DIE „EUROPÄISCHEN DURCHFÜHRUNGSGRUNDSÄTZE”

Verbindliche unternehmensinterne Vorschriften – oder BCRs –  von American Express sind ein Mittel zur internationalen Übermittlung personenbezogener Daten innerhalb der American Express Group unter Einhaltung der geltenden Datenschutzgesetzgebung im Europäischen Wirtschaftsraum (EWR). Unsere BCRs umfassen die Grundsätze zum Datenschutz und zur Privatsphäre von American Express und diese zusätzlichen europäischen Durchführungsgrundsätze. Sie wurden vom Information Commission Office, der lokalen Datenschutzbehörde im Vereinigten Königreich, genehmigt und sind seit dem 28. Januar 2013 wirksam.

 

Diese europäischen Durchführungsgrundsätze bieten Informationen über die Art und Weise der
Sicherstellung der Einhaltung unserer Grundsätze zum Datenschutz und zur Privatsphäre im EWR durch American Express und die Vornahme einer Datenschutzbeschwerde im EWR.

 

PRINZIPIEN DER UMSETZUNG

DER

GRUNDSÄTZE ZUM DATENSCHUTZ UND ZUR PRIVATSPHÄRE VON AMERICAN EXPRESS

IM EUROPÄISCHEN WIRTSCHAFTSRAUM

(DIE „EUROPÄISCHEN DURCHFÜHRUNGSGRUNDSÄTZE”)

 

  1. Geltungsbereich

 

Die Prinzipien zur Umsetzung der Grundsätze zum Datenschutz und zur Privatsphäre von American Express im Europäischen Wirtschaftsraum (die „Europäischen Durchführungsgrundsätze”) gelten nur für personenbezogene Daten einer natürlichen Person, die: (i) im Zusammenhang mit den Aktivitäten einer im EWR eingerichteten American Express Gesellschaft verarbeitet werden; (ii) von einer außerhalb des EWR eingerichteten American Express Gesellschaft verarbeitet werden, wenn sich die Verarbeitungsaktivitäten ausdrücklich auf das Angebot von Waren oder Dienstleistungen an natürliche Personen im EWR beziehen; oder (iii) von einer außerhalb des EWR eingerichteten American Express Gesellschaft verarbeitet werden, wenn sich die Verarbeitungsaktivitäten ausdrücklich auf die Beobachtung der Verhaltensweisen der natürlichen Personen im EWR beziehen (die „Betroffenen Personen”).

 

Beachten Sie, dass die Verarbeitungsaktivitäten für die vorgenannten Punkte (ii) und (iii) auf Verarbeitungsaktivitäten begrenzt sind, die natürliche Personen in der EU „als Zielgruppe haben“, indem sie ihnen entweder Waren oder Dienstleistungen anbieten oder ihr Verhalten beobachten.

 

Insbesondere legen die europäischen Durchführungsgrundsätze dar, (i) wie die Grundsätze zum Datenschutz und zur Privatsphäre von American
Express (die „Grundsätze”) von der American Express Company mit eingetragenem Sitz im World Financial Center, 200 Vesey St. New York, NY 10285 („American Express” oder die „Gesellschaft”) und jeder Gesellschaft in der American Express Unternehmensgruppe umzusetzen sind, die personenbezogene Daten betroffener Personen verarbeitet (gemeinsam die „American Express Group”) und (ii) wie die verbindlichen unternehmensinternen Vorschriften der American Express Group wirksam werden. Die American Express Europe S.A. („AEESA”) ist die
europäische Gesellschaft innerhalb der American Express Group, die die Verantwortung dafür übernommen hat, sicherzustellen, dass die personenbezogenen Daten betroffener Personen gemäß den Grundsätzen und den europäischen Durchführungsgrundsätzen gespeichert oder verarbeitet werden.

 

Eine betroffene Person, die direkt als Bezieher eines Vorteils behandelt wird, der ihr durch die Prinzipien oder diese europäischen Durchführungsgrundsätze verliehen wird, kann diese Bestimmungen gegenüber AEESA als Drittbegünstigte durchsetzen, wie nachstehend beschrieben.  

Im Sinne dieser europäischen Durchführungsgrundsätze bezeichnen „personenbezogene Daten” Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person. Eine identifizierbare natürliche Person ist jemand, der direkt oder indirekt insbesondere durch Bezugnahme auf ein Identifizierungsmerkmal, wie einen Namen, eine Identifikationsnummer, Standortdaten, ein Online-Identifizierungsmerkmal, oder auf eine oder mehrere Faktoren identifiziert werden kann, die für die physische, physiologische, genetische, geistige, ökonomische, kulturelle oder gesellschaftliche Identität dieser natürlichen Person spezifisch sind.

 

2. GeltungsbereichVerfügbarkeit

 

Die Prinzipien und die europäischen Durchführungsgrundsätze sind auf den Webseiten von American Express in jedem Land im EWR abrufbar. Sie können auch ein Exemplar der Prinzipien und der europäischen Durchführungsgrundsätze in einem alternativen Format vom Datenschutzbeauftragten von AEESA an der Adresse, die nachstehend angegeben ist, oder von der lokalen American Express Organisation anfordern, die für Ihre Daten verantwortlich ist.

Die Prinzipien und diese europäischen Durchführungsgrundsätze müssen in Verbindung mit der Online-Datenschutzerklärung (für Kunden) oder der
Datenschutzerklärung für Online-Recruitment (für potenzielle Mitarbeiter) und anderen Mitteilungen, Bedingungen und Konditionen gelesen werden, die auf Ihre Beziehung zu American Express anwendbar sind. Diese Mitteilungen sowie Bedingungen und Konditionen können weitere Bestimmungen enthalten, die nach geltenden nationalen Gesetzen und Vorschriften für die Verarbeitung personenbezogener Daten relevant sind.

 

3.  Rechte betroffener Personen

Gemäß den europäischen Durchführungsgrundsätzen werden die Grundsätze zum Datenschutz und zur Privatsphäre wie folgt geändert, um die EU-Datenschutzgrundverordnung („DSGVO”) in Bezug auf American Express Gruppengesellschaften einzuhalten, die personenbezogene Daten betroffener Personen verarbeiten.

 

3.1.   Erhebung

 Personenbezogene Daten von betroffenen Personen werden auf rechtmäßige, faire und transparente Weise in Bezug auf die betroffenen Personen verarbeitet. American Express ist eine globale Zahlungsdienst- und Reisegesellschaft. Eine Beschreibung der Arten personenbezogener Daten und Sonderkategorien personenbezogener Daten, die verarbeitet werden, und die Art und Weise, auf die sie verarbeitet werden, ist in den Datenschutzerklärungen und anderen Mitteilungen, Bedingungen und Konditionen zu finden, die Ihnen vorgelegt werden, wenn Sie mit uns in Beziehung treten. 

 

American Express Gruppengesellschaften erheben personenbezogene Daten betroffener Personen nur für bestimmte, aus drückliche und berechtigte Zwecke und werden sicherstellen, dass personenbezogene Daten nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken nicht kompatibel sind. 

 

3.2.  Informationen, Fairness und Transparenz

 

American Express Gruppengesellschaften, die eine Verpflichtung haben, an betroffene Personen Informationen hinsichtlich der Verarbeitung gemäß der DSGVO zu übermitteln, werden den betroffenen Personen leichten Zugang zu den benötigten Informationen gewähren. Diese Informationen werden in präziser, transparenter, verständlicher und leicht zugänglicher Form
unter Nutzung eindeutiger und klarer Sprache an die betroffene Person übermittelt. Diese Informationen sind in der Online-Datenschutzerklärung (für Kunden) oder der Datenschutzerklärung für Online-Recruitment (für potenzielle Mitarbeiter) abrufbar.

 

3.3.  Datenqualität 

 

American Express Gruppengesellschaften, die personenbezogene Daten betroffener Personen verarbeiten, werden angemessene Schritte ergreifen, um sicherzustellen, dass personenbezogene Daten  betroffener Personen, die unter Berücksichtigung ihres Verarbeitungszwecks fehlerhaft sind, unverzüglich gelöscht oder korrigiert werden. 

 

Personenbezogene Daten betroffener Personen werden in einer Form, die die Identifizierung betroffener Personen gestattet, nicht länger speichern, als dies für die Zwecke nötig ist, für die die personenbezogenen Daten verarbeitet werden. Personenbezogene Daten können zu Archivierungszwecken, oder wenn anderweitig durch die DSGVO oder nach geltendem
Recht zugelassen, für einen längeren Zeitraum gespeichert werden, jedoch nur wenn angemessene technische und organisatorische Maßnahmen ergriffen werden.

 

3.4.  Sicherheit und Vertraulichkeit 

 

Die Anforderungen dieses Grundsatzes umfassen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten betroffener Personen vor unbefugter oder
rechtswidriger Verarbeitung und gegenüber unbeabsichtigtem Verlust, Zerstörung oder Beschädigung.

 

3.5.  Offenheit und Datenzugriff

 

Die Gesellschaften der American Express Group beachten die Rechte, die betroffenen Personen gewährt werden: Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung („Vergessenwerden”), Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht in Bezug auf die Verarbeitung, Recht auf Rücknahme der Zustimmung und das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung
unterworfen zu werden. 

 

3.6.  Internationale Übermittlungen

 

Personenbezogene Daten betroffener Personen werden innerhalb der American Express Group übermittelt. Dieser Datentransfer wird durch eine Kombination aus von der EU genehmigten verbindlichen unternehmensinternen Vorschriften und Datentransferverträgen, einschließlich
EU-Musterverträgen, legitimiert. Besondere personenbezogene Daten werden nicht übermittelt,
es sei denn, die betroffene Person hat dieser Übermittlung zugestimmt.

 

3.7.  Verantwortlichkeit

 

Alle Gesellschaften der American Express Group, die personenbezogene Daten betroffener Personen verarbeiten, sind für die Einhaltung der DSGVO verantwortlich und in der Lage, dieses zu
demonstrieren, einschließlich der Pflege elektronischer Aufzeichnungen aller Kategorien von Verarbeitungsaktivitäten.

 

4.  Privacy by Design

 

Gesellschaften der American Express Group, die personenbezogene Daten betroffener Personen
verarbeiten, setzen technische und organisatorische Maßnahmen ein, die entwickelt wurden, um Datenschutzgrundsätze umzusetzen und die Einhaltung der Vorgaben dieser europäischen Durchführungsgrundsätze zu erleichtern.

 

5.  Compliance-Programm

 

5.1. Compliance

 

Um die Einhaltung der Prinzipien und der europäischen Durchführungsgrundsätze zu  gewährleisten, wurde ein Compliance-Programm eingerichtet, das regelmäßige Compliance-Kontrollen und -Prüfungen des Geschäftsbetriebs der American Express Group vorsieht. Die Ergebnisse dieser Compliance-Kontrollen und -Prüfungen werden dem Global Privacy
Office von American Express, dem AEESA Datenschutzbeauftragten, den zuständigen Aufsichtsbehörden (wenn gefordert) und gegebenenfalls dem Prüfungsausschuss des Vorstands der American Express Company mitgeteilt. Wird eine Compliance-Lücke festgestellt, muss die entsprechende Gesellschaft der American Express Group im EWR etwaigen Sonderanfragen des
Datenschutzbeauftragten von AEESA nachkommen, oder, wenn den Anfragen nicht nachgekommen werden kann, die Gründe hierfür dokumentieren. Die American Express Group wird auch bei Compliance-Kontrollen kooperieren, die von einer zuständigen Aufsichtsbehörde durchgeführt werden, unabhängig davon, ob sie als Reaktion auf eine Beschwerde einer betroffenen Person oder
auf eigene Initiative der Aufsichtsbehörde eingeleitet werden.

 

5.2. Kooperation

 

Alle Gesellschaften innerhalb der American Express Group, die personenbezogene Daten betroffener Personen verarbeiten, werden beim Umgang mit Anforderungen, Prüfungen, Fragen und Beschwerden mit der zuständigen Aufsichtsbehörde kooperieren.  Stellt die Aufsichtsbehörde fest, dass eine Gesellschaft in der American Express Group etwaige Rechte aus diesen europäischen Durchführungsgrundsätzen verletzt hat, wird die entsprechende Gesellschaft in der American Express Group die Feststellungen der Aufsichtsbehörde vorbehaltlich des Rechts des Bestreitens
oder der Anfechtung dieser Feststellungen einhalten.

 

6.     Compliance, Vollstreckung und Haftung

 

Alle Gesellschaften in der American Express Group, die personenbezogene Daten betroffener Personen verarbeiten, müssen die Bestimmungen der europäischen Durchführungsgrundsätze und andere Richtlinien und Verfahren einhalten, die für die American Express Group verbindlich sind. Gesellschaften in der American Express Group werden die Einhaltung des europäischen nationalen Datenschutzrechts und des Rechts zur Privatsphäre einhalten, und eine Vollstreckung erf olgt unter
Einhaltung dieses europäischen nationalen Rechts.

 

6.1. Durchsetzung

 

Jede betroffene Person kann gegenüber AEESA oder einer Gesellschaft der American Express Group, die personenbezogene Daten betroffener Personen verarbeitet, die Bedingungen der folgenden Bestimmungen der europäischen Durchführungsgrundsätze als Drittbegünstigte durchsetzen: 

    a)    Rechte betroffener Personen (Abschnitt 3)

    b)    Kollisionsrecht (Abschnitt 8)

    c)    Fragen oder Beschwerden (Abschnitt 9)

    d)   Kooperation (Abschnitt 5.2) und

    e)    Compliance, Durchsetzung und Haftung (Abschnitt 6.1 und 6.2).

 

Betroffene Personen haben das Recht auf Rechtsbehelfe und das Recht auf Abhilfe und gegebenenfalls auf Schadensersatz bis zur Höhe der tatsächlichen Schäden, die vom Beschwerdeführer infolge der Verletzung der vorstehend genannten Rechte eines Drittbegünstigten erlitten wurden.

 

Betroffene Personen können ihren Anspruch bei einem zuständigen Gericht des EU-Mitgliedstaates einreichen, in dem die entsprechende Gesellschaft der American Express Group gegründet ist, oder in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat.

 

6.2. Haftung

 

AEESA übernimmt die Verantwortung für eine Verletzung der Grundsätze oder der europäischen Durchführungsgrundsätze durch eine Gesellschaft der American Express Group außerhalb der EU, die personenbezogene Daten betroffener Personen verarbeitet. AEESA wird etwaige erforderliche Schritte ergreifen, um den Handlungen oder Unterlassungen der Gesellschaften der American Express Group, die personenbezogene Daten betroffener Personen verarbeiten, Abhilfe zu schaffen.

AEESA haftet für die Zahlung von Entschädigung für wesentliche oder nicht wesentliche Schäden, die von betroffenen Personen in Verbindung mit einer Verletzung der Grundsätze oder der europäischen Durchführungsgrundsätze erlitten werden. Eine Entschädigung muss von dem AEESA Datenschutzbeauftragten bewilligt werden, bevor ein Angebot der Abhilfe oder der Zahlung erfolgt. Eine solche Entschädigung erfolgt unter vollständiger Befriedigung des Anspruchs der betroffenen Person gegenüber allen Gesellschaften in der American Express Group. Um Zweifel zu vermeiden, erstreckt sich die Haftung von AEESA auf die Handlungen oder Unterlassungen einer Gesellschaft in der American Express Group, die sich nicht in der EU befindet.

 

Wenn eine Gesellschaft der American Express Group, die sich außerhalb der EU befindet, die Grundsätze oder die europäischen Durchführungsgrundsätze verletzt, sind die Gerichte oder andere zuständige Behörden in der EU in Bezug auf diese Verletzung zuständig. Soweit eine Gesellschaft der American Express Group, die personenbezogene Daten betroffener Personen verarbeitet, die europäischen Durchführungsgrundsätze verletzt, können die betroffenen Personen, Aufsichtsbehörden und Gerichte der jeweiligen Rechtsordnungen ihre Rechte ausüben und einen Anspruch gegen AEESA geltend machen, als würde dieses Vorgehen von AEESA in der EU ausgeübt. 

 

AEESA trägt die Beweislast hinsichtlich des Nachweises, dass die Gesellschaft der American Express Group, die sich außerhalb der EU befindet, nicht für eine vermeintliche Verletzung der

Grundsätze oder der europäischen Durchführungsgrundsätze haftet, der den Anspruch der betroffenen Person auf Schadenersatz zur Folge hat. Wenn AEESA beweisen kann, dass die Gesellschaft der American Express Group außerhalb der EU nicht für das Ereignis verantwortlich ist, das den Schaden nach sich zieht, können AEESA und diese Gesellschaft sich aus der Verantwortung und Haftung entlassen.

 

7.      Schulung

 

American Express wird den Mitarbeitern von American Express, die personenbezogene Daten betroffener Personen erheben, nutzen oder Zugriff darauf haben, oder die Systeme entwickeln, die personenbezogene Daten betroffener Personen verarbeiten, geeignete Schulungsmaterialien und -kurse zur Verfügung stellen, um zu gewährleisten, dass sie ihre Pflichten aus den Grundsätzen und diesen europäischen Durchführungsgrundsätzen kennen.

 

Impressum

Copyright © 2020 American Express Company, Alle Rechte vorbehalten. Es gelten die Bedingungen der American Express Web Site Regeln und Bestimmungen.