Letzte Aktualisierung: Oktober 2021
Der Schutz Ihrer Daten ist uns sehr wichtig. Wir haben diese globale Datenschutzrichtlinie entwickelt, um Ihnen darzulegen, wie wir Ihre personenbezogenen Daten erheben, verwenden, speichern, teilen, übertragen, weitergeben, löschen oder auf andere Weise verarbeiten. Diese Richtlinie beschreibt die Maßnahmen, die wir ergreifen, um den Schutz Ihrer personenbezogenen Daten zu gewährleisten. Ebenso teilen wir Ihnen mit, wie Sie uns erreichen können, falls Sie Fragen zum Datenschutz bei Sodexo haben.
INHALT
Anwendungsbereich
Definitionen
Erhebung und Verarbeitung Ihrer personenbezogenen Daten
Cookies
Ihre Rechte
Minderjährige
Aktualisierung dieser Richtlinie
Kontakt
ANWENDUNGSBEREICH
Diese Richtlinie gilt für die gesamte Organisation von Sodexo – Unternehmen und für alle Aktivitäten in allen Regionen, in denen Sodexo tätig ist und in denen die verbindlichen Unternehmensrichtlinien von Sodexo oder die Datenschutzgrundverordnung gelten. Diese Richtlinie bezieht sich auf die Verarbeitung personenbezogener Daten, die von Sodexo direkt oder indirekt von natürlichen Personen erhoben werden, einschließlich, aber nicht beschränkt auf: aktuelle, frühere oder potenzielle Bewerber, Mitarbeiter, Kunden, Verbraucher, Begünstigte, Kinder, Minderjährige, Lieferanten, Dienstleister, Auftragnehmer, Unterauftragnehmer von Sodexo, Aktionäre oder sonstige Dritte, wobei „personenbezogene Daten“ als Daten definiert werden, die sich auf eine identifizierte oder identifizierbare Person oder eine Person beziehen, die mit Mitteln identifiziert werden kann, deren Verwendung nach vernünftiger Betrachtung wahrscheinlich erscheint.
In dieser Richtlinie bedeutet “Sie” und “Ihr” jede natürliche Person, auf die diese Richtlinie Anwendung findet. “Wir”, “uns”, “unser” und “Sodexo” bedeutet die globale Organisation von Sodexo-Unternehmen.
DEFINITIONEN
Anfrage bezeichnet einen der Mechanismen, die die DSGVO Einzelpersonen zur Ausübung ihrer Rechte zur Verfügung stellt (z. B. das Recht auf Auskunft, Berichtigung, Löschung usw.). Eine Person kann eine Anfrage an jedes Unternehmen stellen, das seine personenbezogenen Daten verarbeitet.
Aufsichtsbehörde ist eine von einem Mitgliedstaat gemäß Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.
Beschwerde bezeichnet die von einer betroffenen Person bei einer Aufsichtsbehörde oder einem Gericht eingereichte Beschwerde, wenn die betroffene Person der Ansicht ist, dass ihre Rechte aus der DSGVO verletzt sind.
Besondere Kategorien personenbezogener Daten oder sensible Daten sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Definition umschließt auch personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln.
BDSG Bundesdatenschutzgesetz
EU/EWR bedeuten Europäische Union/ Europäischer Wirtschaftsraum
Europäisches Datenschutzrecht oder Datenschutzgrundverordnung oder DSGVO ist die Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
Lokaler Ansprechpartner für den Datenschutz ist die Person, die von einem Sodexo-Unternehmen ernannt wurde und für die Behandlung lokaler Datenschutzthemen zuständig ist. Dieser Ansprechpartner ist Teil des Globalen Datenschutznetzwerks von Sodexo.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Privacy by default bedeutet, dass das Personal für den Umgang mit personenbezogenen Daten geschult werden und Verfahren einführen sollte, die sicherstellen, dass bei jeder Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen ergriffen werden, um zu gewährleisten, dass standardmäßig nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (in Bezug auf die Menge der verarbeiteten Daten, den Umfang der Verarbeitung und die Datenaufbewahrung) und nur einer begrenzten Anzahl von Personen zugänglich gemacht werden, die davon Kenntnis haben müssen.
Privacy by design bedeutet, dass bei Beginn eines neuen digitalen Projekts oder bei Teilnahme an einer Ausschreibung personenbezogene Daten durch technische Voreinstellungen geschützt werden. Das heißt, dass sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Umsetzung der Verarbeitung der Datenschutz und die damit verbundenen angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Daten berücksichtigt werden. Das gleiche Prinzip gilt, wenn Sodexo beabsichtigt, sich mit einem Unternehmen zusammenzuschließen oder ein Unternehmen zu erwerben. Es muss sichergestellt werden, dass die Datenschutzgrundsätze eingehalten werden.
Sodexo-Unternehmen sind Unternehmen, Personengesellschaften oder andere Unternehmen und Organisationen, die als Mitglied der Sodexo-Gruppe zugelassen werden.
Verantwortlicher ist die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
Verarbeitung oder verarbeiten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
ERHEBUNG UND VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN
EINHALTUNG DES EUROPÄISCHEN DATENSCHUTZRECHTS UND ALLER ZUSÄTZLICH GELTENDEN LOKALEN DATENSCHUTZGESETZE
Wir verpflichten uns, alle anwendbaren Gesetze in Bezug auf personenbezogene Daten einzuhalten und stellen sicher, dass personenbezogene Daten in Übereinstimmung mit den Bestimmungen des europäischen Datenschutzgesetzes und anderen anwendbaren lokalen Gesetzen, falls vorhanden, gesammelt und verarbeitet werden.
RECHTMÄSSIGKEIT, VERARBEITUNG NACH TREU UND GLAUBEN UND TRANSPARENZ
Wir erheben und verarbeiten keine personenbezogenen Daten, ohne dafür einen rechtmäßigen Grund zu haben. Es kann sein, dass wir Ihre personenbezogenen Daten erheben und verarbeiten müssen, wenn dies für die Erfüllung eines Vertrages erforderlich ist, an dem Sie beteiligt sind, oder wenn es für die Einhaltung einer gesetzlichen Verpflichtung erforderlich ist, der wir unterliegen, oder wenn dies mit Ihrer vorherigen Zustimmung erforderlich ist. Wir können Ihre personenbezogenen Daten auch zur Wahrung der berechtigten Interessen von Sodexo erheben und verarbeiten, es sei denn, diesen Interessen gehen Ihre Interessen oder Grundrechte und -freiheiten vor.
Bei der Erhebung und Verarbeitung Ihrer personenbezogenen Daten stellen wir Ihnen eine faire und vollständige Information oder Datenschutzerklärung darüber zur Verfügung, wer für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich ist, zu welchen Zwecken Ihre personenbezogenen Daten verarbeitet werden, wer die Empfänger sind, welche Rechte Sie haben und wie Sie diese ausüben können, usw., es sei denn, dies ist unmöglich oder erfordert einen unverhältnismäßigen Aufwand.
Wenn dies nach geltendem Recht erforderlich ist, holen wir Ihre vorherige Zustimmung ein (z. B. vor der Erhebung sensibler personenbezogener Daten).
ZWECKBINDUNG UND DATENMINIMIERUNG
Ihre personenbezogenen Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken nicht mehr vereinbar ist.
Wenn Sodexo für seine eigenen Zwecke als Verantwortlicher handelt, werden Ihre personenbezogenen Daten hauptsächlich für die im Folgenden (nicht abschließend) aufgezählten Zwecke verarbeitet:
Bewerbermanagement, Personalmanagement, Buchhaltung und Finanzmanagement und damit verbundene Kontrollen und Berichterstattung, Treasury Management, Risikomanagement, Bereitstellung und Management von Maßnahmen der Gesundheit und Sicherheit am Arbeitsplatz, Bereitstellung des Active Directory, Bereitstellung von IT-Tools, internen Webseiten und anderen digitalen Lösungen oder Kollaborationsplattformen, Management des IT-Supports einschließlich Infrastrukturmanagement, Systemmanagement, Management von Anwendungen, Informationssicherheitsmanagement, Customer Relationship Management, Angebotsmanagement, Vertriebs- und Marketingmanagement, Beschaffungsmanagement, internes und externes Kommunikations- und Veranstaltungsmanagement, Einhaltung von Gesetzen auf den Gebiet der Betrugs- und Geldwäscheprävention oder sonstigen gesetzlichen Anforderungen, Datenanalysevorgänge, rechtliche Maßnahmen der Unternehmensführung und Implementierung von Compliance-Prozessen.
RICHTIGKEIT DER DATEN UND SPEICHERBEGRENZUNG
Personenbezogene Daten, die von Sodexo verarbeitet werden, werden sachlich richtig und erforderlichenfalls auf dem neuesten Stand gehalten.
Darüber hinaus werden wir Ihre personenbezogenen Daten nur so lange speichern, wie dies zu den Zwecken, zu denen sie erhoben wurden, sowie zu anderen zulässigen Zwecken erforderlich ist.
Dies schließt Zwecke zur Erfüllung gesetzlicher buchhalterischer oder berichtspflichtiger Anforderungen ein, sofern deren Einhaltung für Sodexo erforderlich ist, um rechtliche Ansprüche geltend zu machen oder sich gegen diese zu verteidigen. Dies gilt bis zum Ende der jeweiligen Aufbewahrungsfrist oder bis zur Begleichung der betreffenden Ansprüche. Wenn Sie mehr über unsere spezifischen Aufbewahrungsfristen für Ihre personenbezogenen Daten erfahren möchten, die in unseren Aufbewahrungsrichtlinien festgelegt sind, können Sie uns unter dpo.group@sodexo.com kontaktieren.
Nach Ablauf der geltenden Aufbewahrungsfrist werden wir Ihre personenbezogenen Daten gemäß den geltenden Gesetzen und Vorschriften vernichten.
DIE SICHERHEIT IHRER PERSONENBEZOGENEN DATEN
Wir ergreifen gemäß unserer internen Sicherheitsrichtlinien geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten sicher aufzubewahren und vor Verlust, Zerstörung, Manipulation, Missbrauch und vor dem Zugriff unberechtigter Personen zu schützen.
Wir beachten die Prinzipien der datenschutzfreundlichen Voreinstellung und Technikgestaltung, um erforderliche Schutzmaßnahmen umzusetzen und die Daten während des Verarbeitungsprozesses zu schützen. Abhängig vom Grad des Risikos für die Rechte und Freiheiten natürlicher Personen, führen wir eine Datenschutzfolgenabschätzung durch, um angemessene Schutzmaßnahmen zu definieren und den Schutz der personenbezogenen Daten zu gewährleisten, Zusätzliche Sicherheitsmaßnahmen gelten dem Schutz der Daten, welche als sensible Daten zu qualifizieren sind.
OFFENLEGUNG IHRER PERSONENBEZOGENEN DATEN
Wir geben Ihre personenbezogenen Daten an genannte Empfänger und unter folgenden Umständen weiter:
- an Unternehmen der Sodexo Gruppe zu den in dieser Richtlinie beschriebenen Zwecken;
- an Dritte, einschließlich bestimmter Dienstleister, die wir im Zusammenhang mit den in dieser Richtlinie beschriebenen Zwecken und den von uns erbrachten Dienstleistungen beauftragt haben;
- an Unternehmen, die Dienstleistungen im Zusammenhang mit Überprüfungen zur Geldwäsche-, Terrorismus-, und Betrugsprävention erbringen;
- an Gerichte, Strafverfolgungsbehörden, Finanz- und Aufsichtsbehörden, andere Regierungsstellen;
- an Anwälte oder anderen Parteien, wenn dies zur Begründung, Ausübung oder Verteidigung eines Anspruchs oder zur Durchführung eines anderen Streitbeilegungsverfahrens erforderlich ist;
- an Dienstleister, die wir innerhalb oder außerhalb von Sodexo im In- oder Ausland engagieren, um personenbezogene Daten für einen der oben genannten Zwecke in unserem Namen und nach unseren Weisungen zu verarbeiten, z. Bsp. Shared Service Center.
- Wenn wir ein Geschäft oder Unternehmensanteile verkaufen oder kaufen, können wir in diesem Fall Ihre personenbezogenen Daten an den potenziellen Verkäufer oder Käufer eines solchen Geschäfts oder Anteils weitergeben, wenn wir unsere Rechte und Pflichten übertragen.
VERARBEITUNG IN EINEM DRITTLAND
Das europäische Datenschutzgesetz erlaubt keine Weitergabe personenbezogener Daten an Drittländer außerhalb der EU oder des EWR, die kein angemessenes Datenschutzniveau gewährleisten.
Da es sich bei SODEXO um einen international agierenden Konzern handelt, können Ihre Daten an autorisierte interne oder externe Empfänger übertragen werden, welche möglicherweise in Ländern außerhalb der EU oder des EWR ansässig sind, unter anderem auch in Ländern, deren Datenschutzgesetze nicht mit den im EWR geltenden Datenschutzgesetzen vergleichbar sind. Sollten wir personenbezogene Daten in ein Land übermitteln, das von der europäischen Kommission nicht als Land anerkannt wurde, dessen Schutzniveau dem Schutzniveau des EWR gleichwertig ist, werden wir diese Übermittlung unter Anwendung der Schutzmaßnahmen vornehmen, die eine Übermittlung im Einklang mit anwendbaren europäischen Datenschutzgesetzen ermöglichen, z.B. unter Verwendung der Standardvertragsklauseln wie sie von der der Europäischen Kommission genehmigt wurden.
Sie erhalten zum Zeitpunkt der Erhebung Ihrer personenbezogenen Daten durch entsprechende Datenschutzhinweise oder Datenschutzrichtlinien weitere Informationen bezüglich der Übertragung Ihrer personenbezogenen Daten außerhalb Europas.
Weitere Informationen, oder Kopien der Dokumente, welche die Übertragung Ihrer Daten absichern können Sie unter dpo.group@sodexo.com erfragen.
COOKIES
Einige unserer Webseiten verwenden möglicherweise “Cookies”. Cookies sind kleine Dateien, die beim Besuch bestimmter Webseiten auf der Festplatte Ihres Computers abgelegt werden und spezifische, auf das Endgerät des Nutzers bezogene Informationen zu speichern. Wir können Cookies verwenden, um die Webseitennutzung zu erfassen, z.B. um zu erfahren, ob Sie unsere Webseite bereits besucht haben oder ob Sie ein neuer Besucher sind. Zudem sollen uns Cookies dabei helfen, durch Nutzerverhalten beliebte Funktionen zu identifizieren und diese weiter zu verbessern. Cookies können Ihre Online-Erfahrung verbessern, indem sie es ermöglichen, dass Ihre Einstellungen gespeichert werden, während Sie die Webseite besuchen.
Wir werden Sie beim Besuch unserer Webseiten darüber informieren, welche Arten von Cookies wir verwenden und wie Sie diese Cookies auf Wunsch deaktivieren können. Wenn es gesetzlich vorgeschrieben ist, können Sie bei besuch der Webseite der Verwendung von bestimmten Cookies widersprechen. Weitere Informationen finden Sie in unseren Cookie-Richtlinien.
IHRE RECHTE
Sodexo verpflichtet sich, den Schutz Ihrer Rechte zu gewährleisten. Nachfolgend finden Sie eine Tabelle, in der Ihre verschiedenen Rechte zusammengefasst sind:
Recht auf Auskunft und Berichtigung | Sie können eine Kopie der personenbezogenen Daten anfordern, die wir über Sie gespeichert haben. Sie können auch die Berichtigung unrichtiger personenbezogener Daten oder die Vervollständigung unvollständiger personenbezogener Daten verlangen. |
Recht auf Datenlöschung | Ihr Recht auf Vergessenwerden berechtigt Sie dazu, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn (i) die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind; (ii) Sie sich entscheiden, Ihre Einwilligung zu widerrufen; (iii) Sie Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einlegen; (iv) Ihre personenbezogenen Daten unrechtmäßig verarbeitet worden sind; (v) eine gesetzliche Verpflichtung zur Löschung Ihrer personenbezogenen Daten besteht; (vi) die Löschung ist erforderlich, um die Einhaltung der geltenden Gesetze zu gewährleisten. |
Recht auf Einschränkung der Verarbeitung | Sie können beantragen, dass die Verarbeitung Ihrer personenbezogenen Daten in den Fällen eingeschränkt wird, in denen |
Recht auf Datenübertragbarkeit | Sie können gegebenenfalls die Übertragbarkeit Ihrer personenbezogenen Daten, die Sie SODEXO zur Verfügung gestellt haben, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format verlangen. Sie haben das Recht, diese Daten ohne Behinderung durch SODEXO an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, wenn |
Recht, keinen automatisierten Entscheidungen unterworfen zu werden | Sie haben das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Sie rechtlich berührt oder erheblich beeinträchtigt. |
Widerspruchsrecht | Sie können der Verarbeitung Ihrer personenbezogenen Daten widersprechen, insbesondere im Zusammenhang mit Profiling oder Marketingkommunikation. Wenn wir Ihre personenbezogenen Daten auf der Grundlage Ihrer Einwilligung verarbeiten, können Sie Ihre Einwilligung jederzeit widerrufen. |
Recht, der zuständigen Behörde eine Beschwerde zu übermitteln | Sie können eine Beschwerde bei der Datenschutzbehörde in dem Land einreichen, in dem Sie Ihren gewöhnlichen Aufenthalt oder Ihren Arbeitsplatz haben, oder an dem Ort des mutmaßlichen Verstoßes, unabhängig davon, ob Sie einen Schaden erlitten haben. |
Sie können jederzeit von den oben genannten Rechten Gebrauch machen oder sich mit datenschutzbezogenen Fragen oder Anliegen an uns wenden, indem Sie
- eine E-Mail an die Konzerndatenschutzbeauftragte unter dpo.group@sodexo.com senden, den lokalen Ansprechpartner unter den in den lokalen Datenschutzerklärungen genannten Kontaktdaten kontaktieren, oder
- das Onlineformular ausfüllen und absenden
MINDERJÄHRIGE
Kinder und Minderjährige verdienen einen besonderen Schutz in Bezug auf ihre personenbezogenen Daten, da sie sich der Risiken, Folgen und benötigten Schutzmaßnahmen, sowie ihrer Rechte möglicherweise wenig bewusst sind.
Ein spezifischer Schutz sollte für die Erhebung und Verarbeitung personenbezogener Daten von Kindern insbesondere dann gegeben sein, wenn einem Kind Dienste der Informationsgesellschaft direkt angeboten werden, wenn die Daten zu Marketingzwecken oder zur Erstellung von Persönlichkeits- bzw. Benutzerprofilen benutzt werden.
Wir erheben und verarbeiten personenbezogene Daten von Kindern nicht ohne die Zustimmung des Obsorgeberechtigten, sofern diese erforderlich ist. Insbesondere vermarkten wir unsere Dienstleistungen nicht direkt an Kinder. Hiervon kann es Ausnahmen geben, welche nur für bestimmte Dienstleistungen gelten und für die im Vorfeld die Einwilligung des Obsorgeberechtigten eingeholt wird. Wenn Sie der Meinung sind, dass wir versehentlich personenbezogene Daten von Kindern erhoben haben, benachrichtigen Sie uns bitte über die unten angegebenen Kontaktdaten.
AKTUALISIERUNG
Neue rechtliche Vorgaben, unternehmerische Entscheidungen oder die technische Entwicklung erfordern gegebenenfalls Änderungen in unserer Datenschutzrichtlinie. Diese Datenschut wird dann entsprechend angepasst. Die aktuelle Version finden Sie immer auf unserer Webseite.
KONTAKT
Wenn Sie Fragen, Kommentare und Anfragen zu dieser Richtlinie haben, können Sie können Sie die Konzerndatenschutzbeauftragten unter dpo.group@sodexo.com oder die lokale Datenschutzstelle datenschutz.at@sodexo.com kontaktieren.