EY-Programm für verbindliche Unternehmensrichtlinien zum Datenschutz
EY hat ein Programm für verbindliche Unternehmensrichtlinien (Binding Corporate Rules, BCR) zur Einhaltung der Europäischen Datenschutzrichtlinie, insbesondere im Hinblick auf die Übermittlung personenbezogener Daten zwischen EY-Netzwerkunternehmen, eingeführt. Das BCR-Programm beinhaltet jeweils eine Richtlinie für Verantwortliche (Controller) und für Auftragsverarbeiter (Processor).
Im BCR-Programm bezieht sich „EY“ auf die globale Organisation aus unabhängigen Mitgliedsunternehmen („EY-Mitgliedsunternehmen“) und anderen Unternehmen der EY-Organisation („EY-Netzwerkunternehmen“), die die Anforderungen von Ernst & Young Global Limited („EYG“) einhalten müssen. EYG ist die zentrale Managementgesellschaft der EY-Organisation und koordiniert die EY-Netzwerkunternehmen und deren Zusammenarbeit.
Was ist Datenschutzrecht?
Das Datenschutzrecht räumt den Bürgern das Recht ein, zu kontrollieren, wie ihre personenbezogenen Daten1 verwendet werden. Wenn EY die personenbezogenen Daten seiner derzeitigen, ehemaligen und potenziellen Partner, Mitarbeiter, Mandanten, Lieferanten und Auftragnehmer sowie sonstiger Dritter sammelt und verwendet, unterliegt dies dem Datenschutzrecht.
Wie beeinflusst das Datenschutzrecht EY international?
Die Datenschutzgesetze erlauben keinen Transfer personenbezogener Daten in Länder außerhalb Europas 2 , wenn kein angemessenes Datenschutzniveau gewährleistet ist. Einige Länder, in denen EY tätig ist, gewährleisten nach Sicht der europäischen Datenschutzbehörden kein angemessenes Datenschutzniveau.
Was unternimmt EY konkret?
EY muss angemessene Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten durch unser Unternehmen weltweit mit der gebotenen Sicherheit und somit rechtmäßig verwendet werden. Der Zweck des BCR-Programms besteht deshalb darin, ein Rahmenkonzept zu entwickeln, das den Standards der Europäischen Datenschutzrichtlinie entspricht und auf diese Weise einen angemessenen Schutz für alle personenbezogenen Daten, die von europäischen an außereuropäische EY-Netzwerkunternehmen übermittelt werden, gewährleisten.
Das BCR-Programm wird von EY weltweit und in allen Fällen, in denen EY personenbezogene Daten manuell oder automatisch verarbeitet, angewandt und zwar unabhängig davon, ob sich diese personenbezogenen Daten auf derzeitige, ehemalige oder potenzielle Partner, Mitarbeiter, Mandanten, Lieferanten und Auftragnehmer von EY oder sonstige Dritte beziehen3.
Zentraler Bestandteil des BCR-Programms sind verschiedene wesentliche Regeln, die auf den relevanten europäischen Datenschutzstandards basieren und gemäß diesen Standards auszulegen sind. Diese Regeln müssen von jedem Partner, Mitarbeiter und Auftragnehmer beim Umgang mit personenbezogenen Daten befolgt werden.
Alle EY-Mitgliedsunternehmen, die durch Unterzeichnung einer Beitrittsvereinbarung Mitglied von EYG geworden sind, sind verpflichtet, die BCR einzuhalten. Mit der Unterzeichnung der Beitrittsvereinbarung sind die EY-Mitgliedsunternehmen an alle einheitlichen Standards, Methoden und Richtlinien von EY, die im Regelwerk von EYG („EYG Regulations“) festgelegt sind, gebunden. Das BCR-Programm ist Teil eines der einheitlichen Standards, der in den EYG Regulations besonders hervorgehoben wird. Die EY-Mitgliedsunternehmen sind dafür verantwortlich sicherzustellen, dass die von ihnen beherrschten Unternehmen die Vorschriften der EYG Regulations ebenfalls einhalten.
Kontrolle Ihrer personenbezogenen Daten
Wenn Sie auf Ihre personenbezogenen Daten, die von EY verarbeitet werden, zugreifen möchten oder wenn Sie die Richtigstellung, Löschung oder Einschränkung der Verarbeitung Ihrer personenbezogenen Daten oder eine Kopie davon beantragen möchten, wenden Sie sich bitte an global.data.protection@ey.com.
Weitere Informationen
Den vollständigen Wortlaut unserer Binding Corporate Rules Controller Policy entnehmen Sie bitte unserem PDF.
Den vollständigen Wortlaut unserer Binding Corporate Rules Processor Policy entnehmen Sie bitte unserem PDF.
Infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union hat EY nun eine britische Version seiner BCR erstellt, um dem britischen Datenschutzrecht zu entsprechen.
Den vollständigen Text unserer UK Binding Corporate Rules Controller Policy finden Sie hier (pdf).
Den vollständigen Text unserer UK Binding Corporate Rules Processor Policy finden Sie hier (pdf).
Für zusätzliche Informationen zu unserem BCR-Programm („BCR: a global data-sharing solution“) nutzen Sie bitte unseren PDF-Download".
Bei Fragen zu den einzelnen Bestimmungen des BCR-Programms, zu Ihren Rechten gemäß diesem BCR-Programm oder bei sonstigen Fragen zum Datenschutz wenden Sie sich bitte an den EY Global Privacy Leader. Dieser wird sich entweder selbst um die Angelegenheit kümmern oder Sie an einen zuständigen Mitarbeiter oder eine entsprechende Abteilung innerhalb von EY verweisen. Der EY Global Privacy Leader ist unter dem folgenden Link zu erreichen:
Felipe Paez
Global Privacy Leader
Anmerkungen
1 Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen gemäß der Datenschutzgrundverordnung 2016/679.
2 Für den Zweck der BCRs umfasst Europa den Europäischen Wirtschaftsraum und die Schweiz.
3 „Verarbeitung“ ist nach der DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.