Datenschutzhinweis

1.1 Anwendungsbereich

(1) Die Policy gilt für die Verarbeitung personenbezogener Daten natürlicher Personen, insbesondere der Daten von Kunden und Kundinnen, Beschäftigten, Aktionären und Aktionärinnen und Geschäftspartnern und -partnerinnen, und soll ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten von DHL Group Konzerngesellschaften mit Sitz in der Europäischen Union (EU) / dem Europäischen Wirtschaftsraum (EWR) an DHL Group Konzerngesellschaften in einem Drittland schaffen, das kein angemessenes Schutzniveau aufweist. Die Kategorien der verarbeiteten personenbezogenen Daten sowie die Zwecke der Datenverarbeitung hängen von der Beziehung ab, die die betroffenen Personen mit einer oder mehreren Konzerngesellschaften der DHL Group haben können. Die in dieser Policy geregelte Datenverarbeitung bezieht sich in erster Linie auf die Durchführung von Beschäftigungsverhältnissen, angefangen von der Aufnahme eines Arbeitsverhältnisses bis hin zu möglichen Karriere- und Entwicklungsmöglichkeiten sowie auf das Kundenbeziehungsmanagement, das eine Vielzahl von Kundenservices umfassen kann.

(2) Die Liste der von der Policy abgedeckten Zwecke ist in Anhang 2 aufgeführt, zusammen mit Einzelheiten zu den relevanten Kategorien von betroffenen Personen und personenbezogenen Daten, die für jeden Zweck verarbeitet werden. Anhang 2 kann gemäß Abschnitt 5 der Policy von Zeit zu Zeit aktualisiert werden.

(3) Die Policy gilt nicht für Datenübermittlungen, die gesetzlichen Ausnahmeregelungen unterliegen.

(4) Die Policy gilt auch nicht für personenbezogene Daten, die außerhalb des EWR und außerhalb des Anwendungsbereichs der Datenschutzgrundverordnung 2016/679 (DSGVO) erhoben und verarbeitet werden, es sei denn, die personenbezogenen Daten werden im Rahmen einer Weiterübermittlung gemäß Abschnitt 1.4 erhoben und verarbeitet.

(5) Zusätzlich zur Absicherung von Datenübermittlungen an DHL Group Konzerngesellschaften in Drittländern ist die Policy Teil eines umfassenden Datenschutzmanagementsystems, das den grundsätzlichen Ansatz zum Nachkommen der Rechenschaftspflicht der DHL Group bei der Verarbeitung personenbezogener Daten festlegt. In diesem Sinne legt die Policy nicht nur die Grundsätze fest, die von DHL Group Konzerngesellschaft bei der Verarbeitung personenbezogener Daten zu befolgen sind, sondern verweist auch auf die entsprechenden Verfahren, die die Einhaltung der geltenden Datenschutzgesetze und insbesondere der DSGVO durch DHL Group gewährleisten sollen.

1.2 Rechtsverbindliche Wirkung

(1) Die Policy beruht auf einer Genehmigung durch den DHL Group Konzernvorstand und tritt mit ihrer Veröffentlichung in Kraft.

(2) Die Policy wird für jede DHL Group Konzerngesellschaft und ihre Beschäftigten verbindlich, sobald das Management der jeweiligen DHL Group Konzerngesellschaft den Beitritt zu der Policy erklärt und ihre Umsetzung in der jeweiligen DHL Group Konzerngesellschaft bestätigt. Eine Liste der DHL Group Konzerngesellschaften, die an die Policy gebunden sind, ist der Anhang 3 zu entnehmen.

(3) Alle Beschäftigten der DHL Group sind durch ihre Arbeitsverträge und/oder durch die Verpflichtung zur Einhaltung der DHL Group Richtlinien, einschließlich des DHL Group Verhaltenskodex, der auf die Policy verweist, an die Policy gebunden. Die DHL Group Konzerngesellschaften müssen ihre Beschäftigten durch interne Kommunikationsmaßnahmen und verpflichtenden Schulungen auf die Policy und die damit verbundenen Verpflichtungen aufmerksam machen. Die Verpflichtung, die Beschäftigten auf die Policy und ihre diesbezüglichen Verpflichtungen hinzuweisen, liegt bei der DHL Group Konzerngesellschaft, das die betreffenden Beschäftigten anstellt. Dieses stellt sicher, dass gegen Beschäftigte, die gegen die in der Policy enthaltenen Verpflichtungen verstoßen, arbeitsrechtliche Maßnahmen im Einklang mit den lokalen Gesetzen und Verordnungen verhängt werden können.

(4) Die Bindungswirkung endet mit dem Widerruf der Policy oder mit dem Ausscheiden der jeweiligen DHL Group Konzerngesellschaft aus der DHL Group. Jede DHL Group Konzerngesellschaft, die nicht mehr an die Policy gebunden ist, hat die im Rahmen der Policy erhaltenen personenbezogenen Daten in ihrer Eigenschaft als DHL-Datenimporteur zurückzugeben oder zu löschen. Der ausscheidende DHL-Datenimporteur darf personenbezogene Daten nur dann weiterhin aufbewahren, wenn er zusichert, andere geeignete Garantien wie beispielsweise Standardvertragsklauseln vorzusehen. Das Gleiche gilt für die Weiterübermittlung von Daten durch den ausscheidenden DHL-Datenimporteur.

1.3 Geltende lokale Gesetze und Auswirkungen auf die Einhaltung der Policy

(1) Die Grundsätze der Policy ersetzen nicht die Gesetze und Verordnungen, welche die Verarbeitung personenbezogener Daten regeln. Wenn lokale Gesetze und Verordnungen ein höheres Schutzniveau für personenbezogene Daten vorschreiben, haben sie der Policy gegenüber Vorrang. In jedem Fall verarbeiten DHL Group Konzerngesellschaften personenbezogene Daten in Übereinstimmung mit den Gesetzen und Verordnungen.

(2) Die Rechtmäßigkeit der Datenverarbeitung in Bezug auf Datenübermittlungen in Drittstaaten und Weiterübermittlungen richtet sich nach den Gesetzen und Verordnungen des EWR-Landes, in dem der DHL-Datenexporteur seinen Sitz hat.

(3) Jede DHL-Group Konzerngesellschaft ist dafür verantwortlich, die Rechtmäßigkeit ihrer Datenverarbeitung, einschließlich etwaiger bestehender Meldepflichten gegenüber nationalen Aufsichtsbehörden oder anderen Regulierungsbehörden, gemäß den einschlägigen lokalen Gesetzen und Verordnungen zu überprüfen. Hat eine DHL Group Konzerngesellschaft Zweifel daran, dass Gesetze und Verordnungen sie daran hindern könnten, ihren Verpflichtungen im Rahmen der Policy nachzukommen, informiert sie den zuständigen Datenschutzbeauftragten oder den Data Protection Legal Advisor, es sei denn, eine Strafverfolgungsbehörde untersagt dies.

(4) Unterliegt eine DHL Group Konzerngesellschaft lokalen rechtlichen Anforderungen, die die Garantien der Policy beeinträchtigen (einschließlich verbindlicher Aufforderungen zur Offenlegung personenbezogener Daten), so unternimmt sie alle Anstrengungen, um die Konzerndatenschutzbeauftragte zu benachrichtigen, die bei der Benachrichtigung der zuständigen Aufsichtsbehörde unterstützt, es sei denn, dies ist durch Gesetze und Verordnungen untersagt.

1.4 Weiterübermittlung

(1) Übermittelt der DHL-Datenimporteur personenbezogene Daten an einen anderen DHL-Datenimporteur, so hat der DHL-Datenimporteur sicherzustellen, dass die Weiterübermittlung der Daten mit dieser Policy übereinstimmt.

(2) Im Falle von Weiterübermittlungen an Dritte schließen die DHL-Datenimporteure die EU-Standardvertragsklauseln ab (EU SCCs) oder wenden andere geeignete Garantien in Übereinstimmung mit den geltenden Datenschutzgesetzen an. Fehlen solche Garantien, kann die Weiterübermittlung von Daten erfolgen, wenn eine Ausnahmeregelung im Rahmen der DSGVO gilt. Ungeachtet des Vorstehenden dürfen personenbezogene Daten nur auf der Grundlage der Anforderungen der geltenden Datenschutzgesetze und in Übereinstimmung mit den Bestimmungen für das Transfer Impact Assessment (TIA) gemäß Abschnitt 1.5 übermittelt werden.

(3) Die vorstehenden Bestimmungen gelten nicht, soweit lokale Gesetze und Verordnungen, insbesondere aus Gründen der nationalen Sicherheit, der Landesverteidigung, der öffentlichen Sicherheit oder zur Verhütung, Aufdeckung und Verfolgung von Straftaten, die Übermittlung personenbezogener Daten für diese Zwecke ausdrücklich vorsehen.

1.5 Transfer Impact Assessment

(1) DHL-Datenexporteure übermitteln personenbezogene Daten an DHL-Datenimporteure, die in einem Drittland ansässig sind, nur dann auf der Grundlage der Policy, wenn festgestellt wurde, dass die Gesetze und Verordnungen des betreffenden Drittlandes den DHL-Datenimporteur nicht daran hindern, seinen Verpflichtungen im Rahmen der Policy nachzukommen.

(2) Die DHL Group Konzerngesellschaften gehen bei ihrer Bewertung der Gesetze und Verordnungen des Drittlandes davon aus, dass diese Gesetze und Verordnungen den Kern der Grundrechte und -freiheiten natürlicher Personen respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der Ziele des öffentlichen Interesses zu wahren.

(3) Bei der Durchführung eines Transfer Impact Assessments als Teil des Privacy Impact Assessments (PIA) müssen die DHL-Group Unternehmen Folgendes berücksichtigen:

a) Die besonderen Umstände der Datenübermittlung(en) oder einer Reihe von Datenübermittlungen und jeder beabsichtigten Weiterübermittlung innerhalb desselben Drittlandes oder in ein anderes Drittland, einschließlich:

• Der Zwecke, zu denen die Daten übermittelt und verarbeitet werden (z.B. Personalwesen, IT-Unterstützung usw.).
• Der Arten der an der Datenverarbeitung beteiligten Stellen.
• Des Wirtschaftssektors, in dem die Datenübermittlung oder eine Reihe von Datenübermittlungen stattfindet.
• Der Kategorien und des Formats der übermittelten personenbezogenen Daten.
• Des Orts der Datenverarbeitung und der Speicherung; und
• Der verwendeten Übertragungskanäle.

b) Die Gesetze und Verordnungen des Bestimmungsdrittlandes, die für die Umstände der Datenübermittlung relevant sind, einschließlich derjenigen, die die Offenlegung personenbezogener Daten gegenüber Behörden vorschreiben oder den Zugang zu diesen Daten während der Datenübermittlung ermöglichen, sowie die geltenden Beschränkungen und Garantien.

c) Alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß der Policy eingeführt wurden, einschließlich der Maßnahmen, die während der Übermittlung und der Verarbeitung personenbezogener Daten im Bestimmungsdrittland angewendet werden. Kommt im Rahmen des TIA zu dem Schluss, dass zusätzlich zu den in der Policy vorgesehenen Maßnahmen weitere Maßnahmen ergriffen werden müssen, sind der DHL-Datenimporteur und der zuständige Datenschutzbeauftragte zu benachrichtigen und in die Umsetzung solcher Garantien einzubeziehen. Die Dokumentation des TIA wird der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.

(4) Die DHL-Datenimporteure überwachen kontinuierlich die Gesetze und Verordnungen ihrer Länder, wenn sie die Policy als Instrument für Datenübermittlungen nutzen, um etwaige Änderungen zu ermitteln, die eine Aktualisierung der TIAs und die Durchführung zusätzlicher Maßnahmen erfordern würden. Hat ein DHL-Datenimporteur Grund zu der Annahme, dass er Gesetzen und Verordnungen unterliegt, die ihn daran hindern würden, seinen Verpflichtungen im Rahmen der Policy nachzukommen, so benachrichtigt er den zuständigen Datenschutzbeauftragten, die Konzerndatenschutzbeauftragte und die jeweilige DHL Group Konzerngesellschaft, um sicherzustellen, dass jede Datenübermittlung personenbezogener Daten in das betreffende Drittland geeigneten zusätzlichen Maßnahmen unterliegt. Das Gleiche gilt, wenn ein DHL-Datenexporteur Grund zu der Annahme hat, dass der DHL-Datenimporteur seinen Verpflichtungen gemäß dieser Policy nicht mehr nachkommen kann. Der zuständige Datenschutzbeauftragte berät die DHL Group Konzerngesellschaften, die als Datenexporteur und Datenimporteur tätig sind, bei der Ermittlung und Umsetzung geeigneter zusätzlicher Maßnahmen. Darüber hinaus informiert der Datenschutzbeauftragte auch die Konzerndatenschutzbeauftragte.

(5) Kommt eine DHL-Group Konzerngesellschaft zu dem Schluss, dass die Policy für eine bestimmte Datenübermittlung oder einen bestimmten Satz von Datenübermittlungen nicht mehr eingehalten werden kann - auch wenn ergänzende Maßnahmen ergriffen wurden -, oder dies auf Anweisung der zuständigen Aufsichtsbehörde geschieht, setzt sie diese Datenübermittlung oder diese Reihe von Datenübermittlungen aus, bis die Einhaltung der Policy sichergestellt ist oder die Datenübermittlung beendet wird. Darüber hinaus sind der zuständige Datenschutzbeauftragte sowie die Konzerndatenschutzbeauftragte zu unterrichten.

(6) Wird die Einhaltung der Policy nicht innerhalb eines Monats nach der Aussetzung wiederhergestellt, muss die Datenübermittlung oder eine Reihe von Datenübermittlungen beendet werden. Der DHL-Datenexporteur kann entscheiden, ob die vor der Aussetzung übermittelten personenbezogenen Daten und Kopien davon zurückzugeben oder zu vernichten sind.

(7) In der Praxis werden die Bewertungen der Gesetze und Verordnungen von Drittländern sowie die für eine Datenübermittlung oder eine Reihe von Datenübermittlungen durchgeführten spezifischen TIAs und die ermittelten und umgesetzten ergänzenden Maßnahmen sowie alle relevanten Unterlagen allen Konzerngesellschaften und Datenschutzbeauftragten der DHL Group zur Verfügung gestellt, um die Einhaltung der Policy und ihre einheitliche Umsetzung innerhalb der DHL Group zu gewährleisten. Dies umfasst auch die Information, dass in Fällen, in denen keine wirksamen zusätzlichen Maßnahmen getroffen werden konnten, die betreffenden Datenübermittlungen ausgesetzt oder beendet werden müssen. Auf Anfrage sind der zuständigen Aufsichtsbehörde die Unterlagen zu den Bewertungen sowie zu den ausgewählten und umgesetzten zusätzlichen Maßnahmen zur Verfügung zu stellen.

1.6 Zugriffsanfragen von Behörden in Drittländern

(1) In Übereinstimmung mit den Gesetzen und Verordnungen benachrichtigt der DHL-Datenimporteur unverzüglich den DHL-Datenexporteur (und dessen Datenschutzbeauftragten) und, wenn möglich, die betroffene Person, wenn er:

a) ein rechtsverbindliches Ersuchen einer Behörde um Offenlegung der im Rahmen dieser Policy übermittelten personenbezogenen Daten erhält.

b) Kenntnis von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erhält, die im Rahmen der Policy übermittelt wurden.

(2) Die Meldung muss alle dem DHL-Datenimporteur zur Verfügung stehenden Informationen enthalten, insbesondere die angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für die Anfrage und die erteilte Antwort.

(3) Der DHL-Datenimporteur bemüht sich nach besten Kräften, eine Befreiung zu erwirken, wenn es ihm untersagt ist, den DHL-Datenexporteur und/oder die betroffene Person zu benachrichtigen, mit dem Ziel, so viele Informationen wie möglich zur Verfügung zu stellen. Zudem dokumentiert er seine Bemühungen, um sie auf Anfrage des DHL-Datenexporteurs nachweisen zu können.

(4) Der DHL-Datenimporteur übermittelt dem DHL-Datenexporteur sowie der Konzerndatenschutzbeauftragten regelmäßig relevante Informationen über die eingegangenen Ersuchen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde, ob Ersuchen angefochten wurden und das Ergebnis dieser Anfechtungen usw.) oder unterrichtet den DHL-Datenexporteur unverzüglich, wenn ihm die Erteilung dieser Informationen untersagt ist.

(5) Der DHL-Datenimporteur bewahrt die vorgenannten Informationen so lange auf, wie die personenbezogenen Daten den Schutzbestimmungen der Policy unterliegen, und stellt sie auf Anfrage jeder zuständigen Behörde zur Verfügung.

(6) Der DHL-Datenimporteur prüft die Rechtmäßigkeit eines Ersuchens um Zugang oder Herausgabe personenbezogener Daten, ficht dieses Ersuchen an, wenn es als rechtswidrig erachtet wird und ergreift Rechtsmittel. Bei der Anfechtung eines Ersuchens strebt der Datenimporteur einstweilige Anordnungen an, um die Auswirkungen des Ersuchens auszusetzen, bis eine Entscheidung in der Sache durch eine zuständige Justizbehörde ergangen ist. Er gibt die angeforderten personenbezogenen Daten erst dann heraus, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist.

(7) Ist der DHL-Datenimporteur verpflichtet, auf ein Ersuchen zu antworten, so hat er das zulässige Mindestmaß an Informationen zu übermitteln. Darüber hinaus sollte jede Datenübermittlung durch eine DHL Group Konzerngesellschaft zur Erfüllung eines Ersuchens einer Behörde nicht umfassend, unverhältnismäßig oder wahllos in einer Weise erfolgen, die über das in einer demokratischen Gesellschaft erforderliche Maß hinausgeht.

2.1 Transparenz der Datenverarbeitung

(1) Der für die Verarbeitung Verantwortliche von DHL informiert die betroffenen Personen darüber, wie ihre personenbezogenen Daten verarbeitet werden. Dazu gehört auch die Veröffentlichung der Policy.

(2) Der für die Verarbeitung Verantwortliche von DHL stellt den betroffenen Personen folgende Informationen zur Verfügung:

a) Die Identität und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen bei DHL.

b) Die Kontaktdaten des Datenschutzbeauftragten, sofern einschlägig.

c) Zweck und Umfang der Datenverarbeitung.

d) Die Rechtsgrundlage für die Datenverarbeitung.

e)Wenn die Datenverarbeitung auf berechtigten Interessen beruht, die Darlegung der berechtigten Interessen, die von dem für die Datenverarbeitung Verantwortlichen bei DHL oder einem Dritten verfolgt werden.

f) Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.

g) Gegebenenfalls die Tatsache, dass der für die Verarbeitung Verantwortliche von DHL beabsichtigt, personenbezogene Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder Nichtvorhandensein eines Angemessenheitsbeschlusses der EU-Kommission, einen Hinweis auf die angemessenen oder geeigneten Garantien und auf welche Weise eine Kopie davon erhalten werden kann oder wo sie zur Verfügung stehen.

h) Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird.

i) Das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen von DHL Auskunft über die Daten und deren Berichtigung oder Löschung oder die Einschränkung der Verarbeitung personenbezogenen zu verlangen oder der Datenverarbeitung zu widersprechen, sowie das Recht auf Datenübertragbarkeit.

j) Wenn die Datenverarbeitung auf einer Einwilligung beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Datenverarbeitung aufgrund der Einwilligung vor dem Widerruf berührt wird.

k) Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.

l) Ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für den Abschluss eines Vertrags erforderlich ist und ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, sowie über die möglichen Folgen der Nichtbereitstellung dieser Daten.

m) Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Datenverarbeitung für die betroffene Person.

n) Wenn die personenbezogenen Daten nicht von der betroffenen Person erhoben wurden, die Kategorien der betreffenden personenbezogenen Daten und die Quelle, aus der die personenbezogenen Daten stammen, und gegebenenfalls, ob diese öffentlich zugänglich sind.

o) Ist beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so ist die betroffene Person vor dieser Weiterverarbeitung über diesen anderen Zweck zu informieren.

(3) Die Informationen können weggelassen werden, wenn die betroffene Person bereits über diese Informationen verfügt.

In Fällen, in denen personenbezogene Daten nicht von der betroffenen Person erhoben wurden, können die Informationen zudem weggelassen werden, wenn.

a) die Bereitstellung dieser Informationen sich als unmöglich erweist oder mit unverhältnismäßigen Kosten verbunden wäre,

b) die Einholung oder Weitergabe ist in den lokalen Gesetzen und Verordnungen, denen der für die Datenverarbeitung Verantwortliche von DHL unterliegt, ausdrücklich vorgesehen und sieht angemessene Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vor, oder

c) die personenbezogenen Daten müssen vertraulich behandelt werden und unterliegen dem Berufsgeheimnis, das in den lokalen Gesetzen und Verordnungen geregelt ist, einschließlich einer gesetzlichen Geheimhaltungspflicht.

(4) Der für die Verarbeitung Verantwortliche von DHL stellt der betroffenen Person die Informationen zu dem Zeitpunkt zur Verfügung, zu dem die personenbezogenen Daten erhoben werden. Wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, erfolgt die Unterrichtung spätestens innerhalb eines Monats nach Erhebung der personenbezogenen Daten unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden. Sollen die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden, so unterrichtet der für die Verarbeitung Verantwortliche von DHL die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation. Ist eine Weitergabe an einen anderen Empfänger vorgesehen, so hat der für die Datenverarbeitung Verantwortliche von DHL spätestens bei der ersten Weitergabe der personenbezogenen Daten darüber zu informieren.

2.2 Fairness und Rechtmässigkeit der Verarbeitung

(1) DHL Group Konzerngesellschaften verarbeiten personenbezogene Daten rechtmäßig, nach Treu und Glauben und auf transparente Weise gegenüber der betroffenen Person, wobei eine oder mehrere der folgenden Bedingungen erfüllt sein müssen:

a) Die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

b) Die Verarbeitung personenbezogener Daten ist für die Durchführung eines Vertrags, dessen Vertragspartei die betroffene Person ist, einschließlich der vertraglichen Informations- und/oder Nebenpflichten, oder für die Durchführung vor- und/oder nachvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person zur Anbahnung oder Abwicklung des Vertragsverhältnisses durchgeführt werden.

c) Die Verarbeitung personenbezogener Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Datenverarbeitung Verantwortliche von DHL unterliegt.

d) Die Verarbeitung personenbezogener Daten ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

e) Die Verarbeitung personenbezogener Daten ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen von DHL oder dem Dritten, an den die personenbezogenen Daten weitergegeben werden, übertragen wurde.

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen von DHL oder eines Dritten erforderlich, sofern nicht die schutzwürdigen Interessen der betroffenen Person überwiegen.

(2) Die Verarbeitung von personenbezogenen Daten, die im EWR in Bezug auf strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen gemäß Abschnitt 2.2.1 dieser Richtlinie erhoben wurden, darf nur unter der Kontrolle einer offiziellen im EWR belegenen Behörde oder wenn dies nach EU-Recht oder dem Recht eines EU-Mitgliedstaats zulässig ist, erfolgen, das angemessene Garantien für die Rechte und Freiheiten der betroffenen Personen bietet.2.2.1

2.3 Allgemeine Zulässigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten

Die DHL-Group Konzerngesellschaften halten die nachstehend aufgeführten Datenschutzgrundsätze ein.

2.3.1 Datenminimierung

Die DHL Group Konzerngesellschaften berücksichtigen den beabsichtigten Zweck der Verarbeitung personenbezogener Daten und verarbeiten personenbezogene Daten nur, wenn sie angemessen und relevant sind und nicht über das hinausgehen, was im Zusammenhang mit der Verarbeitung erforderlich ist. Die Grundsätze der Datenverarbeitung, einschließlich des Grundsatzes der Datenminimierung, gelten auch für archivierte personenbezogene Daten.

2.3.2 Anonymisierung und Pseudonymisierung

Soweit möglich und wirtschaftlich vertretbar, wenden die DHL-Group Konzerngesellschaften Verfahren an, um Identifikationsmerkmale zu entfernen, die zur Identifizierung einzelner Betroffener verwendet werden können (Anonymisierung), oder um Identifikationsmerkmale durch Identifikatoren zu ersetzen (Pseudonymisierung). 

2.3.3 Zweckbindung

DHL Group Konzerngesellschaften erheben und verarbeiten personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke. Sie dürfen nur für den Zweck verwendet werden, für den sie ursprünglich erhoben wurden. Änderungen des Zwecks sind nur mit Einwilligung der betroffenen Person zulässig, wenn dies nach den lokalen Gesetzen und Verordnungen zulässig ist oder wenn die Datenverarbeitung für einen anderen Zweck mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.

2.3.4 Einwilligung

(1) DHL Group Konzerngesellschaften holen die Einwilligung der betroffenen Person spätestens zu dem Zeitpunkt ein, zu dem die Verarbeitung der personenbezogenen Daten beginnt.

(2) Die Einwilligung muss freiwillig, ausdrücklich, unmissverständlich und in Kenntnis der Sachlage erteilt werden, wobei die betroffene Person eindeutig auf den Umfang der von der Einwilligung erfassten Datenverarbeitung und die möglichen Folgen einer Nichterteilung der Einwilligung hinzuweisen ist. Die Formulierung der Einwilligung muss hinreichend klar sein und die betroffene Person über ihr Recht informieren, ihre Einwilligung jederzeit zu widerrufen.

(3) Die Einwilligung ist in einer den Umständen angemessenen Form (schriftlich oder elektronisch) einzuholen. Ausnahmsweise kann sie auch mündlich erteilt werden, wenn die Tatsache, dass die betroffene Person ihre Einwilligung erteilt hat, und die besonderen Umstände, die eine mündliche Einholung der Einwilligung erfordern, dokumentiert sind. Wird die Einwilligung zusammen mit anderen Erklärungen abgegeben, muss diese deutlich hervorgehoben werden.

2.3.5 Speicherbegrenzung

DHL Group Konzerngesellschaften bewahren personenbezogene Daten nur so lange in einer Form auf, die die Identifikation der betroffenen Personen ermöglicht, als dies für die Zwecke der Verarbeitung erforderlich ist.

2.3.6 Auftragsverarbeiter

(1) Verarbeitet eine DHL Group Konzerngesellschaft oder ein externer Dienstleister personenbezogene Daten im Auftrag einer DHL Group Konzerngesellschaft, so werden die Pflichten beider Vertragsparteien in einem Vertrag geregelt, der den Anforderungen der geltenden Datenschutzgesetze entspricht (Auftragsverarbeitungsvertrag). Die Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter wird zusätzlich zu einem Dienstleistungsvertrag geschlossen, der schriftlich oder in einer anderen gleichwertigen Form abgeschlossen werden kann.Es muss insbesondere festgelegt werden, dass der Auftragsverarbeiter:

a) Personenbezogene Daten nur auf dokumentierte Anweisungen des für die Verarbeitung Verantwortlichen hin verarbeitet, einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, es sei denn, dies ist aufgrund geltender Gesetze und Vorschriften, denen der Auftragsverarbeiter unterliegt, erforderlich; in diesem Fall informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung, es sei denn, geltende Gesetze und Vorschriften verbieten eine solche Information aus wichtigen Gründen des öffentlichen Interesses;

b) Stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitspflicht unterliegen;

c) Ergreift alle gemäß den geltenden Gesetzen und Vorschriften erforderlichen technischen und organisatorischen Maßnahmen;

d) Beachtet die Bedingungen für die Beauftragung eines weiteren Auftragsverarbeiters;

e) Unter Berücksichtigung der Art der Verarbeitung den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Verpflichtung unterstützt, auf Anträge zur Ausübung der in Abschnitt 2.6 festgelegten Rechte der betroffenen Person zu reagieren;

f) Den für die Verarbeitung Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß den geltenden Gesetzen und Vorschriften unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt;

g) Nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung löscht oder an den für die Verarbeitung Verantwortlichen zurückgibt und vorhandene Kopien löscht, sofern nicht geltende Gesetze und Vorschriften die Speicherung personenbezogener Daten vorschreiben;

h) Dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung stellt, die erforderlich sind, um die Einhaltung der in diesem Abschnitt festgelegten Verpflichtungen nachzuweisen, und Audits, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer ermöglicht und dazu beiträgt.

(2) Der Auftragsverarbeiter darf personenbezogene Daten, die ihm übermittelt wurden, nicht ohne vorherige Zustimmung des für die Verarbeitung Verantwortlichen von DHL für eigene Zwecke oder für Zwecke Dritter verarbeiten. Die in dem Auftragsverarbeitungsvertrag für den Auftragsverarbeiter festgelegten Verpflichtungen gelten auch für jeden vom Auftragsverarbeiter beauftragten Unterauftragsverarbeiter. Der Auftragsverarbeiter und jeder Unterauftragsverarbeiter werden danach ausgewählt, ob sie in der Lage sind, die in der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Verpflichtungen zu erfüllen.

(3) Wenn DHL Group Konzerngesellschaften Verträge mit externen Auftragsverarbeitern und/oder Unterauftragsverarbeitern in Drittländern abschließen, müssen angemessene Garantien gemäß der DSGVO und den geltenden Datenschutzgesetzen im Hinblick auf die Rechte und Freiheiten der betroffenen Personen und die Ausübung ihrer Rechte umgesetzt werden.

2.3.7 Rechenschaftspflicht

(1) Jede DHL Group Konzerngesellschaft muss sicherstellen und in der Lage sein, die Einhaltung der geltenden Anforderungen der Policy nachzuweisen.

(2) Alle DHL Group Konzerngesellschaften müssen ein Verzeichnis aller Kategorien von Datenverarbeitungstätigkeiten (Data Protection Record „DPR") führen, die im Rahmen der Policy durchgeführt werden. Das DPR enthält mindestens folgende Angaben:

a) Den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen / des Auftragsverarbeiters von DHL (gegebenenfalls des gemeinsam für die Verarbeitung Verantwortlichen, des Vertreters des für die Verarbeitung Verantwortlichen von DHL und des Datenschutzbeauftragten),

b) Die Zwecke der Datenverarbeitung,

c) Eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten,

d) Die Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden,

e) Gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation,

f) Soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Kategorien personenbezogener Daten,

g) Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

Die DHL Group Konzerngesellschaften stellen sicher, dass alle DPRs in schriftlicher Form, was auch die elektronische Form umfasst, geführt werden. Zu diesem Zweck steht den DHL Group Konzerngesellschaften ein zentrales Dokumentationstool und eine Plattform, das DHL Group Privacy Portal, zur Verfügung. Die DPRs werden der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.

(3) Zum Nachweis der Einhaltung der Vorschriften stellen die DHL Group Konzerngesellschaften sicher, dass für alle Datenverarbeitungsvorgänge, bei denen personenbezogene Daten im Rahmen der Policy übermittelt werden, PIAs durchgeführt werden. Insbesondere ist ein PIA für Datenverarbeitungsvorgänge durchzuführen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Zu diesem Zweck unterstützt das DHL Group Privacy Portal die DHL Group Konzerngesellschaften bei der Erfüllung ihrer Dokumentations- und Rechenschaftspflichten und erleichtert die Durchführung von PIAs.

(4) Die DHL Group Konzerngesellschaft konsultiert die Aufsichtsbehörde vor der Datenverarbeitung, wenn ein PIA darauf hinweist, dass die Datenverarbeitung zu einem hohen Risiko führen würde, wenn die DHL Group Konzerngesellschaft keine Maßnahmen zur Risikominderung ergreift.

(5) Die DHL Group Konzerngesellschaften müssen geeignete technische und organisatorische Maßnahmen ergreifen und umsetzen, die darauf ausgerichtet sind, die Datenschutzprinzipien zu berücksichtigen und die Einhaltung der in der Policy dargelegten Anforderungen zu unterstützen. Diese Maßnahmen sollten in der Praxis umgesetzt werden, um den Datenschutz durch Design und Standardeinstellungen zu gewährleisten.

2.4 Besondere Fälle der Datenverarbeitung

2.4.1 Besondere Kategorien von personenbezogenen Daten

DHL Group Konzerngesellschaften dürfen besondere Kategorien personenbezogener Daten nur dann verarbeiten, wenn dies unbedingt erforderlich und gesetzlich vorgeschrieben ist oder wenn die betroffene Person ausdrücklich eingewilligt hat. DHL Group Konzerngesellschaften müssen technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.

2.4.2 Automatisierte Entscheidungen im Einzelfall

(1) Betroffene Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Datenverarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtlicher Wirkung entfaltet oder sie erheblich beeinträchtigt. Dieses Recht gilt nicht, wenn es sich um eine Entscheidung handelt:

a) Die für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem für die Datenverarbeitung Verantwortlichen von DHL erforderlich ist,

b) Die durch lokale Gesetze und Vorschriften, denen der für die Datenverarbeitung Verantwortliche von DHL unterliegt, zugelassen ist und die geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht; oder

c) die auf der Grundlage der ausdrücklichen Einwilligung der betroffenen Person erfolgt.

(2) Die DHL Group Konzerngesellschaft informiert die betroffene Person über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, über die zugrunde liegende Logik sowie über die Bedeutung und die voraussichtlichen Folgen einer solchen Datenverarbeitung für die betroffene Person.

(3) In den in Absatz 1 Buchstaben a und c genannten Fällen trifft der für die Verarbeitung Verantwortliche von DHL angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des für die Verarbeitung Verantwortlichen von DHL, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Automatisierte Entscheidungen, die sich auf besondere Kategorien personenbezogener Daten stützen, sind nur zulässig, wenn die betroffene Person eingewilligt hat oder wenn sie aus Gründen eines wichtigen öffentlichen Interesses auf der Grundlage der geltenden Datenschutzgesetze erforderlich sind.

2.5 Datenqualität / Sicherheit der Datenverarbeitung

2.5.1 Datenqualität

Die DHL Group Konzerngesellschaften müssen die Grundsätze der Datenqualität wie Richtigkeit, Vollständigkeit und Relevanz einhalten. Die personenbezogenen Daten müssen angemessen und relevant sein und sich auf das beschränken, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die DHL Group Konzerngesellschaften ergreifen angemessene Maßnahmen, um sicherzustellen, dass unrichtige oder unvollständige personenbezogene Daten unter Berücksichtigung der beabsichtigten Datenverarbeitung und der Interessen der betroffenen Person unverzüglich gelöscht, berichtigt, ergänzt oder aktualisiert werden.

2.5.2 Vertraulichkeit

Nur befugte Beschäftigte, die sich zur Einhaltung der Grundsätze des Datenschutzes und der Vertraulichkeit verpflichtet haben, dürfen personenbezogene Daten verarbeiten. Jegliche Verarbeitung personenbezogener Daten zum persönlichen Vorteil, deren unbefugte Weitergabe oder deren Zugänglichmachung auf eine Weise, die nicht im Einklang mit den Gesetzen und Verordnungen steht, ist strengstens untersagt. Dazu gehört auch, dass personenbezogene Daten an Unbefugte weitergegeben oder ihnen auf andere Weise zugänglich gemacht werden. „Unbefugte" können in diesem Zusammenhang auch Beschäftigte derselben oder einer anderen DHL Group Konzerngesellschaft sein, wenn die Daten nicht für ihren Arbeitsbereich oder ihre fachlichen Aufgaben erforderlich und notwendig sind oder wenn die Datenverarbeitung nicht durch Gesetze und Verordnungen legitimiert ist.

2.5.3 Technische und organisatorische Maßnahmen

Bei der Verarbeitung personenbezogener Daten ergreifen die DHL Group Konzerngesellschaften geeignete technische und organisatorische Maßnahmen, um die Sicherheit personenbezogener Daten zu gewährleisten und sie vor unrechtmäßigem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Zu diesem Zweck und in Übereinstimmung mit den jeweiligen internen Standards ergreifen die DHL-Group Konzerngesellschaften alle erforderlichen Maßnahmen.

Diese Maßnahmen umfassen:

• Zugangsverweigerung für Unbefugte zu Datenverarbeitungsanlagen, in denen personenbezogene Daten verarbeitet oder genutzt werden (Zutrittskontrolle),
• Verhinderung der Nutzung von Datenverarbeitungssystemen durch Unbefugte (Zugangskontrolle),
• Sicherstellung, dass autorisierte Benutzer eines Datenverarbeitungssystems nur im Rahmen ihrer Zugriffsrechte auf personenbezogene Daten zugreifen können und dass personenbezogene Daten, die im Datenverarbeitungssystem gespeichert sind, weder bei der Verarbeitung oder Nutzung noch bei der Speicherung unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
• Sicherstellung, dass personenbezogene Daten bei der elektronischen Datenübermittlung oder bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, wo die Übertragung personenbezogener Daten durch Datenübermittlungseinrichtungen unterstützt wird (Weitergabekontrolle),
• Sicherstellung, dass im Nachhinein überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten bereitgestellt, geändert oder aus Datenverarbeitungssystemen entfernt wurden (Eingabekontrolle),
• Sicherstellung, dass personenbezogene Daten, die im Auftrag des für die Verarbeitung Verantwortlichen von DHL verarbeitet werden, nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen von DHL verarbeitet werden können (Auftragskontrolle),
• Sicherstellung, dass personenbezogene Daten gegen versehentliche Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
• Sicherstellung, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden (Trennungsgebot).
• Möglichkeit der Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
• Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste, einschließlich der Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten wiederherzustellen.
• Bereitstellung eines Verfahrens zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung.

2.5.4 Verletzung des Schutzes personenbezogener Daten

Wie oben erwähnt, sind Vertraulichkeit und Datensicherheit zentrale Aspekte des DHL Group Datenschutzmanagementsystems. Im Falle einer Verletzung des Schutzes personenbezogener Daten dokumentiert die jeweilige DHL Group Konzerngesellschaft die Verletzung des Schutzes personenbezogener Daten in einem speziellen Register und meldet sie dem zuständigen Management und dem Datenschutzbeauftragten in Übereinstimmung mit dem DHL Group Prozess für Verletzungen des Schutzes personenbezogener Daten. Wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt die jeweilige DHL Group Konzerngesellschaft die zuständige Aufsichtsbehörde (für den EWR innerhalb von 72 Stunden nach Bekanntwerden, dies kann jedoch in anderen Rechtsordnungen abweichen). Wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt die betreffende DHL Group Konzerngesellschaft zusätzlich die betroffenen Personen gemäß den geltenden Datenschutzgesetzen. Falls die jeweilige DHL Group Konzerngesellschaft als Auftragsverarbeiter fungiert, muss es die als für die Verarbeitung Verantwortlicher fungierende DHL Group Konzerngesellschaft benachrichtigen, sobald es Kenntnis von der Verletzung des Schutzes personenbezogener Daten erlangt.

2.6 Rechte der betroffenen Person

2.6.1 Allgemeine Verpflichtungen

(1) Der für die Verarbeitung Verantwortliche von DHL trifft geeignete Maßnahmen, um der betroffenen Person Informationen und Mitteilungen über die Datenverarbeitung in knapper, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung zu stellen. Die Informationen werden schriftlich oder in anderer geeigneter Weise erteilt.

(2) Der für die Datenverarbeitung Verantwortliche von DHL wird auf Ersuchen nach den Nummern 2.6.2 bis 2.6.4 unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Ersuchens, Auskunft erteilen oder Maßnahmen ergreifen. Erforderlichenfalls kann diese Frist unter Berücksichtigung der Komplexität und der Zahl der Anträge um zwei weitere Monate verlängert werden. Die betroffene Person ist über eine solche Verlängerung innerhalb eines Monats nach Eingang des Antrags unter Angabe der Gründe für die Verzögerung zu unterrichten.

2.6.2 Auskunftsrecht

(1) Jede betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen von DHL eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogenen Daten verarbeitet werden, und, wenn dies der Fall ist, Auskunft über ihre personenbezogenen Daten und zusätzliche Informationen zu erhalten, einschließlich der Herkunft der Daten, des Zwecks der Verarbeitung, der Empfänger, an die sie weitergegeben wurden, und, soweit möglich, die geplante Dauer, für die die Daten gespeichert werden, oder der Kriterien zur Festlegung dieser Dauer. Darüber hinaus erhält die betroffene Person Auskunft darüber, ob eine automatisierte Entscheidungsfindung, einschließlich Profiling, durchgeführt wird. Ist dies der Fall, so erhält sie weitere Informationen über die Logik, die Bedeutung und die voraussichtlichen Folgen einer solchen Datenverarbeitung. Sofern dies der Fall ist, wird die betroffene Person auch über angemessene Garantien im Zusammenhang mit der Übermittlung personenbezogener Daten in ein Drittland informiert.

(2) Auf Anfrage der betroffenen Person stellt der für die Verarbeitung Verantwortliche von DHL eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Datenverarbeitung sind. Für weitere von der betroffenen Person angeforderte Kopien kann der für die Verarbeitung Verantwortliche eine angemessene Gebühr auf der Grundlage der Verwaltungskosten für die Ausstellung dieser Informationen erheben.

2.6.3 Recht auf Berichtigung, Einschränkung, Löschung (Recht auf Vergessenwerden) und Datenübertragbarkeit

(1) Die betroffene Person hat das Recht, die Berichtigung der über sie gespeicherten Daten zu verlangen, wenn diese unvollständig und/oder unrichtig sind.

(2) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen von DHL die Einschränkung der Datenverarbeitung zu verlangen, wenn

a) die Richtigkeit der personenbezogenen Daten bestritten wird;

b) die personenbezogenen Daten von dem für die Verarbeitung Verantwortlichen bei DHL nicht mehr benötigt werden;

c) die Datenverarbeitung unrechtmäßig ist; oder

d) wenn die betroffene Person der Datenverarbeitung gemäß Abschnitt 2.6.4 widersprochen hat.

(3) Darüber hinaus hat die betroffene Person das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn die Datenverarbeitung unzulässig war oder die personenbezogenen Daten für den Zweck der Datenverarbeitung nicht mehr erforderlich sind oder ein sonstiger in Gesetzen und Verordnungen vorgesehener Grund vorliegt.

Hat der für die Verarbeitung Verantwortliche von DHL die personenbezogenen Daten öffentlich gemacht, so trifft er - unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten - angemessene Maßnahmen, um andere für die Verarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung von Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat (Recht auf Vergessenwerden). Die oben genannten Verpflichtungen gelten nicht, wenn die Datenverarbeitung zur Erfüllung rechtlicher Verpflichtungen aufgrund von Gesetzen und Verordnungen erforderlich ist, die die Verarbeitung vorschreiben.

(4) Die betroffene Person hat das Recht, ihre personenbezogenen Daten, die sie dem für die Verarbeitung Verantwortlichen von DHL unter den in den Gesetzen und Verordnungen genannten Bedingungen zur Verfügung gestellt hat, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten (Datenübertragbarkeit).

2.6.4 Widerspruchsrecht

(1) Die betroffene Person hat das Recht, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen, wenn diese Verarbeitung aus Gründen des öffentlichen Interesses oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen von DHL übertragen wurde, oder wenn der für die Verarbeitung Verantwortliche von DHL oder ein Dritter berechtigte Interessen verfolgt. Sofern der für die Verarbeitung Verantwortliche von DHL nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient, wird der für die Verarbeitung Verantwortliche von DHL die personenbezogenen Daten nicht mehr verarbeiten.

(2) Verarbeiten DHL Group Konzerngesellschaften personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Im Falle des Widerspruchs der betroffenen Person werden die DHL Group- Konzerngesellschaften die personenbezogenen Daten nicht mehr für Zwecke der Direktwerbung verarbeiten.

2.6.5 Diskriminierungsverbot

Die DHL Group Konzerngesellschaften behandeln die betroffenen Personen fair und gleich, wenn sie ihre Rechte geltend machen.

2.6.6 Vorbringen von Anliegen

(1) Die betroffene Person kann sich jederzeit an den Datenschutzbeauftragten des jeweiligen für die Datenverarbeitung Verantwortlichen von DHL wenden (über das Anfrageformular in den Datenschutzbestimmungen auf dhl.com), wenn es um die Verarbeitung der personenbezogenen Daten der betroffenen Person geht oder wenn sie Fragen zu dieser Policy hat, inklusive einer Beschwerde über die Datenverarbeitung.

(2) Für Anfragen und Beschwerden auf dem Postweg können die betroffenen Personen die folgende Kontaktadresse nutzen:

Deutsche Post AG
Konzerndatenschutz
53250 Bonn

Die Anfragen und Beschwerden werden an die zuständige DHL Group Konzerngesellschaft weitergeleitet.

(3) Die betroffenen Personen können ihre Anfragen und Beschwerden direkt an den für die Verarbeitung Verantwortlichen von DHL richten. In solchen Fällen verpflichtet sich der für die Verarbeitung Verantwortliche von DHL, solche Anfragen und Beschwerden ohne unangemessene Verzögerung innerhalb eines Monats nach Eingang der Anfrage zu bearbeiten. Unter Berücksichtigung der Komplexität und der Zahl der Anfragen können die DHL-Group Konzerngesellschaften die einmonatige Frist um höchstens zwei weitere Monate verlängern; in diesem Fall wird die betroffene Person innerhalb eines Monats nach Eingang der Anfrage unter Angabe der Gründe für die Verzögerung entsprechend informiert.

(4) Die betroffenen Personen werden durch die Policy und die von den DHL Group Konzerngesellschaften auf den jeweiligen Websites veröffentlichten Datenschutzhinweisen ordnungsgemäß über das Beschwerdeverfahren und das Einreichen einer Beschwerde informiert.

(5) Ungeachtet dessen hat die betroffene Person auch das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen und/oder rechtliche Schritte einzuleiten.

3.1 Konzerndatenschutzbeauftragte

(1) Die Konzerndatenschutzbeauftragte koordiniert die Zusammenarbeit und die Vereinbarungen zu allen Angelegenheiten bezüglich dieser Policy. Insbesondere ist die Konzerndatenschutzbeauftragte gegenüber Außenstehenden und nationalen/internationalen Datenschutzaufsichtsbehörden die Vertreterin in allen Angelegenheiten bezüglich des Inhalts der Policy. Die Unabhängigkeit und Weisungsfreiheit der Datenschutzbeauftragten, die aufgrund einschlägiger nationaler Vorschriften berufen wurden, bleiben hiervon unberührt.

(2) Der Konzerndatenschutzbeauftragte überwacht die Umsetzung der Policy anhand von Audits gemäß Ziffer 3.5 sowie anderer geeigneter Instrumente und berichtet an den DHL Group Konzernvorstand. Die DHL Group Konzerngesellschaften unterstützen die Konzerndatenschutzbeauftragte bei der Erfüllung dieser Aufgaben.

(3) Die DHL Group Konzerngesellschaften sind verpflichtet, die Konzerndatenschutzbeauftragte davon in Kenntnis zu setzen, wenn sie der Policy beitreten oder von ihr zurücktreten. Jährlich sowie auf Verlangen stellt die Konzerndatenschutzbeauftragte der Aufsichtsbehörde das Verzeichnis beigetretener DHL Group Konzerngesellschaften zur Verfügung.

(4) Die Konzerndatenschutzbeauftragte ist auch für die Aktualisierung der Policy, wie in Kapitel 5 beschrieben, sowie für die Durchführung verpflichtender Schulungen in diesem Bereich verantwortlich.

3.2 Data Protection Steering Committee

Zur Umsetzung der Policy und zur Verwirklichung einer fortlaufenden Integration des Datenschutzes in Geschäftsprozesse wurde ein Data Protection Steering Committee eingerichtet, der aus Vertretern der Geschäftsdivisionen besteht. Der Lenkungsausschuss unterstützt insbesondere die Konzerndatenschutzbeauftragte bei dem Aufbau und der Aufrechterhaltung des DHL Group Datenschutzmanagementsystems.

3.3 Datenschutzbeauftragte und Datenschutzberater

(1) Jede DHL Group Konzerngesellschaft benennt einen unabhängigen Datenschutzbeauftragten. Der Datenschutzbeauftragte ist für die Umsetzung der Standards und Vorschriften verantwortlich und muss die Möglichkeit haben, der Geschäftsführung der jeweiligen DHL Group Konzerngesellschaft zu berichten.

(2) Um die Einhaltung der Policy zu gewährleisten, haben die DHL Group Konzerngesellschaften die Datenschutzbeauftragten frühzeitig in die Entwicklung und Gestaltung neuer und geänderter betrieblicher Abläufe, Produkte, Dienstleistungen und Marketingmaßnahmen einzubeziehen. Um die Erfüllung dieser Aufgaben zu gewährleisten, unterrichten die DHL Group Konzerngesellschaften die zuständigen Datenschutzbeauftragten über alle relevanten Entwicklungen.

(3) Die DHL Group Konzerngesellschaften informieren den Datenschutzbeauftragten der betreffenden DHL-Group Konzerngesellschaft unverzüglich über (vermutete) Verstöße gegen Datenschutzbestimmungen und die Policy.

(4) Bei Vorfällen, die einen Verstoß gegen die Policy darstellen und mehr als eine DHL Group Konzerngesellschaft betreffen, informiert der Datenschutzbeauftragte auch die Konzerndatenschutzbeauftragte und den zuständigen Datenschutzrechtsberater. Die Datenschutzbeauftragten haben die Konzerndatenschutzbeauftragte insbesondere dann zu informieren, wenn sich die für eine DHL Group Konzerngesellschaft geltenden Rechtsvorschriften wesentlich ändern und dies nachteilige Auswirkungen auf den Datenschutz oder die Einhaltung der Policy hat.

(5) Die Datenschutzbeauftragten unterstützen sich gegenseitig bei der Umsetzung und dem Management des Datenschutzmanagementsystems der DHL Group. Zusammen mit den Rechtsberatern sind sie Teil des DHL Group Data Privacy Network.

(6) Die Datenschutzberater, die über juristische Erfahrung verfügen, unterstützen die Datenschutzbeauftragten bei der Erfüllung ihrer Aufgaben. Insbesondere holen die Datenschutzbeauftragten den Rat der Datenschutzberater ein, wenn es um regulatorische Fragen geht.

3.4 Trainings

(1) Die Konzerndatenschutzbeauftragte stellt verpflichtende, angemessene und aktuelle Datenschutzschulungen sowie weitere Fortbildungen und Sensibilisierungsmaßnahmen zur Verfügung. Der Schulungszyklus für verpflichtende Schulungen beträgt zwei Jahre für Beschäftigte im aktiven Arbeitsverhältnis.

(2) Die Datenschutzbeauftragten schulen die jeweiligen Beschäftigte der DHL Group Konzerngesellschaft, die dauerhaft oder regelmäßig Zugang zu personenbezogenen Daten haben oder an der Erhebung personenbezogener Daten oder der Entwicklung von Tools zur Verarbeitung personenbezogener Daten im Rahmen der Anwendung der Policy beteiligt sind, regelmäßig und im Rahmen des jeweiligen Schulungskonzepts in angemessener Weise. Die Durchführung der Schulungen ist vom jeweiligen Datenschutzbeauftragten zu dokumentieren und der Konzerndatenschutzbeauftragten mindestens jährlich zu berichten.

(3) Die Schulungsmaßnahmen umfassen unter anderem Schulungen zur Bearbeitung von Auskunftsverlangen von Behörden sowie zum Zugriffsmanagement auf personenbezogene Daten.

3.5 Audits

(1) In Übereinstimmung mit dem Datenschutzauditprogramm auditieren die DHL Group Konzerngesellschaften regelmäßig die Umsetzung der Policy und alle Bestandteile des Datenschutzmanagementsystems von DHL Group. Dieses besteht aus dem von der Konzerndatenschutzbeauftragten entwickelten Datenschutz-Auditkonzept und den von der Konzerndatenschutzbeauftragten und den DHL Group Divisionen erstellten jährlichen Auditplänen, in denen die regelmäßigen Auditaktivitäten, deren Häufigkeit und die Auditoren festgelegt sind.

(2) Der Auditbericht, einschließlich der vorgeschlagenen Abhilfemaßnahmen zur Behebung und Minderung der Risiken, ist - je nach Art und Umfang des Audits - dem jeweiligen Datenschutzbeauftragten und der Geschäftsführung der betreffenden DHL Group Konzerngesellschaft sowie gegebenenfalls dem Konzernvorstand von DHL Group zu übermitteln. Er ist zudem der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(3) Audits werden entweder von internen oder externen qualifizierten Auditoren, bei denen kein Interessenkonflikt vorliegt, durchgeführt. Darüber hinaus befürworten und unterstützen die Konzerndatenschutzbeauftragte und die Datenschutzbeauftragten allgemeine Compliance Audits, insbesondere Audits durch die interne Revision oder Audits durch externe Prüfer. Wird bei einem Audit eine wesentliche Nichteinhaltung der in der Policy dargelegten Grundsätze festgestellt, muss die betreffende DHL Group Konzerngesellschaft, bei dem die Nichteinhaltung festgestellt worden ist, unverzüglich die erforderlichen Abhilfemaßnahmen ergreifen, um die Einhaltung der Policy zu erreichen.

(4) Zusätzlich zu den in diesem Abschnitt festgelegten Audits kann die Konzerndatenschutzbeauftragte anlassbezogene Ad-hoc-Audits durchführen.

(5) Die Konzerndatenschutzbeauftragte hat der Aufsichtsbehörde auf Verlangen den entsprechenden Auditbericht vorzulegen. Eine zuständige Aufsichtsbehörde kann die Konzerndatenschutzbeauftragte auffordern, im Einklang mit den Gesetzen und Verordnungen ein Audit in einer DHL Group Konzerngesellschaft durchzuführen oder durchführen zu lassen, um die Einhaltung der Policy zu überprüfen. Die betreffende DHL Group Konzerngesellschaft akzeptiert ein solches Audit und nimmt Anpassungen vor, um die im Rahmen des Audits ermittelten Verbesserungsvorschläge umzusetzen.

3.6 Compliance

DHL Group Konzerngesellschaften gewährleisten die Einhaltung der folgenden Verpflichtungen:

(1) Eine Datenübermittlung im Rahmen der Policy an einen DHL-Datenimporteur findet nur statt, wenn dieser wirksam an die Policy gebunden ist und deren Einhaltung sicherstellen kann.

(2) Der DHL-Datenexporteur ist vom DHL-Datenimporteur unverzüglich zu informieren, wenn der DHL-Datenimporteur nicht in der Lage ist, die Policy einzuhalten. Verstößt der DHL-Datenimporteur gegen die Policy oder ist er nicht in der Lage, sie einzuhalten, setzt der DHL-Datenexporteur die Datenübermittlung aus.

(3) Der DHL-Datenexporteur wird die Datenübermittlung an den DHL-Datenimporteur auch dann aussetzen, wenn der DHL-Datenimporteur in erheblichem Maße oder anhaltend gegen die Policy verstößt oder der DHL-Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde nicht nachkommt.

(4) Hat DHL-Datenexporteur die Übermittlung personenbezogener Daten ausgesetzt und wird die Einhaltung der Bestimmungen nicht innerhalb eines Monats nach der Aussetzung wiederhergestellt, so hat DHL-Datenimporteur nach Ermessen des DHL-Datenexporteurs alle personenbezogenen Daten, die im Rahmen der Richtlinie übermittelt wurden, unverzüglich zurückzugeben oder zu löschen. Der DHL-Datenimporteur wendet dieselben Verpflichtungen auf alle Datenkopien an, bescheinigt dem DHL-Datenexporteur die Löschung der Daten und stellt die Einhaltung der Policy sicher, bis die personenbezogenen Daten gelöscht oder zurückgegeben sind.

(5) Wenn lokale Gesetze es dem DHL-Datenimporteur verbieten, übermittelte personenbezogene Daten zurückzugeben oder zu löschen, stellt der DHL-Datenimporteur sicher, dass die Policy weiterhin eingehalten wird, und verarbeitet personenbezogene Daten nur so lange und so weit, wie es die lokalen Gesetze erfordern.

3.7 Zusammenarbeit mit den zuständigen Aufsichtsbehörden

(1) Die DHL Group Konzerngesellschaften verpflichten sich, mit der zuständigen Aufsichtsbehörde nach Treu und Glauben und soweit es nach den Gesetzen und Verordnungen zulässig ist, zusammenzuarbeiten.

(2) Die DHL Group Konzerngesellschaften erklären sich damit einverstanden, von den zuständigen Aufsichtsbehörden geprüft und kontrolliert zu werden, gegebenenfalls auch vor Ort und in Übereinstimmung mit den geltenden Gesetzen und Verordnungen. Sie berücksichtigen deren Empfehlungen und halten sich, sofern erforderlich und in Übereinstimmung mit den geltenden Gesetzen und Verordnungen, an die Entscheidungen dieser Aufsichtsbehörden zu allen Fragen im Zusammenhang mit der Policy. Auf Anfrage stellen die DHL Group Konzerngesellschaften den zuständigen Aufsichtsbehörden alle Informationen über die von der Policy abgedeckten Verarbeitungsvorgänge zur Verfügung.

(3) Im Falle einer Änderung der für eine DHL Group Konzerngesellschaft geltenden Gesetze und Verordnungen, die eine wesentliche nachteilige Auswirkung auf die im Rahmen der Policy gegebenen Zusicherungen haben kann, informiert die DHL Group Konzerngesellschaft die Konzerndatenschutzbeauftragte, die sich mit der zuständigen EU-Aufsichtsbehörde in Verbindung setzt.

(4) Alle Streitigkeiten im Zusammenhang mit der Überwachung der Einhaltung dieser Policy durch die zuständigen Aufsichtsbehörden werden von den Gerichten des Mitgliedstaates der Aufsichtsbehörde nach dem Verfahrensrecht dieses Mitgliedstaates entschieden. Die DHL Group Konzerngesellschaften erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

(5) Der zuständige Datenschutzbeauftragte und, soweit erforderlich, der Datenschutzberater werden in alle Fragen, die im Zusammenhang mit aufsichtsbehördlichen Aktivitäten stehen, mit einbezogen.

4.1 Haftung der DHL Group Konzerngesellschaften

(1) Jeder DHL-Datenexporteur haftet gegenüber den betroffenen Personen für Verstöße gegen die Policy und / oder für materielle oder immaterielle Schäden, die sich aus solchen Verstößen ergeben, unabhängig davon, wer sie verursacht hat.

(2) Jede DHL Group Konzerngesellschaft hat zu beweisen, dass sie nicht gegen die Policy verstoßen hat. Bezieht sich der Anspruch der betroffenen Person auf eine Handlung oder ein Unterlassen eines DHL-Datenimporteurs, so ist der DHL-Datenexporteur nur dann von der Haftung gegenüber der betroffenen Person (ganz oder teilweise) befreit, wenn er nachweisen kann, dass der DHL-Datenimporteur nicht gegen die Policy verstoßen hat.  

(3) Wenn eine betroffene Person aufgrund eines Verstoßes des DHL-Datenimporteurs oder seines Unterauftragsverarbeiters nicht in der Lage ist, einen Anspruch auf Wiedergutmachung und gegebenenfalls Schadensersatz gegen den DHL-Datenexporteur geltend zu machen, weil der DHL-Datenexporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, gewährt der DHL-Datenimporteur der betroffenen Person das Recht, stattdessen den DHL-Datenimporteur zu verklagen. Hat eine andere Gesellschaft die rechtlichen Pflichten des DHL-Datenexporteurs vertraglich oder gesetzlich übernommen, kann die betroffene Person ihre Rechte gegen diese Nachfolgegesellschaft geltend machen.

(4) Der DHL-Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um seine eigene Haftung zu umgehen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Datenverarbeitungsvorgänge im Rahmen der Policy beschränkt.

(5) Die Zahlung eines Strafschadensersatzes, wonach eine DHL Group Konzerngesellschaft verpflichtet wäre, einer betroffenen Person Zahlungen zu leisten, die den tatsächlich entstandenen Schaden übersteigen, ist ausdrücklich ausgeschlossen.

(6) Die betroffene Person hat das Recht, eine gemeinnützige Einrichtung, Organisation oder Vereinigung, die gemäß den Gesetzen und Verordnungen ordnungsgemäß gegründet wurde und deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten der betroffenen Person tätig ist, mit der Durchsetzung ihrer Rechte zu beauftragen. Dies kann die Einreichung von Beschwerden, die Ausübung der Rechte der betroffenen Personen und gegebenenfalls die Geltendmachung von Rechtsbehelfen und Entschädigungen in ihrem Namen umfassen, sofern dies in Gesetzen und Verordnungen vorgesehen ist.

4.2 Beweislast

In jedem Fall und sofern die betroffene Person nachgewiesen hat, dass sie einen Schaden erlitten hat, der wahrscheinlich durch einen Verstoß gegen die Policy verursacht wurde, liegt die Beweislast dafür, dass die personenbezogenen Daten der betroffenen Person in Übereinstimmung mit der Policy verarbeitet worden sind, beim entsprechenden DHL-Datenexporteur.

4.3 Rechte Dritter

(1) Stehen der betroffenen Person keine unmittelbaren Rechte zu, so kann sie ihre Rechte aus der Policy als Drittbegünstigte gegenüber der DHL Group Konzerngesellschaft geltend machen, welche die vertraglichen Pflichten gegenüber der betroffenen Person verletzt hat.

(2) Betroffene Personen können als Drittbegünstigte die Bestimmungen der Policy wie folgt durchsetzen:

a) Die in Abschnitt 2 aufgeführten Datenschutzgrundsätze;

b) Die Tatsache, dass DHL Group einen einfachen Zugang zu der Policy gewährt, wie in Abschnitt 1.6 beschrieben;

c) Die Rechte auf Zugang, Berichtigung, Löschung, Einschränkung, Widerspruch gegen die Verarbeitung und das Recht, nicht Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen, die den betroffenen Personen gemäß Abschnitt 2.6 gewährt werden;

d) Die Verpflichtung jeder DHL Group Konzerngesellschafts, die zuständige Aufsichtsbehörde zu benachrichtigen, wenn ein Konflikt zwischen den lokalen Rechtsvorschriften und der Policy besteht, wie in Abschnitt 1.3 beschrieben;

e) Das Recht der betroffenen Personen, über das interne Beschwerdeverfahren der Gruppe Beschwerde einzulegen, wie in Abschnitt 2.6.6 beschrieben;

f) Die Pflicht der DHL Group Konzerngesellschaften, mit den Aufsichtsbehörden zusammenzuarbeiten, wie in Abschnitt 3.7 beschrieben;

g) Die Verpflichtung jeder DHL-Group Konzerngesellschaft im EWR, das personenbezogene Daten auf der Grundlage der Policy an ein DHL-Group Konzerngesellschaft außerhalb des EWR übermittelt, die Haftung für Verstöße gegen die Policy durch die DHL Group Konzerngesellschaft außerhalb des EWR, das die personenbezogenen Daten erhalten hat, zu übernehmen, wie in Abschnitt 4 beschrieben;

h) Die Verpflichtung, die betroffenen Personen über jede Aktualisierung der Policy und ihrer Mitglieder zu informieren, wie in Abschnitt 5 beschrieben;

i) Das Recht auf Rechtsbehelfe, Wiedergutmachung und Entschädigung, wie in Abschnitt 4.1 beschrieben.

j) Die Verpflichtung für jede Weiterübermittlung personenbezogener Daten durch eine nicht im EWR belegene DHL Group Konzerngesellschaft an einen Dritten, sicherzustellen, dass dieser Dritte verpflichtet ist, das gleiche Datenschutzniveau wie in dieser Policy festgelegt zu gewährleisten.

4.4 Gerichtsstand

Nach eigenem Ermessen hat die betroffene Person das Recht, eine Beschwerde einzureichen:

• bei einer Aufsichtsbehörde, insbesondere in dem EU-Mitgliedstaat, in dem die betroffene Person ihren gewöhnlichen Aufenthalt, ihren Arbeitsplatz oder den Ort der mutmaßlichen Verletzung hat oder die zuständige Aufsichtsbehörde eines EU-Mitgliedstaates, in dem der DHL-Datenexporteur oder der DHL-Datenimporteur eine Niederlassung hat, und
• vor dem zuständigen Gericht der EU-Mitgliedstaaten, in denen der DHL-Datenexporteur oder der DHL-Datenimporteur eine Niederlassung hat oder in denen die betroffene Person ihren gewöhnlichen Aufenthalt hat.

4.5 Alternative Streitbeilegung

(1) Betroffene Personen, die sich durch eine tatsächliche oder vermutete Verarbeitung ihrer personenbezogenen Daten in ihrem Recht auf Schutz ihres Privatlebens beeinträchtigt sehen, können sich mit einer Beschwerde an den zuständigen Datenschutzbeauftragten der jeweiligen DHL Group Konzerngesellschaft wenden. Der Datenschutzbeauftragte prüft die Legitimität der Beschwerde und informiert die betroffene Person über ihre Rechte. In diesem Zusammenhang wahrt der Datenschutzbeauftragte die Vertraulichkeit weiterer personenbezogener Daten, über die der Beschwerdeführer den Datenschutzbeauftragten informiert hat, sofern dieser den Datenschutzbeauftragten nicht von dieser Verpflichtung entbindet. Auf Ersuchen der betroffenen Person kann die DHL Group Konzerngesellschaft unter Einbeziehung des Datenschutzbeauftragten versuchen, mit der betroffenen Person eine Einigung über die Beschwerde zu erzielen.

(2) Das Recht der betroffenen Person, bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde einzulegen und/oder Klage zu erheben, bleibt von dieser Regelung unberührt.

(1) Die Policy kann von Zeit zu Zeit geändert werden, wenn und soweit dies erforderlich ist, insbesondere, um den geltenden Datenschutzgesetzen zu entsprechen oder um Änderungen innerhalb von DHL Group zu berücksichtigen.

(2) Im Falle notwendiger Aktualisierungen informiert die Konzerndatenschutzbeauftragte den Datenschutzlenkungsausschuss und unterbreitet entsprechende Vorschläge. Die Konzerndatenschutzbeauftragte veranlasst, je nach Inhalt der erforderlichen Änderungen, bei Bedarf weitere Abstimmung mit dem Management.

(3) Alle wesentlichen Änderungen der Policy sind der Aufsichtsbehörde im Voraus unter Angabe einer kurzen Begründung mitzuteilen. Alle sonstigen Änderungen dieser Policy (falls zutreffend), beispielsweise zur Anpassung der Policy an aktualisierte Empfehlungen des EDSA zu verbindlichen Unternehmensregeln, sind der Aufsichtsbehörde einmal jährlich unter Angabe einer kurzen Begründung mitzuteilen.Dies kann der Fall sein, wenn sich die betreffenden Änderungen möglicherweise auf die Einhaltung der geltenden Datenschutzgesetze durch die DHL Group Konzerngesellschaft auswirken oder wenn die Änderungen möglicherweise die Rechte der betroffenen Person beeinträchtigen.

(4) Klare und leicht zugängliche Informationen über solche wesentlichen Änderungen werden allen DHL Group Konzerngesellschaft und ihren Beschäftigten zur Verfügung gestellt.

(5) Eine aktuelle Fassung der Policy sowie eine Liste der beigetretenen DHL Group Konzerngesellschaften wird auf den Webseiten von DHL Group veröffentlicht.

(1) Die Policy unterliegt im Streitfalle dem Verfahrensrecht der Bundesrepublik Deutschland.

(2) Sollten einzelne Bestimmungen der Policy unwirksam sein oder werden, so gelten sie als durch die Bestimmungen ersetzt, die den ursprünglichen Absichten der Policy und der unwirksamen Bestimmungen am nächsten kommen. Im Zweifelsfall gelten in diesen Fällen oder bei Fehlen entsprechender Bestimmungen die geltenden Datenschutzgesetze der Europäischen Union.