Datenschutzregelung

1. Einleitung

Constellium ist ein weltweit führendes Unternehmen für innovative Aluminiumprodukte und -lösungen mit hohem Mehrwert überwiegend für die Luft- und Raumfahrt, den Automobilbereich und Verpackungen.

Constellium unterhält mehrere Strukturen in der Europäischen Union.

Constellium engagiert sich ganz besonders für eine Geschäftstätigkeit unter Wahrung der Privatsphäre und des Schutzes personenbezogener Daten von Individuen, sei es Mitarbeitern oder Dritten wie Kunden, Partnern, Bewerbern, Dienstleistern usw.

Der Zweck dieser Datenschutzregelung (die „Regelung“) ist Ihre Information über das Engagement von Constellium sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit einschlägigen Gesetzen behandelt werden.

Die Regelung kann sich infolge gesetzlicher und bestimmungsgemäßer Änderungen sowie der Auffassung der Aufsichtsbehörden weiterentwickeln.

2. Definitionen

Verantwortlicher für die Verarbeitung“: Die juristische Person von Constellium, die Zweck und Mittel der Verarbeitung personenbezogener Daten festlegt.

Betroffene Person“: Jede natürliche Person einschließlich Ihrer selbst, deren personenbezogene Daten verarbeitet werden.

Personenbezogene Daten“: Jegliche Information zu einer identifizierten oder identifizierbaren natürlichen Person. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann, z.B. durch Bezug auf eine IP-Nummer, Kennnummer oder mindestens einen spezifischen Faktor ihrer sozialen, kulturellen, physischen oder wirtschaftlichen Identität.

Verarbeitung“: Jegliche Operation oder Operationsfolge, die automatisiert oder nicht automatisiert an persönlichen Daten vorgenommen wird, wie z.B. das Sammeln, Aufzeichnen, Ordnen, Strukturieren, Speichern, Anpassen, Ändern, Abrufen, Anzeigen, Verwenden, Eröffnen durch Weitergabe, Verbreitung bzw. sonstige Verfügbarkeitsmachung, Abgleich, Kombination, Einschränkung, Löschen oder Vernichten.

Auftragsverarbeiter“: Jegliche natürliche oder juristische Person, die personenbezogene Daten für die juristische Person von Constellium verarbeitet.

3. Anwendbares Recht

Um Wirtschaftsteilnehmern Rechtssicherheit und Transparenz zu sichern, hat die Europäische Union die Verordnung 2016/.679 zum Schutz natürlicher Personen bezüglich der Verarbeitung personenbezogener Daten und der Freizügigkeit solcher Daten beschlossen (Datenschutz-Grundverordnung oder „DSGVO“). Die DSGVO trat am 25. Mai 2018 in Kraft.

Die nationalen Gesetze der einzelnen Mitgliedsstaaten bleiben im von der DSGVO erlaubten Rahmen gültig.

Diese Regelung unterliegt der DSGVO und den für die juristische Person von Constellium geltenden nationalen Gesetzen.

4. Prinzipien für die Verarbeitung personenbezogener Daten

Constellium verpflichtet sich, dass personenbezogene Daten:

  • gesetzesgemäß, offen und transparent verarbeitet werden,
  • für spezielle, explizite und legitime Zwecke erhoben werden,
  • angebracht, relevant und auf das Notwendige beschränkt sind,
  • zutreffend sind und falls erforderlich aktualisiert werden,
  • nicht länger als zweckmäßig erforderlich aufbewahrt werden,
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit bietet, einschließlich Schutz gegen unerlaubte oder unrechtmäßige Verarbeitung und unbeabsichtigte Vernichtung, Verlust oder Beschädigung.

5. Verantwortlichkeit

Constellium stellt sicher, dass die gesamte Verarbeitung in Übereinstimmung mit geltenden Gesetzen erfolgt.

  • Management

Das Management ist verantwortlich für die Festlegung und Strukturierung aller Prozesse, bei denen Daten erhoben, verarbeitet und/oder benutzt werden und dass sie mit dieser Regelung vereinbar sind.

Insbesondere die folgenden Aufgaben fallen in den Verantwortungsbereich des Managements:

  • Sicherheitsmaßnahmen,
  • Sicherstellen, dass die Prozesse der Erhebung, Nutzung und/oder Verarbeitung personenbezogener Daten die einschlägigen Gesetze einhalten und lokale Prozesseigner über erforderliche Änderungen informiert werden,
  • Prüfung der anwendbaren Gesetze auf einer regelmäßigen Basis.
  • Mitarbeiter

Jeder Mitarbeiter von Constellium ist verpflichtet, die personenbezogenen Daten, zu denen er/sie im Rahmen seiner Beschäftigung Zugang hat, als streng vertraulich zu behandeln.

Jeder Mitarbeiter von Constellium kann personenbezogene Daten unter Beachtung der bei Constellium festgelegten Prozesse erheben, nutzen und/oder verarbeiten, jedoch nur in dem Maße, wie zur Erfüllung seiner/ihrer Aufgabe erforderlich.

  • Datenschutzbeauftragter

Falls gesetzlich erforderlich, ernennt jede juristische Person von Constellium einen Datenschutzbeauftragten, der für die Beachtung der einschlägigen Datenschutz- und Privatsphärengesetze sowie die Bestimmungen dieser Regelung verantwortlich ist.

6. Art der Verarbeitung personenbezogener Daten

  • In welchem Zusammenhang erhalten wir personenbezogene Daten?
  • Durch die Akquise neuer Kunden;
  • Wenn Kunden, Lieferanten und/oder andere Personen uns über unsere Webseite, per Telefon, E-Mail oder auf andere Weise kontaktieren;
  • Im Zuge der Einstellung von Mitarbeitern.
  • Wie halten wir das Prinzip der in der DSGVO geforderten Transparenz ein?

Jede betroffene Person wird durch die personenbezogene Daten erhebende juristische Person von Constellium informiert, dass ihre personenbezogenen Daten erhoben, verwendet und/oder verarbeitet werden und wie ihre personenbezogenen Daten von Constellium behandelt werden.

Insbesondere wird jede betroffene Person informiert (i) welche Arten personenbezogener Daten verarbeitet werden, (ii) zu welchem speziellen Zweck, (iii) an wen solche personenbezogenen Daten weitergegeben werden und (iv) wie die betroffene Person ihre Rechte ausüben kann.

  • Art der Verwendung personenbezogener Daten

Personenbezogene Daten unterliegen einem Datengeheimnis. Constellium beachtet die folgenden Regeln, um eine unbefugte Erhebung, Verarbeitung oder Verwendung solcher Daten durch seine Mitarbeiter zu verhindern:

  • Mitarbeiter haben nur Zugang zu personenbezogenen Daten, wie für Art und Umfang der fraglichen Aufgabe erforderlich;
  • Mitarbeiter dürfen personenbezogene Daten weder innerhalb noch außerhalb des Unternehmens an Unbefugte weiterleiten;
  • Mitarbeiter dürfen personenbezogene Daten nicht informell teilen;
  • Mitarbeiter haben Hilfe von ihrem Vorgesetzen oder (ggfs.) Datenschutzbeauftragten einzuholen, wenn sie sich in Datenschutzfragen nicht sicher sind;
  • Mitarbeiter werden angemessen geschult, um ihre Verantwortlichkeiten beim Umgang mit personenbezogenen Daten besser zu verstehen.
  • Wie stellen wir die Richtigkeit der Daten sicher?

Constellium garantiert, dass personenbezogene Daten zutreffend sind und ggfs. unter Anwendung der folgenden Regeln aktualisiert werden:

  • Personenbezogene Daten werden an so wenig Orten wie möglich gespeichert. Mitarbeitern ist das Anlegen jeglicher zusätzlichen, nicht benötigten Datensätze untersagt.
  • Mitarbeiter haben jede Möglichkeit zu ergreifen, um sicherzustellen, dass personenbezogene Daten aktualisiert werden. Das Management sorgt dafür, dass entsprechende Datenbanken und Systeme regelmäßig überprüft werden.
  • Personenbezogene Daten sind bei Feststellung von Fehlern zu aktualisieren.
  • Art der Speicherung personenbezogener Daten

Constellium ist sich bewusst, dass die Zeiträume der Speicherung personenbezogener Daten auf ein striktes Minimum zu begrenzen sind.

Um eine sichere Speicherung zu garantieren, wendet Constellium die folgenden Regeln an:

  • Falls nicht benötigt, sind Papiere oder Daten in einer abgeschlossenen Schublade oder einem Aktenschrank zu verstauen.
  • Mitarbeiter haben sicherzustellen, dass Papiere und Ausdrucke nicht dort zurückbleiben, wo Unbefugte sie einsehen können.
  • Wenn nicht mehr erforderlich, sind Ausdrucke personenbezogener Daten zu schreddern und sicher zu entsorgen.
  • Personenbezogene Daten sind durch sichere Passwörter zu schützen, die regelmäßig geändert und nicht zwischen Mitarbeitern ausgetauscht werden.
  • Personenbezogene Daten sind nur auf spezifizierten Laufwerken und Servern zu speichern und nur auf zugelassene Cloud Computerdienste hochzuladen.
  • Server mit personenbezogenen Daten müssen an sicheren Orten abseits der allgemeinen Büroräume stehen.
  • Personenbezogene Daten sind häufig zu aktualisieren.
  • Alle Server und Computer mit personenbezogenen Daten müssen durch zugelassene Sicherheitssoftware und einen Firewall geschützt werden.

7. Rechte der betroffenen Personen

Gemäß der DSGVO hat jede betroffene Person die folgenden Rechte:

  • Auskunftsrecht (Artikel 15 DSGVO). In einigen Fällen hat die betroffene Person das Recht, eine Auskunft zu erlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und falls ja, auf Zugang zu den personenbezogenen Daten.
  • Recht auf Berichtigung (Artikel 16 DSGVO). Die betroffene Person hat das Recht auf die Berichtigung ihrer unzutreffenden personenbezogenen Daten.
  • Recht auf Löschung (Artikel 17 DSGVO). In einigen Fällen hat die betroffene Person das Recht auf die Löschung der sie betreffenden personenbezogenen Daten.
  • Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO). In einigen Fällen hat die betroffene Person das Recht auf die Einschränkung der Verarbeitung.
  • Recht auf Datenübertragbarkeit (Artikel 20 DSGVO). In einigen Fällen hat die betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen für die Verarbeitung bereitgestellt hat, in einer strukturierten, allgemein gebräuchlichen und maschinenlesbaren Form zu erhalten und diese Daten an einen anderen Verantwortlichen für die Verarbeitung weiterzugeben.
  • Widerspruchsrecht (Artikel 21 DSGVO). In einigen Fällen hat die betroffene Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit ein Widerspruchsrecht bezüglich der Verarbeitung der sie betreffenden personenbezogenen Daten.

Um die Anfragen beantworten und die personenbezogenen Daten sicher an die betroffene Person übermitteln zu können, hat Constellium einen internen Prozess für Anfragen betroffener Personen aufgestellt.

Eine betroffene Person kann ihre Rechte durch Senden einer E-Mail an die folgende Adresse ausüben: data.protection(at)constellium.com

8. Übertragung personenbezogener Daten

Constellium ist ein internationaler Konzern. Personenbezogene Daten können daher an Länder außerhalb des EWR übermittelt werden. In diesem Fall stellt Constellium sicher, dass das Land ein angemessenes Datenschutzniveau in Übereinstimmung mit Artikel 44 bis 50 DSGVO aufweist.

Die Übertragung personenbezogener Daten innerhalb der Constellium-Gruppe unterliegt angemessenen Schutzmaßnahmen, die in einem gruppeninternen Abkommen unter Bezug auf die Datenschutzbestimmungen der Europäischen Kommission (2004 Klauseln Controller to Controller und 2010 Klauseln Controller to Processor) festgelegt sind.

Die Übertragung personenbezogener Daten außerhalb der Constellium Gruppe wird fallweise gehandhabt. In diesem Fall garantiert Constellium, dass solche Transfers (i) auf der Grundlage einer Angemessenheitsentscheidung der EU-Kommission oder (ii) unter angemessenen Schutzmaßnahmen erfolgt.

9. Sicherheit

  • Technische und organisatorische Sicherheitsmaßnahmen

Constellium hat geeignete technische und organisatorische Maßnahmen ergriffen, um ein an das Risiko der jeweiligen Verarbeitung angepasste Sicherheitsniveau sicherzustellen.

Diese Maßnahmen werden in der „Allgemeinen Information zur Sicherheitsstrategie“ und den Folgedokumenten detailliert dargelegt:

  • Verletzung des Schutzes personenbezogener Daten

Im Fall eines Datenverstoßes hat Constellium einen internen Prozess aufgestellt, um die Verletzung des Schutzes personenbezogener Daten zu verhindern, aufzudecken und zu stoppen sowie zur umgehenden Verständigung der zuständigen Aufsichtsbehörde und ggfs. der betroffenen Personen.

LESEN SIE MEHR ÜBER DAS INFORMATION ZUM DATENSCHUTZ FÜR KUNDEN UND LIEFERANTEN