen dender, Praktikanten und Personen mit vergleichbarem
Regelungen, ihren Anhängen und der gruppeninternen Status.
Vereinbarung (Intra Group Agreement) verwendet werden,
haben folgende Begriffe und Ausdrücke, sofern mit einem «AXA Gruppe» bedeutet insgesamt die AXA SA und alle
Grossbuchstaben geschrieben, die unten aufgeführten AXA Gesellschaften.
Bedeutungen:
«BCR AXA Gesellschaften» sind alle AXA Gesellschaften,
«Artikel-29-Datenschutzgruppe» besteht aus Repräsen die eine gruppeninterne Vereinbarung (IGA) in ihrer Eigen-
tanten der Datenschutzbehörden aus jedem EU-Mitglieds- schaft entweder als Datenexporteur oder als Datenimpor-
staat, dem Europäischen Datenschutzbeauftragten und teur unterzeichnet haben.
der Europäischen Kommission. Die Arbeitsgruppe ist un-
abhängig und wird in beratender Funktion tätig. «BCR AXA Hubs» bedeutet die wesentlichen transversa-
len und /oder lokalen AXA Gesellschaften bzw. andere
«AXA BCR Steuerungsausschuss» ist ein Ausschuss, der AXA Organisationen, die sich in Zusammenarbeit mit dem
speziell den BCR gewidmet ist, bestehend aus Repräsen- GDPO an der Umsetzung der BCR zum Schutz der perso-
tanten der AXA Gruppengeschäftsleitung und Daten- nenbezogenen Daten innerhalb der AXA-Gruppe sowie in
schutzbeauftragten aus ausgewählten BCR AXA Gesell- Bezug auf den Transfer von personenbezogenen Daten
schaften. aus Mitgliedstaaten des Europäischen Wirtschaftsraums
(«EWR») innerhalb und ausserhalb des EWRs beteiligen.
Binding Corporate Rules – AXA Group – Version 2013 Seite 1 /12«Binding Corporate Rules» oder «BCR» meint die vorlie- land, Finnland, Frankreich, Deutschland, Griechenland,
genden verbindlichen, unternehmensinternen Rege- Ungarn, Island, Irland, Italien, Lettland, Liechtenstein,
lungen, die von und zwischen AXA SA sowie allen BCR Litauen, Luxemburg, Malta, die Niederlande, Norwegen,
AXA Gesellschaften abgeschlossen werden. Polen, Portugal, Rumänien, Slowakien, Slowenien,
Spanien, Schweden und das Vereinigten Königreich.
«Daten-Controller» bedeutet eine BCR AXA Gesellschaft,
die allein oder mit anderen zusammen die Zwecke, Be «EWR-Datenexporteur» meint jeden in der EWR ansäs-
dingungen und Mittel der Verarbeitung von personen sigen Daten-Controller oder Datenverarbeiter, der perso-
bezogenen Daten bestimmt. nenbezogene Daten im Namen eines Daten-Controllers
verarbeitet, der die personenbezogenen Daten nach aus-
«Datenexporteur» meint jeden Daten-Controller oder serhalb des EWR (ob über einen Datenverarbeiter oder
Datenverarbeiter innerhalb des geregelten Zuständig- einen dritten Datenverarbeiter) übermittelt und der eine
keitsbereiches, der personenbezogene Daten im Namen IGA unterzeichnet hat.
eines Daten-Controllers verarbeitet, der personenbezo-
gene Daten nach ausserhalb des geregelten Zuständig- «Betroffene Person/EWR» bedeutet eine betroffene
keitsbereiches, wo er ansässig ist, übermittelt und eine Person, die zum Zeitpunkt, als ihre personenbezogenen
IGA unterzeichnet hat. Daten erhoben wurden, innerhalb des EWRs ansässig
war.
«Datenimporteur» meint jeden Daten-Controller oder
Datenverarbeiter, der personenbezogene Daten im «EU-Standardvertragsklauseln» sind die standardisierten
Namen eines Daten-Controllers verarbeitet, der die per vertraglichen Klauseln, die von der Europäischen Kommis-
sonenbezogenen Daten von einem Datenexporteur im sion herausgegeben werden und welche ausreichende
Rahmen einer relevanten Übermittlung oder einer Weiter- Schutzmassnahmen anbieten, wie von der Europäischen
übermittlung erhält und der eine gruppeninterne Verein- Verordnung für den Transfer von personenbezogenen
barung unterzeichnet hat. Daten zu dritten Ländern gefordert, welche kein angemes-
senes Schutzniveau für den Datenschutz entsprechend
«Datenschutzbeauftragter» («Data Privacy Officer» oder der Europäischen Kommission haben.
«DPO») bedeutet die Person innerhalb einer AXA Gesell-
schaft, die jeweils für die Koordination mit dem GDPO und «Europäische Verordnung» bedeutet die gegenwärtigen
die Sicherstellung der Einhaltung der BCR sowie der an- und künftigen anwendbaren Regelungen und Verord-
wendbaren lokalen rechtlichen Bestimmungen und be- nungen in Bezug auf Datenschutz, die in den Ländern des
hördlichen Regelungen seitens der AXA Gesellschaft zu- EWRs gültig sind.
ständig ist.
«Gruppendatenschutzbeauftragter» («Group Data Priva-
«Datenverarbeiter» bedeutet eine BCR AXA Gesellschaft, cy Officer» oder «GDPO») bedeutet die Person, die für die
die personenbezogene Daten im Namen eines Daten- Gesamtkontrolle dieser verbindlichen unternehmensinter-
Controllers verarbeitet. nen Regelungen (BCR) durch ein Netzwerk an lokalen Da-
tenschutzbeauftragten zuständig ist.
«Datenschutzbehörde» bedeutet die administrative Be-
hörde, die in jedem Land, in dem die AXA Gruppe präsent «Gruppeninterne Vereinbarung» («Intra Group Agree-
ist, offiziell für Datenschutz zuständig ist (in Frankreich ment» oder «IGA») bedeutet die als Anhang 1 beigefügte
zum Beispiel die Commission Nationale de l’Informatique BCR-Vereinbarung und /oder jede Annahmeerklärung der
et des Libertés; in Spanien, die Agencia Espanola de BCR der AXA Gruppe, die von BCR AXA Gesellschaften un-
Proteccion de Datos, usw.). Zur Klarstellung: der Begriff terzeichnet wurden oder werden.
»Datenschutzbehörde» schliesst auch jeden Ersatz bzw.
Nachfolger einer Datenschutzbehörde ein. «Weiterübermittlung» meint die Weiterübermittlung von
zuvor exportierten personenbezogenen Daten entweder
«Betroffene Person» bedeutet jede natürliche Person, aufgrund einer relevanten Übermittlung oder einer Über-
die sich direkt oder indirekt mit Mitteln, die mit hinrei- mittlung in der US Safe-Harbor-Regelung, jeweils:
chender Wahrscheinlichkeit von einer natürlichen oder (I) zu einer anderen BCR AXA Gesellschaft, die in einem
juristischen Person verwendet werden, identifizieren Gebiet ist, welches (doch für den Betrieb der BCR)
lässt, insbesondere durch Bezugnahme auf eine Identi kein angemessenes Schutzniveau bietet, wie von
fikationsnummer, Standortdaten, Online-Identifikations- dem Datenschutzgesetz des relevanten geregelten
daten oder auf einen Faktor bzw. auf Faktoren, die für Zuständigkeitsbereiches am Ursprung der relevanten
die physische, physiologische, genetische, geistige, wirt- Übermittlung gefordert,
schaftliche, kulturelle oder soziale Identität dieser Person (II) die nicht unter eine der zulässigen Ausnahmen oder
spezifisch sind. Bedingungen im Datenschutzrecht des jeweiligen
geregelten Zuständigkeitsbereichs fallen (was die
«EWR» oder «Europäischer Wirtschaftsraum» bedeutet Zustimmung der betroffenen Person, bestehenden
den europäischen Wirtschaftsraum, der die Länder der vertraglichen Schutz, die Eintragung in die Safe-
Europäischen Union und die Mitgliedstaaten der EFTA Harbor-Regelung und/oder Einrichtung in einem von
(European Free Trade Association = Europäische Freihan- der Europäischen Kommission anerkannten Land
delsassoziation) vereint. Ab 2012 umfasst er Österreich, nach Art. 25 (6) der Richtlinie 95/46/EU, enthalten
Belgien, Bulgarien, Zypern, Tschechien, Dänemark, Est- kann).
Binding Corporate Rules – AXA Group – Version 2013 Seite 2 /12«Personenbezogene Daten» bedeutet alle Daten bezüg- Artikel II – Zweck
lich einer individuellen natürlichen Person, die entweder
anhand dieser Daten oder anhand dieser Daten zusam- Zweck der BCR ist es, ein angemessenes Schutzniveau
men mit weiteren Informationen identifizierbar ist. für die Personenbezogenen Daten, die aufgrund einer Re-
levanten Übermittlung oder einer Weiterübermittlung von
«Verarbeitung» ist jede im Zusammenhang mit Daten un- einer im Geregelten Zuständigkeitsbereich ansässigen
ternommene Handlung, wie z. B. Erheben, Registrieren, AXA Gesellschaft zu einer in einem anderen Zuständig-
Kopieren, Vervielfältigen, Übertragen, Suchen, Sortieren, keitsbereich sitzenden AXA Gesellschaft sicherzustellen.
Speichern, Trennen, Kreuzen, Zusammenführen, Modifi-
zieren, Bereitstellen, Verwenden, Veröffentlichen, Verbrei-
ten, Verwahren, Organisieren, Speichern, Anpassen, Abru- Artikel III – Geltungsbereich
fen, Offenbaren durch Übermitteln oder sonstiges
Zugänglich-Machen, Verstecken, Bewegen und sonstiges 1. Geographischer Geltungsbereich
Unzugänglich-Machen sowie die Durchführung anderer Die AXA Gruppe ist in mehr als 50 Ländern präsent und
Handlungen im Zusammenhang mit den Daten, egal, ob mehr als 150 000 AXA-Mitarbeiter und Vertriebskräfte
die Handlung automatisch, halb-automatisch oder auf sind verpflichtet Millionen von Kunden zu betreuen.
sonstige Weise durchgeführt wird.
Die vorliegenden BCR gelten ausschliesslich für die Über-
«Geregelter Zuständigkeitsbereich» meint jeden Zustän- mittlung Personenbezogener Daten von innerhalb des Ge-
digkeitsbereich innerhalb des EWR und Andorra, Schweiz, regelten Zuständigkeitsbereichs ansässigen Datenexpor-
Faröer Inseln, Guernsey, Isle of Man und Jersey. teuren an in anderen Zuständigkeitsbereichen ansässige
Datenimporteure sowie für Weiterübermittlungen, Rück-
«Betroffene Person /geregelter Zuständigkeitsbereich» griffe gegen Verstösse von Drittbegünstigungsrechten so-
meint jede betroffene Person, die zum Zeitpunkt, als wie die Beschwerde- und Haftungsbestimmungen dieser
ihre personenbezogenen Daten erhoben wurden, inner- BCR (wie in Artikeln VII, VIII und IX dieser BCR dargelegt)
halb des geregelten Zuständigkeitsbereiches ansässig beschränken sich auf Betroffene Personen /Geregelter
war. Zuständigkeitsbereich.
«Relevante Übermittlung» meint eine Übermittlung von Auch wenn die BCR AXA Gesellschaften Prozesse, die für
personenbezogenen Daten (in dem Masse, wie personen- die Einführung der BCR erforderlich sind, überall einge-
bezogene Daten nicht zuvor Gegenstand einer relevanten führt haben, übernehmen BCR AXA Gesellschaften keine
Übermittlung oder Weiterleitung waren): BCR-Garantien für Personenbezogene Daten, die nicht
(I) von einer BCR AXA Gesellschaft, die ein Datenexpor- dem Datenschutz des Geregelten Zuständigkeitsbereichs
teur für eine andere BCR AXA Gesellschaft ist, wel- unterliegen, d. h. die nicht aus dem Geregelten Zustän-
che in einem Gebiet ist, welches (doch für den Be- digkeitsbereich übertragen werden, z. B.:
trieb der BCR) kein angemessenes Schutzniveau – wenn eine in den US ansässige AXA Gesellschaft ihre
bietet, wie von dem Datenschutzgesetz des rele- Personenbezogenen Daten an eine in Indien ansässige
vanten geregelten Zuständigkeitsbereiches des Da- AXA Gesellschaft übermittelt, dann unterliegt diese
tenexporteurs verlangt; und Übermittlung und damit verbundene Verarbeitung nicht
(II) die nicht unter eine der zulässigen Ausnahmen oder den BCR, oder
Bedingungen im Datenschutzrecht des jeweiligen – wenn eine in Japan ansässige AXA Gesellschaft ihre
geregelten Zuständigkeitsbereichs fallen (was die Personenbezogenen Daten an eine in Singapur ansäs-
Zustimmung der betroffenen Person, bestehenden sige AXA Gesellschaft übermittelt, dann unterliegt die-
vertraglichen Schutz, die Eintragung in die US Safe- se Übermittlung und damit verbundene Verarbeitung
Harbor-Regelung und /oder Einrichtung in einem von nicht den BCR.
der Europäischen Kommission anerkannten Land
nach Art. 25 (6) der Richtlinie 95/46/EU, enthalten 2. Materieller Geltungsbereich
kann). a. Geltungsbereich unter den BCR AXA Gesellschaften
und Durchsetzbarkeit gegenüber AXA-Mitarbeitern
«Besondere Arten Personenbezogene Daten» meint sol- Die vorliegenden BCR binden alle AXA Gesellschaften, die
che Daten, wie in Art. IV Abs. 2 beschrieben. die BCR angenommen haben, indem sie eine gruppen
interne Vereinbarung («Intra-Group Agreement», «IGA») un-
«Andere Partei» bedeutet jede natürliche oder juristische terschrieben haben, die ihre Akzeptanz der BCR darlegt
Person (einschliesslich der AXA Gesellschaften/BCR AXA und zum Ausdruck bringt. Jede AXA Gesellschaft, die eine
Gesellschaften), öffentliche Behörde, jedes Amt und jede IGA unterzeichnet, wird am Tag der Unterzeichnung oder
andere Körperschaft ausser der betroffenen Person, dem (wenn später) zum Stichtag, der in der jeweiligen IGA fest-
Daten-Controller, dem Datenverarbeiter und Personen die gelegt ist, zur BCR AXA Gesellschaft.
unter der direkten Aufsicht des Daten-Controllers oder
des Datenverarbeiters ermächtigt sind, die personenbe- Nach Massgabe des anwendbaren Arbeitsrechts werden
zogene Daten einer betroffenen Person zu verarbeiten. die vorliegenden BCR für die AXA-Mitarbeiter aller BCR
AXA Gesellschaften durch eine der folgenden Vereinba-
rungen in der jeweiligen BCR AXA Gesellschaft verbindlich
und durchsetzbar:
– durch eine bindende interne AXA-Richtlinie, oder
Binding Corporate Rules – AXA Group – Version 2013 Seite 3 /12– durch einen bindenden Tarifvertrag, oder täten ausführen, Kundenbeziehung verwalten, Ange-
– durch eine Klausel im Arbeitsvertrag, oder botsgestaltung, verkaufen, Verkaufsumsätze beloh-
– durch andere geeignete Mittel, um die BCR verbindlich nen)
für AXA-Mitarbeiter in dem jeweiligen Land zu machen. – Herstellung (zeichnen, verwalten einer Police, Prämien
sammeln, Policen-Portfolio überwachen)
Nach Massgabe des anwendbaren Arbeitsrechts sowie – Serviceabwicklung (Katastrophenbewältigung, Scha-
ihrer eigenen internen Regeln und Arbeitsverträge kann denabwicklung, Dienstleistungen anbieten, Hilfsstoffe
jede BCR AXA Gesellschaft disziplinarische Massnahmen verwalten, Betrug aufdecken, Forderungsübergang ver-
gegenüber ihren eigenen AXA-Mitarbeitern ergreifen, ins- walten und Gelder aus dem Rückversicherungsge-
besondere in folgenden Fällen: schäft wiederherstellen, Wrack-Bergungen verwalten,
– Verletzung dieser BCR durch einen AXA-Mitarbeiter, Schadenbearbeitung kontrollieren)
– Nichtbefolgung der Empfehlungen und Ratschläge, die – Verwaltung Finanzen (Planung und Steuerung von Fi-
erteilt wurden, nachdem die jeweiligen Datenschutzbe- nanzen, Investitionen verwalten, Unternehmensfinan-
auftragten («DPO») die Einhaltung geprüft haben, zierungen verwalten, Transaktionen durchführen, Kapi-
– Unterlassung der Zusammenarbeit bei der Prüfung der talanlagen verwalten, Finanzen analysieren,
BCR-Einhaltung durch den jeweiligen DPO, bzw. mit den Zahlungsmittel verwalten, Geldgeschäfte und Zah-
jeweiligen für Datenschutz zuständigen Behörden. lungsmittel verwalten, Steuern verwalten, Vorschriften
einhalten, um Rückversicherung kümmern)
b. Personenbezogene Daten und Verarbeitungsumfang – Verwaltung IT (IT-Kundenbeziehungen verwalten, Lösun
Der Zweck oder die Zwecke der Übermittlung von Perso- gen liefern und vorhalten, IT-Dienstleistungen liefern
nenbezogenen Daten und die Verarbeitung nach der Über- und unterstützen, IT-Infrastruktur verwalten, IT-Organi-
mittlung unterstützen und vereinfachen AXAs Geschäfts- sation verwalten, IT-Sicherheit verwalten)
tätigkeit. – Personalwesen entwickeln und verwalten (Personalent-
wicklung verwalten und leiten, Personalwesen führen,
AXAs Kernkompetenzen spiegeln sich in einer Reihe von Personalkommunikation durchführen, soziale Partner
Produkten und Dienstleistungen wider, angepasst an die und den Betriebsrat verwalten)
Bedürfnisse jedes Kunden in den drei wichtigsten Spar- – Verwaltung Kauf (Lieferanten und Verträge verwalten,
ten: Schaden- und Unfallversicherung, Produkte für die Waren und Dienstleistungen liefern und erhalten, Liefe-
private Altersvorsorge sowie Vermögensverwaltung: rantenrechnungen verwalten, Zahlungen genehmigen
– Die Schaden- und Unfallversicherung umfasst die Sach- und validieren, Beschaffungsreporting und Perfor
und Haftpflichtversicherung. Es deckt eine breite Palette mance-Analysen durchführen)
von Produkten und Dienstleistungen ab, konzipiert für – Verwaltung Risiken (finanzielle Risiken verwalten, Inve-
unsere Einzel- und Geschäftskunden einschliesslich stitionsrisiken verwalten, operationale Risiken verwal-
Assistance-Leistungen und internationale Versiche- ten, Prognosen erstellen, risikobereinigte Profitabilität
rungen für Grosskunden wie Marine und Luftfahrt. berechnen)
– Unsere Einzel- und Gruppenlebensversicherung bein- – Andere Unterstützungsfunktionen (externe Kommuni-
haltet beides: Spar- und Altersvorsorgeprodukte auf kation durchführen, rechtliche Unterstützung, Verbes-
der einen Seite und auf der anderen Seite Krankenver- serungen und Veränderungen verwalten, Innenrevision,
sicherungs- und Personenschadenprodukte. Spar- und zentrale Funktionen)
Altersvorsorgeprodukte erfüllen die Notwendigkeit
Kapital zur Finanzierung der Zukunft, ein spezielles Alle Arten und Kategorien von Personenbezogenen Da-
Projekt oder den Ruhestand beiseite zu legen. Perso- ten, die von den BCR AXA Gesellschaften in Ausübung
nenschadenprodukte decken die Risiken im Zusam- ihrer Tätigkeit verarbeitet werden, sollen unter den An-
menhang mit einer individuellen körperlichen Unver- wendungsbereich dieser BCR fallen. Solche Arten und
sehrtheit, Gesundheit oder Leben. AXA bietet zudem Kategorien beinhalten: Personenbezogene Daten, die von
seinen Einzelkunden in einigen Ländern eine einfache Kunden, Antragstellern, Anspruchstellern, AXA-Mitarbei-
Auswahl von Bankdienstleistungen und -produkten, die tern, Bewerbern, Vertretern, Lieferanten und anderen
die Versicherungsangebote ergänzen. Dritten erhoben werden.
– Das Vermögensverwaltungsgeschäft umfasst die In
vestition und Verwaltung von Vermögenswerten für die Die BCR umfassen sowohl maschinelle als auch manuel-
Versicherungsgesellschaften der Gruppe und deren le Arten der Verarbeitung.
Kunden, genauso wie für Dritte, Privatanleger sowie
institutionelle Kunden.
Artikel IV – Grundsätze der Verarbeitung
Serviceabwicklung von AXAs Geschäftsaktivitäten um-
fasst: Bei jeder Verarbeitung Personenbezogener Daten nach
– Visionierung (definieren langfristiger Unternehmens Massgabe von Artikel III – GELTUNGSBEREICH werden
vision, Geschäftsstrategie entwickeln, verwalten einer die im Folgenden dargelegten Verarbeitungsgrundsätze
strategischen Initiative, Fortschritte kontrollieren) beachtet.
– Gestaltung (Produktstrategie entwickeln, Risikopolitik
etablieren, Gestalten, Entwickeln und Einführen eines 1. Hauptgrundsätze
Produktes, pflegen bestehender Produktportfolios) Jede der BCR AXA Gesellschaften sichert zu und ver-
– Vertrieb (entwickeln einer Vertriebsstrategie, verwalten spricht, dass es die Anforderungen des anwendbaren Ge-
und kontrollieren von Vertriebsnetzen, Marketing-Aktivi- setzes und der zuständigen lokalen Datenschutzbehörde
Binding Corporate Rules – AXA Group – Version 2013 Seite 4 /12für die ursprüngliche Verarbeitung der Personenbezo- die Betroffene Person geschlossen hat, notwendig ist,
genen Daten erfüllt, die anschliessend im Rahmen einer oder zur Einleitung von Schritten vor Abschluss eines
Relevanten Übermittlung oder einer Weiterübermittlung Vertrags auf Antrag der Betroffenen Person hin; oder
gemäss den BCR übermittelt werden. – die Verarbeitung zur Einhaltung einer rechtlichen Ver-
pflichtung, der der Daten-Controller unterliegt, notwen-
Jede der BCR AXA Gesellschaften sichert zu, dass die un- dig ist; oder
ter ihrer Kontrolle durchgeführte Verarbeitung Personen- – die Verarbeitung zum Schutz der lebenswichtigen Inte-
bezogener Daten, einschliesslich der Datenübermittlung, ressen der Betroffenen Person notwendig ist; oder
weiterhin nach Massgabe der Bestimmungen dieser BCR – die Verarbeitung zur Erfüllung einer im öffentlichen In-
und insbesondere folgender Mindestvorschriften erfolgen teresse durchzuführenden Aufgabe notwendig ist oder
wird: in der Ausübung einer offiziellen Vollmacht, die dem
– Personenbezogene Daten müssen ordnungsgemäss Daten-Controller bzw. einem Dritten, dem die Perso-
und rechtmässig erhoben werden unter Beachtung des nenbezogene Daten offenbart wurden, erteilt worden
Rechts der Betroffenen Person auf Auskunft, es sei ist; oder
denn, eine solche Auskunft ist aufgrund rechtlicher – die Verarbeitung für die legitimen Interessen des Da-
Ausnahmen nicht erforderlich; und dürfen nur mit vor- ten-Controllers oder des Dritten bzw. -parteien, denen
heriger eindeutiger Einwilligung der Betroffenen Per- die Personenbezogenen Daten offenbart wurden, not-
son, oder falls die Verarbeitung sonst durch anwend- wendig ist, ausser in Fällen, wo die Interessen oder
bares Recht erlaubt ist, verarbeitet werden. Grundrechte und Freiheiten der Betroffenen Person
– Personenbezogene Daten dürfen nur zu bestimmten, Vorrang vor solchen Interessen haben.
ausdrücklichen und rechtmässigen Zwecken erhoben
und nicht auf eine Weise weiterverarbeitet werden, die Wenn die Verarbeitung von Personenbezogenen Daten al-
diesem Zweck oder diesen Zwecken nicht entspricht. lein auf einer automatisierten Verarbeitung basiert, die
Personenbezogene Daten werden Dritten nur zu sol- bestimmte persönliche Aspekte bezüglich der Betrof-
chen Zwecken zur Verfügung gestellt oder wie ander- fenen Person bewerten sollen (so wie Leistung bei der Ar-
weitig durch das anwendbare Recht gestattet. beit, Kreditwürdigkeit, Zuverlässigkeit, Verhalten, usw.)
– Angemessene Kontrollen sowie technische und organi- und erzeugt sie rechtliche Folgen für sie oder beeinträch-
satorische Prozesse müssen eingeführt werden, um tigt diese sie erheblich, hat die Betroffene Person das
die Sicherheit der Personenbezogenen Daten zu ge- Recht der Verarbeitung zu widersprechen, es sei denn
währleisten und nicht autorisierte Zugriffe oder Veröf- eine solche Verarbeitung:
fentlichung, potenzielle Schäden, die durch Änderung – im Rahmen des Abschlusses oder der Erfüllung eines
entstehen könnten, versehentliche oder kriminelle Zer- Vertrags erfolgt, sofern der Antrag der Betroffenen Per-
störung oder versehentlichen Verlust der Daten zu ver- son auf Abschluss oder Erfüllung des Vertrags stattge-
hindern sowie alle anderen gesetzeswidrigen Arten der geben wurde oder es angemessene Massnahmen zur
Verarbeitung. Unter Berücksichtigung der Rechtsvor- Wahrung ihrer legitimen Interessen gibt, etwa Rege-
schriften, der bewährten Verfahrensweisen und der lungen, damit sie ihre Meinung äussern kann; oder
durch ihre Umsetzung entstehenden Kosten sollen die – durch ein Gesetz autorisiert wird, das ausserdem
Sicherheitsmassnahmen ein Niveau an Sicherheit ge- Massnahmen zur Wahrung der legitimen Interessen
währleisten, das für die durch die Verarbeitung und die der Betroffenen Personen vorschreibt.
Art der zu schützenden Daten dargestellten Risiken an-
gemessen ist. 2. Besondere Arten Personenbezogener Daten
– Die erhobenen Personenbezogenen Daten müssen Für die Zwecke dieser BCR umfassen Besondere Arten
richtig, vollständig für den betreffenden Zweck und er- Personenbezogener Daten alle Personenbezogenen Da-
forderlichenfalls ständig aktuell sein. ten in Bezug auf:
– Die erhobenen Personenbezogenen Daten müssen an- – die Rasse oder ethnische Herkunft, die politischen
gemessen, erheblich und verhältnismässig sein im Ver- Meinungen oder den religiösen oder philosophischen
hältnis zu dem Zweck/den Zwecken, für die sie erho- Glauben der Betroffenen Person,
ben und/oder weiterverarbeitet werden. – Mitgliedschaft der Betroffenen Person in einer Gewerk-
– Personenbezogene Daten dürfen nicht länger aufbe- schaft,
wahrt werden als nötig ist für den Zweck/die Zwecke, – den physischen oder psychischen Gesundheitszustand
für die sie erhoben und/oder verarbeitet wurden. oder das Sexualleben der Betroffenen Person,
– Prozesse sind einzuführen zur Sicherstellung zeitnaher – bestimmte Daten, die nach geltendem Recht und be-
Antworten auf Anfragen von Betroffenen Personen, um stimmten Regeln als Besondere Arten Personenbezo-
zu gewährleisten, dass sie ihre Rechte auf Auskunft, gener Daten gelten (z. B. medizinische Daten),
Berichtigung und den Widerspruch gegen die Verarbei- – das Begehen oder vermeintliche Begehen einer Straf-
tung ordnungsgemäss wahrnehmen können (sofern tat durch die Betroffene Person, oder
das anwendbare Recht nichts anderes vorsieht). – jedes Verfahren wegen einer von der Betroffenen Per-
son begangenen oder vermeintlich begangenen Straf-
Personenbezogene Daten dürfen nur verarbeitet werden, tat, den Abschluss eines solchen Verfahrens oder das
wenn eine solche Verarbeitung rechtlich begründet ist, Urteil von einem Gericht in einem solchen Verfahren.
einschliesslich z. B. wenn:
– die Betroffene Person ihre eindeutige Einwilligung er- Obige Liste darf keinesfalls als vollständige Aufzählung Be-
teilt hat; oder sonderer Arten Personenbezogener Daten betrachtet wer-
– die Verarbeitung für die Erfüllung eines Vertrags, den den, da die lokale Gesetzgebung zusätzliche Kategorien
Binding Corporate Rules – AXA Group – Version 2013 Seite 5 /12vorsehen kann, die in solchen und auch in anderen Fällen Massnahmen erfüllen wird. Der Datenimporteur, der den
vom Datenexporteur und vom Datenimporteur als Beson- Subunternehmer wählt, sichert und vereinbart solche
dere Arten Personenbezogener Daten zu beachten sind. technischen Sicherheitsmassnahmen und organisato-
rischen Massnahmen schriftlich mit dem jeweiligen Sub-
Die Verarbeitung Besonderer Arten Personenbezogener unternehmer und macht insbesondere zur Bedingung,
Daten ist mit Ausnahme folgender Fälle verboten: dass der Subunternehmer nur auf Anweisungen des Da-
1. die Betroffene Person hat ihre ausdrückliche Einwilli- tenimporteurs handeln soll.
gung für die Verarbeitung solcher Besonderer Arten
Personenbezogener Daten erteilt, und eine solche Ein- 4. Datenübermittlungen
willigung ist als gültig erachtet worden gemäss den an- 1. Datenübermittlungen innerhalb der AXA Gruppe
wendbaren Gesetzen und Vorschriften; oder Es dürfen keine Personenbezogenen Daten zu einem Da-
2. die Verarbeitung ist für die Zwecke der Wahrnehmung tenimporteur ausserhalb des Geregelten Zuständigkeits-
der Pflichten und spezifischen Rechte des Daten-Con- bereichs übermittelt werden (oder im Falle des Exports
trollers im Bereich des Arbeitsrechts notwendig, soweit aus einem anderen Geregelten Zuständigkeitsbereich,
sie vom nationalen Recht, das für angemessene Si- dieser Geregelte Zuständigkeitsbereich), bis der Datenex-
cherheit sorgt, autorisiert wird; oder porteur festgestellt hat, dass der Datenimporteur gebun-
3. die Verarbeitung ist zum Schutz der lebenswichtigen In- den ist an:
teressen der Betroffenen Person, bzw. einer anderen – diese BCR,
Person notwendig, wenn die Betroffene Person körper- – andere Massnahmen, welche die Übermittlung Perso-
lich oder rechtlich nicht in der Lage ist, ihre Einwilligung nenbezogener Daten nach Massgabe des anwendbaren
zu erteilen; oder Rechts erlauben (z. B. EU-Standardvertragsklauseln).
4. die Verarbeitung wird im Rahmen seiner legitimen Akti-
vitäten durchgeführt mit angemessenen Gewährlei- Wie unter den Begriffen «Relevante Übermittlung» und
stungen einer Stiftung, eines Verbands oder einer an- «Weiterübermittlung» wiedergegeben, finden diese BCR
deren gemeinnützigen Organisation mit einer nur Anwendung bei Übermittlungen die nicht schon von
politischen, philosophischen, religiösen oder gewerk- anderen Massnahmen gedeckt sind, welche eine Über-
schaftlichen Orientierung und vorausgesetzt, dass die mittlung erlauben, sofern nichts anderes schriftlich zwi-
Verarbeitung ausschliesslich im Zusammenhang mit schen dem Datenexporteur und dem Datenimporteur ver-
den Mitgliedern des Verbands oder den Personen, die einbart ist.
in Bezug auf dessen Zwecke regelmässigen Kontakt
dazu haben, stattfindet, und dass die Personenbezo- 2. Datenübermittlungen ausserhalb der AXA Gruppe
genen Daten nicht ohne die Einwilligung der Betrof- In Bezug auf jede Übermittlung an eine dritte Gesell-
fenen Personen an Dritte offenbart werden; oder schaft ausserhalb des Geregelten Zuständigkeitsbe-
5. die Verarbeitung bezieht sich auf Besondere Arten Per- reichs (im Falle des Exports aus dem Geregelten Zustän-
sonenbezogener Daten, die von der Betroffenen Per- digkeitsbereichs und sonst ausserhalb des relevanten
son erkennbar veröffentlicht wurden; oder Geregelten Zuständigkeitsbereiches), die nicht an diese
6. die Verarbeitung Besonderer Arten Personenbezogener BCR gebunden ist, verpflichtet sich jeder Datenexporteur
Daten ist für die Erhebung, Geltendmachung oder Ab- zu Folgendem:
wehr gesetzlicher Ansprüche notwendig; oder – Wenn die Übermittlung an einen Datenverarbeiter er-
7. die Verarbeitung der Besonderen Arten Personenbezo- folgt, Unterzeichnung einer Datenverarbeitungs-Verein-
genen Daten ist für die Zwecke präventiver Medizin, barung mit dem datenverarbeitenden Dritten, um nach
medizinischer Diagnose, Pflege oder Behandlung oder europäischen Standards genügenden Schutz der verar-
der Verwaltung von Gesundheitsdienstleistungen not- beiteten Daten sicherzustellen, indem z. B. die an-
wendig; und wo diese Besonderen Arten Personenbe- wendbaren EU-Standardvertragsklauseln der Europä-
zogener Daten verarbeitet werden ischen Kommission oder eine andere Vereinbarung,
– von einem qualifizierten Gesundheitsdienstmitarbei- durch die mindestens eine äquivalente Verpflichtung
ter, der durch die geltenden Gesetze oder Regeln der eingegangen wird, verwendet werden; oder
zuständigen nationalen Behörden der beruflichen – Durchführung aller weiteren notwendigen Sicherheits-
Schweigepflicht unterliegt, oder massnahmen, die nach Massgabe des anwendbaren
– einer anderen Person, die ebenfalls einer äquiva- Rechts für die Übermittlung Personenbezogener Daten
lenten Schweigepflicht unterliegt; oder erforderlich sind (z. B. EU-Standardvertragsklauseln).
8. die Verarbeitung ist ansonsten nach dem geltenden
Recht des Landes erlaubt, in welchem der Datenexpor-
teur sitzt. Artikel V – Rechte auf Information, Auskunft,
Berichtigung, Löschung und Sperrung von Daten
3. Unterbeauftragungen von Verarbeitern
Wenn die Verarbeitung im Namen eines Datenimporteurs Im Fall einer Übermittlung Personenbezogener Daten an
von einem Subunternehmen durchgeführt wird, wählt einen Datenimporteur sind Betroffene Personen/Geregel-
Letzterer ein Subunternehmen, das ausreichende tech- ter Zuständigkeitsbereich nach schriftlichem Antrag dazu
nische Sicherheitsmassnahmen und organisatorische berechtigt,
Massnahmen für die durchzuführende Verarbeitung ge- – eine Kopie der für die Öffentlichkeit bestimmten Versi-
währt, um sicherzustellen, dass die Verarbeitung in Über- on der BCR von der AXA Internetseite, der AXA Intranet
einstimmung mit den BCR erfolgt und der Datenimporteur Webseite oder dem DPO nach Antrag und innerhalb
muss sicherstellen, dass das Subunternehmen diese eines angemessenen Zeitraums zu erhalten;
Binding Corporate Rules – AXA Group – Version 2013 Seite 6 /12– Informationen über gespeicherte Personenbezogene tretern des Gruppenvorstands sowie Datenschutzbeauf-
Daten anzufordern, einschliesslich Informationen in tragten ausgewählter BCR AXA Gesellschaften besteht,
Bezug darauf, wie Personenbezogene Daten erhoben wie dem Leiter der Gruppencompliance, dem Leiter der
wurden; Gruppen-Information Security & Continuity, dem GDPO,
– die Liste der Empfänger oder Kategorien der Empfän- AXA GS General Counsel und DPO und manche Vertreter/
ger, an die ihre Personenbezogenen Daten übermittelt DPOs der AXA BCR Gesellschaften.
werden;
– Auskünfte zum Zweck der Erhebung der Personenbezo- Der AXA BCR Steuerungsausschuss:
genen Daten sowie der Übermittlung einzuholen; – beschliesst den Umfang
– ihre Personenbezogenen Daten zu berichtigen, falls sie – beschliesst das Vorgehen
unrichtig sind; – beschliesst Schriftstücke
– der Verarbeitung ihrer Personenbezogenen Daten aus – vermittelt potenzielle Ressourcen, Konflikte.
zwingenden, legitimen Gründen bezüglich ihrer spezi-
fischen Situation zu widersprechen, wenn nicht durch Im Vorfeld jeder Änderung werden alle BCR AXA Gesell-
das anwendbare Recht anders vorgesehen; schaften die Möglichkeit haben, ihren Input zu den Ände-
– die Löschung ihrer Personenbezogenen Daten durchzu- rungen innerhalb eines Abstimmungsprozesse abzuge-
setzen, wenn dies rechtlich möglich und begründet ist; ben. Im Falle von Konflikten wird der BCR
– alle weiteren Auskünfte, die nach dem anwendbaren lo- Steuerungsausschuss zusammen mit den BCR AXA Ge-
kalen Gesetz notwendig wären, einzuholen, sellschaften sich nach Kräften bemühen diesen Konflikt
zu lösen, um sicherzustellen, dass die jeweilige BCR AXA
in jedem Fall ist Speichern in dem Umfang nach dem Da- Gesellschaft von den BCR umfasst bleiben kann.
tenschutzrecht des Geregelten Zuständigkeitsbereichs
erlaubt in welchem die Betroffene Person/Geregelter Zu- Die BCR AXA Gesellschaften kommen überein, dass die
ständigkeitsbereich ansässig war zu dem Zeitpunkt an BCR Governance-Struktur den Entscheidungen des AXA
dem ihre Personenbezogenen Daten erhoben wurden. BCR Steuerungsausschusses unterliegt und dass sie
sich an alle Entwicklungen und Änderungen dieser Struk-
tur infolge von Entscheidungen dieses Ausschusses hal-
Artikel VI - Massnahmen zur Einführung der BCR ten werden (vorbehaltlich des oben erwähnten vorange-
henden Abstimmungsprozesses sowie potenzieller
1. Schulungsprogramme rechtlicher und behördlicher Einschränkungen).
BCR AXA Gesellschaften verpflichten sich Schulungspro-
gramme über den Schutz Personenbezogener Daten für Die BCR AXA Gesellschaften kommen überein, dass un-
AXA-Mitarbeiter einzuführen, die an der Verarbeitung Per- wesentliche Änderungen durch eine Entscheidung des
sonenbezogener Daten beteiligt sind und Werkzeuge zu AXA BCR Steuerungsausschusses auch ohne Abstim-
entwickeln, um die Personenbezogenen Daten zu verar- mung mit irgendwelchen der BCR AXA Gesellschaften
beiten im Hinblick auf die in diesen BCR enthaltenen übernommen werden dürfen.
Grundsätze.
Der GDPO ist für die Beaufsichtigung der Einführung der
Die allgemeinen Grundsätze für Schulung und Awareness BCR durch ein Netzwerk an DPOs verantwortlich.
werden zentral in einem Dokument erarbeitet und prak-
tische Beispiele werden geteilt, während die finale Ent- BCR AXA Hubs können in Zukunft geschaffen werden, um
wicklung und Einführung der Schulungs- und Awareness- in Zusammenarbeit mit dem GDPO die Einführung der
sitzungen (e-learning, face-to-face, …) von jeder BCR AXA BCR zu unterstützen, z. B. durch Überwachung der Einhal-
Gesellschaft nach Massgabe der jeweils anwendbaren tung und Compliance mit den BCR der BCR AXA Gesell-
Gesetze und Prozesse erfolgt. schaften innerhalb deren Anwendungsbereich.
Jede AXA Gesellschaft soll definieren, wie sie die Kontrolle Jede BCR AXA Gesellschaft ernennt einen DPO, der für
über den erfolgreich abgeschlossenen Ausbildungsstand die Koordination mit dem GDPO und die Sicherstellung
ausführt. Ausserdem wird jede AXA Gesellschaft die Inter- der Einhaltung der BCR durch die BCR AXA Gesellschaf-
valle von Auffrischungsschulungen, die Schulung über den ten verantwortlich ist. Zu diesem Zweck kann der DPO
Schutz Personenbezogener Daten neu angestellter AXA- von der Holding-Gesellschaft eines konsolidierten Teilkon-
Mitarbeiter als ein Teil ihrer Einführungsveranstaltung über zerns (z. B. AXA Financial, AXA UK, AXA Deutschland) zum
den Beitritt zu einer BCR AXA Gesellschaft bestimmen, wie DPO einiger oder aller seiner Konzerngesellschaften er-
auch die Schulung, die sich speziell an AXA-Mitarbeiter nannt werden.
richtet, die an kritischen Aspekten von Personenbezo-
genen Daten enger beteiligt sind. Der DPO als second line of defence unterstützt den Vor-
stand und die Geschäftsführung durch die Entwicklung
2. BCR Governance und Einführung von Prozessen, Sicherheitsmassnahmen
Die Governance-Struktur könnte eine Entwicklung oder und Kontrollen, die dazu entwickelt wurden, dass die lo-
Änderung erfahren, z. B. infolge potenzieller künftiger kalen Anforderungen und die Vereinbarkeit mit den BCR
rechtlicher/behördlicher oder struktureller Änderungen in- sichergestellt sind, insbesondere mit Bezug auf:
nerhalb der AXA Gruppe. Solche künftigen Änderungen – Verfahrensgrundsätze
werden von einem AXA BCR Steuerungsausschuss ent- – Aktionen für die BCR Einführung
schieden, der sich eigens den BCR widmet und aus Ver- – Drittbegünstigungsrechte
Binding Corporate Rules – AXA Group – Version 2013 Seite 7 /12– Beschwerden ihr Prüfungsrecht wie unten beschrieben in Anspruch neh-
– Amtshilfe und Zusammenarbeit mit den Datenschutz- men.
behörden.
Jeder Datenexporteur soll seiner lokalen Datenschutzbe-
Der GDPO wird Wissenstransfer zwischen den BCR AXA hörde erlauben die relevanten BCR AXA Gesellschaften
Gesellschaften bereitstellen, um sowohl Verbesserungen zu überprüfen, damit die Datenschutzbehörde die not-
der lokalen Privatsphäreprogramme zu ermöglichen als wendigen Informationen erhält, um zu zeigen, dass die
auch ein einheitliches Vorgehen zu fördern – gegebenen- BCR AXA Gesellschaften in Übereinstimmung mit den
falls – zu Gruppenprivatsphärezielen, während er notwen- BCR sind. Jede solche Überprüfung soll den gleichen
dige lokale Unterschiede erlaubt aufgrund rechtlicher Umfang haben und unter den gleichen Bedingungen statt-
oder anderer lokaler Anforderungen. finden, wie die lokale Datenschutzbehörde den Daten
exporteur überprüft unter dem Datenschutzrecht des
Der GDPO, in Zusammenarbeit mit der Gruppen-IT, Com- Geregelten Zuständigkeitsbereiches der Datenschutzbe-
pliance, Revision oder andere können Schulungen, Über- hörde. Jede solche Überprüfung soll nicht erforderlich
wachungs- und Auswertungsanforderungen über die AXA- sein, soweit ein solcher Antrag dem geltenden Gesetz
Gruppe weiter entwickeln, um sicherzustellen dass eine oder Vorschriften widerspricht und die BCR AXA Gesell-
angemessene Übereinstimmung mit den BCR erreicht ist. schaften auf keine Verteidigung und/oder verfügbaren
Diese Auswertung wird keine lokalen Anforderungen er- Rechte derjenigen BCR AXA Gesellschaft verzichten.
setzen, wenn die lokalen rechtlichen Belange ergänzende
Massnahmen erfordern. Eine BCR AXA Gesellschaft ist nicht verpflichtet etwas of-
fenzulegen, das nicht in Bezug zu der Vereinbarkeit mit
Gegebenenfalls kann ein regionaler Datenschutzbeauf- den BCR in Reaktion auf Anfragen der Datenschutzbehör-
tragter ernannt werden (RDPO), um ein Datenschutz Go- de steht und ist nicht verpflichtet vertrauliche Informatio-
vernance-Modell für die Region nachzubilden. Der RDPO nen eines Privilegierten oder Dritten zu offenbaren bis sie
hat die Aufgabe, die BCR innerhalb der BCR AXA Gesell- die Erlaubnis des betroffenen Dritten hat, und ist nicht
schaften zu fördern und koordiniert zwischen den DPOs in verpflichtet AXAs eigene wirtschaftlich sensiblen Informa-
der Region und dem GDPO. tionen zu offenbaren, es sei denn, es ist unmöglich diese
Elemente zu trennen, die im Zusammenhang mit der Ein-
3. Verantwortlichkeiten für die BCR und haltung der BCR stehen von denen die AXAs eigene sen-
BCR Compliance-Kontrollprogramm sible Informationen enthalten.
Folgendes gilt allgemein für die vorliegenden BCR.
4. Zugang zu den BCR und Mitteilung an Betroffene
Die Vorstände und Geschäftsführer sind als first line of Personen/Geregelter Zuständigkeitsbereich
defence dafür zuständig sicherzustellen, dass der Um- Die Unterrichtung von Betroffenen Personen/Geregelter
gang mit Personenbezogenen Daten den BCR entspricht. Zuständigkeitsbereich, die keinen Zugang zu der AXA In-
tranet Webseite haben, wie Kunden, die ihnen gleichge-
Als second line of defence sind die Datenschutzbeauf- stellte Personen (Anspruchsteller, Unfallopfer und andere
tragten der AXA-Gruppe zuständig. Diese second line Bezugsberechtigte einer Versicherungspolice, die diese
berät die Vorstände und Geschäftsführer zu den BCR und nicht abgeschlossen haben), Bewerber und Zulieferer
dem damit verwandten Kontrollanforderungen. Sie führen über die BCR ist erfüllt durch die Veröffentlichung der für
jährlich das BCR Compliance-Kontrollprogramm durch. die Öffentlichkeit bestimmten Version der BCR auf der öf-
Das BCR Compliance-Kontrollprogramm wird in Anhang 2 fentlichen AXA Internetseite.
näher beschrieben; der Umfang ist im BCR Compliance
Fragebogen beschrieben. Die Unterrichtung von Betroffenen Personen/Geregelter
Zuständigkeitsbereich, welche Zugang zu der AXA Intra-
Als third line of defence gewährt die Interne Revision eine net Webseite haben, so wie AXA-Mitarbeiter und die ihnen
unabhängige Gewährleistung der Effektivität der BCR. In gleichgestellte Personen (Makler, Repräsentanten, …)
dritter Linie bestätigt die Interne Revision die Effektivität über die BCR ist erfüllt durch die Veröffentlichung der für
der zweiten und der ersten Linie während des normaler- die Öffentlichkeit bestimmten Version der BCR auf der
weise 5-jährigen Zyklus der Internen Revision. AXA-Intranet Webseite.
Das BCR Compliance und Kontrollprogramm deckt alle si- Weitere optionale Wege die Kunden, Provider und AXA-
gnifikanten Aspekte der BCR ab einschliesslich Verfah- Mitarbeiter in den jeweiligen BCR AXA Gesellschaften zu
ren, um sicherzustellen, dass Korrekturmassnahmen informieren, sind: das Informieren von Kunden über ver-
stattfinden werden. Das Ergebnis des BCR Compliance- schiedene Themen innerhalb eines Schreibens /einer
Kontrollprogramms und relevante Berichte der Internen Mitteilung, das Informationen von Kunden über eine
Revision werden dem GDPO und dem DPO jeder betrof- Agentur – z. B. durch den Zugriff eines Vermittlers auf das
fenen BCR AXA Gesellschaft sowie einmal jährlich an den Intranet sowie das Informieren von AXA-Mitarbeitern über
Prüfungsausschuss der Gruppe weitergeleitet. Betriebsräte oder sonstige zuständige Mitarbeitervertre-
ter. Es ist nicht möglich (da übermässig schwierig und
Die Resultate des BCR Compliance-Kontrollprogramms teuer) einen persönlichen Brief an alle Kunden zu schi-
sowie relevante Berichte der Internen Revision werden in cken, wie z. B. Anspruchsteller, Unfallopfer oder Bezugs-
einer Form aufbewahrt, zu der die Datenschutzbehörden berechtigte einer Police, welche nicht versichert sind oder
aus dem EWR auf Anfrage Zugriff haben können, wenn sie diese nicht abgeschlossen haben.
Binding Corporate Rules – AXA Group – Version 2013 Seite 8 /12Artikel VII – Rechte Drittbegünstigter Jede BCR AXA Gesellschaften weist auf Ihrer Internet-
Webseite daraufhin, wo Betroffene Personen / Geregelter
Es ist die Absicht aller Datenexporteure den Betroffenen Zuständigkeitsbereich ihre Beschwerden einlegen kön-
Personen/Geregelter Zuständigkeitsbereich Drittbegün- nen, und macht mindestens eine der folgenden Angaben:
stigungsrechte unter diesen BCR einzuräumen in Bezug – Link zu einem Beschwerdeformular
auf Relevante Übermittlungen und Weiterübermittlungen. – E-Mail-Adresse
Dementsprechend ist es von jedem Datenexporteur aus- – Telefonnummer
drücklich anerkannt und akzeptiert, dass Betroffene – Postanschrift.
Personen/Geregelter Zuständigkeitsbereich unter Be
achtung von Relevanten Übermittlungen und Weiterüber- Ausser in den Fällen, wo es besonders schwierig ist, die
mittlungen dazu berechtigt sind ihre Rechte auszuüben zur Überprüfung notwendigen Informationen herauszufin-
gemäss der Bestimmungen der Artikel IV.1, IV.2, IV.4, V, den, sind Beschwerden innerhalb eines (1) Monats ab
VII, VIII, IX, X, XII.3 und XIII dieser BCR und dass die Un- Einreichung der Beschwerde zu überprüfen.
terlassung jedes Datenexporteurs mit den Verpflich-
tungen dieser Artikel übereinzustimmen unter diesen Um-
ständen Anlass geben wird dies zu beheben und, wenn Artikel IX – Haftung
erforderlich und soweit nach anwendbarem Recht vorge-
sehen, Entschädigungsrechte (wie es der Fall sein kann 1. Allgemeine Position
unter Berücksichtigung der begangenen Verletzung und Jede BCR AXA Gesellschaft trägt die alleinige Verantwor-
dem erlittenen Schaden) für die Betroffenen Personen/ tung für alle Verletzungen der BCR gegenüber anderen,
Geregelter Zuständigkeitsbereich beeinflusst. wie es der Fall sein kann, AXA BCR Gesellschaften, zu-
ständigen Datenschutzbehörden des Geregelten Zustän-
Es ist ausdrücklich vereinbart, dass die oben erwähnten digkeitsbereichs und Betroffenen Personen /Geregelter
an Dritte gewährten Rechte ausschliesslich für Betrof- Zuständigkeitsbereich, soweit nach anwendbarem Recht
fene Personen/Geregelter Zuständigkeitsbereich in Be- und Vorschriften vorgesehen.
zug auf Relevante Übermittlungen und Weiterübermitt-
lungen gelten und keinesfalls auf Betroffene Personen Soweit nach anwendbarem Recht und Vorschriften und
ausserhalb des Geregelten Zuständigkeitsbereichs aus- vorbehaltlich Artikel IX (2) und IX (3), haftet jeder Daten-
geweitet oder ausgelegt werden dürfen oder auf andere exporteur persönlich für erlittene Schäden aufgrund einer
Übermittlungen Personenbezogener Daten. Verletzung der BCR einer Betroffenen Person /Geregelter
Zuständigkeitsbereich, die er selbst oder durch einen
Datenimporteur begangen hat, der die Personenbezo-
Artikel VIII – Beschwerden genen Daten aus einem Geregelten Zuständigkeits
bereich gemäss einer Relevanten Übermittlung oder e iner
Es ist die Verantwortlichkeit jeder BCR AXA Gesellschaft, Weiterübermittlung stammend von dem verbundenen
einen internen Bearbeitungsprozess einzurichten. Im Datenexporteur bekommen hat.
Falle eines Disputs können Betroffene Personen /Gere-
gelter Zuständigkeitsbereich nach Massgabe der jewei- Soweit nach anwendbarem Recht und Vorschriften und
ligen lokalen Regelungen eine Beschwerde über eine et- vorbehaltlich Artikel IX (2) und IX (3), wo Personenbezo-
waige illegale oder unangemessene Verarbeitung ihrer gene Daten von Betroffenen Personen/EWR von einem
Personenbezogenen Daten, die in irgendeiner Hinsicht EWR-Datenexporteur stammen, haftet jeder EWR-Daten-
diesen BCR nicht entspricht, bei folgenden Stellen ein exporteur persönlich für Schäden, die eine Betroffene
legen: Person/EWR erleidet aufgrund einer durch sich selbst
– dem Datenschutzbeauftragten, oder durch eine vom Datenimporteur begangen Verlet-
– der zuständigen Datenschutzbehörde, und zung der BCR, der Personenbezogene Daten durch eine
– dem örtlich zuständigen Gericht des Landes in wel- Übermittlung aus dem EWR aufgrund einer Relevanten
chem der Datenexporteur seinen Sitz hat. Sofern Letz- Übermittlung oder einer Weiterübermittlung von dem ver-
terer seinen Sitz nicht im EWR hat, aber Personenbezo- bundenen EWR-Datenexporteur bekommen hat.
gene Daten einer Betroffenen Person / EWR
verarbeitet, soll die zuständige Gerichtsbarkeit in dem Vorbehaltlich Artikel IX (2) und (3), ist jede BCR AXA Gesell-
Land sein, wo eine solche Verarbeitung stattfindet. Wo schaft verantwortlich für den Verlust oder Schaden infolge
Personenbezogene Daten von Betroffenen Per- seiner eigenen Verletzung der BCR soweit nach anwend-
sonen / EWR von einem EWR Datenexporteur stam- barem Recht und Vorschriften vorgesehen. Keine BCR AXA
men, soll die zuständige Gerichtsbarkeit der Ort der Gesellschaft haftet für die Verletzung, die durch eine ande-
Niederlassung des EWR Datenexporteurs sein. re BCR AXA Gesellschaft begangen wurde, ausser in dem
Fall der Verletzung durch einen Datenimporteur wo ein Da-
Zur Vermeidung von Zweifeln ist es selbstverständlich, tenexporteur die Betroffene Person/Geregelter Zuständig-
dass die Betroffene Person / Geregelter Zuständigkeits- keitsbereich zunächst erstatten kann (gem. Artikel IX (2)
bereich, wenn sie nicht zufrieden ist mit den Antworten und (3)), und dann die Erstattung vom Datenimporteur be-
des Datenschutzbeauftragten, das Recht hat eine Be- gehrt, z. B. wenn ein Datenimporteur die BCR verletzt und
schwerde vor der zuständigen Datenschutzbehörde und/ der Datenexporteur Entschädigung an die Betroffene Per-
oder der zuständigen Gerichtsbarkeit des Landes ge son/Geregelter Zuständigkeitsbereich zahlt im Hinblick
mäss vorstehendem Absatz einzureichen. auf eine solche Verletzung, dann ist der Datenexporteur
verpflichtet dem Datenimporteur zurückzuerstatten.
Binding Corporate Rules – AXA Group – Version 2013 Seite 9 /12Sie können auch lesen
