Globale Datenschutzrichtlinie

Der Schutz Ihrer Daten ist uns sehr wichtig. Wir haben diese globale Datenschutzrichtlinie entwickelt, damit Sie verstehen, wie wir Ihre personenbezogenen Daten erheben, verwenden, speichern, teilen, übertragen, weitergeben, löschen oder auf andere Weise verarbeiten. Diese Richtlinie beschreibt die Maßnahmen, die wir ergreifen, um den Schutz Ihrer personenbezogenen Daten zu gewährleisten. Ebenso teilen wir Ihnen mit, wie Sie uns erreichen können, falls Sie Fragen zum Datenschutz bei Sodexo haben.

INHALT

Globale Datenschutzrichtlinie
Anwendungsbereich
Definitionen
Erhebung Und Verarbeitung Ihrer Personenbezogenen Daten Cookies
Ihre Rechte
Minderjährige
Aktualisierung Dieser Richtlinie
Kontakt

ANWENDUNGSBEREICH

Diese Richtlinie gilt für die gesamte Organisation von Sodexo – Unternehmen und für alle Aktivitäten in allen Regionen, in denen Sodexo tätig ist und in denen die verbindlichen Unternehmensrichtlinien von Sodexo oder die Datenschutzgrundverordnung gelten. Diese Richtlinie bezieht sich auf die Verarbeitung personenbezogener Daten, die von Sodexo direkt oder indirekt von natürlichen Personen erhoben werden, einschließlich, aber nicht beschränkt auf: aktuelle, frühere oder potenzielle Bewerber, Mitarbeiter, Kunden, Verbraucher, Begünstigte, Kinder / Minderjährige, Lieferanten / Dienstleister, Auftragnehmer / Unterauftragnehmer von Sodexo, Aktionäre oder sonstige Dritte, wobei „personenbezogene Daten“ als Daten definiert werden, die sich auf eine identifizierte oder identifizierbare Person oder eine Person beziehen, die mit Mitteln identifiziert werden kann, deren Verwendung nach vernünftiger Betrachtung wahrscheinlich erscheint.

In dieser Richtlinie bedeutet "Sie" und "Ihr" jede natürliche Person, auf die diese Richtlinie Anwendung findet. "Wir", "uns", "unser" und "Sodexo" bedeutet die globale Organisation von Sodexo-Unternehmen.

DEFINITIONEN

Anfrage bezeichnet einen der Mechanismen, die die DSGVO Einzelpersonen zur Ausübung ihrer Rechte zur Verfügung stellt (z. B. das Recht auf Auskunft, Berichtigung, Löschung usw.). Eine Person kann eine Anfrage gegen jedes Unternehmen stellen, das seine personenbezogenen Daten verarbeitet.

Aufsichtsbehörde ist eine von einem Mitgliedstaat gemäß Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.

Beschwerde bezeichnet die von einer betroffenen Person bei einer Aufsichtsbehörde oder einem Gericht eingereichte Beschwerde, wenn die betroffene Person der Ansicht ist, dass ihre Rechte aus der DSGVO verletzt sind.

DSG Datenschutzgesetz

Europäisches Datenschutzrecht oder Datenschutzgrundverordnung oder DSGVO ist die Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

EU/EWR bedeuten Europäische Union/ Europäischer Wirtschaftsraum

Konzerndatenschutzbeauftragter bezeichnet die Person, die von der Sodexo Gruppe als Datenschutzbeauftragter ernannt wurde, um Datenschutzfragen auf Gruppenebene zu überwachen, das Sodexo-Datenschutz-Compliance-Programm voranzutreiben, sowie empfohlene Vorgehensweisen in Bezug auf den Datenschutz zu definieren und deren Umsetzung sicherzustellen.

Lokaler Ansprechpartner für den Datenschutz ist die Person, die von einem Sodexo-Unternehmen ernannt wurde und für die Behandlung lokaler Datenschutzthemen zuständig ist. Dieser Ansprechpartner ist Teil des Globalen Datenschutznetzwerks von Sodexo.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Privacy by Default oder Datenschutzfreundliche Voreinstellungen bedeutet, dass Werkseinstellungen datenschutzfreundlich auszugestalten sind. Verfahren sollen so implementiert werden, dass bei jeder Verarbeitung personenbezogener Daten sichergestellt ist, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um zu gewährleisten, dass standardmäßig nur personenbezogene Daten verwendet werden, deren Verarbeitung für den jeweiligen Zweck erforderlich ist (in Bezug auf die verarbeitete Datenmenge, den Umfang der Verarbeitung und die Speicherdauer der Daten).

Ebenso sollte das Personal für den Umgang mit personenbezogenen Daten geschult sein und jeweils nur die begrenzte Anzahl von Personen Zugang zu den Daten haben, die diesen Zugang nachvollziehbar haben müssen.

Privacy by Design oder Datenschutz durch Technikgestaltung bedeutet, dass bei Beginn eines neuen digitalen Projekts oder bei Teilnahme an einer Ausschreibung personenbezogene Daten durch technische Voreinstellungen geschützt werden. Das heißt, dass sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Umsetzung der Verarbeitung der Datenschutz und die damit verbundenen angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Daten berücksichtigt werden. Das gleiche Prinzip gilt, wenn Sodexo beabsichtigt, sich mit einem Unternehmen zusammenzuschließen oder ein Unternehmen zu erwerben. Es muss sichergestellt werden, dass die Datenschutzgrundsätze eingehalten werden.

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Verarbeitung oder verarbeiten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Besondere Kategorien personenbezogener Daten oder sensible Daten sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Definition umschließt auch personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln.

Sodexo-Unternehmen sind Unternehmen, Personengesellschaften oder andere Unternehmen und Organisationen, die als Mitglied der Sodexo-Gruppe zugelassen werden.

ERHEBUNG UND VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN

EINHALTUNG DER DATENSCHUTZGESETZE

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO), dem Datenschutzgesetz (DSG) sowie anderen anwendbaren Datenschutzvorschriften.

RECHTMÄSSIGKEIT, VERARBEITUNG NACH TREU UND GLAUBEN UND TRANSPARENZ

Wir erheben oder verarbeiten personenbezogene Daten nicht ohne einen rechtmäßigen Grund. Möglicherweise werden wir Ihre personenbezogenen Daten erfassen und verarbeiten:

• wenn dies für die Erfüllung eines Vertrags, an dem Sie beteiligt sind, erforderlich ist oder
• wenn dies zur Erfüllung einer gesetzlichen Verpflichtung, der wir unterliegen, erforderlich ist
• wenn Sie uns Ihre Einwilligung erteilt haben
• wenn Sodexo ein berechtigtes Interesse an der Verarbeitung hat, welches Ihre Interessen oder Grundfreiheiten überwiegt.

Bei der Erhebung und Verarbeitung Ihrer personenbezogenen Daten erhalten Sie einen transparenten und vollständigen Hinweis oder eine Datenschutzerklärung darüber, wer für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich ist, zu welchen Zwecken Ihre personenbezogenen Daten verarbeitet werden, wer die Empfänger sind und welche Rechte Ihnen zustehen und wie Sie diese ausüben können. Eine Ausnahme hiervon sind Situationen, in denen dies unmöglich oder mit einem unverhältnismäßig großen Aufwand verbunden ist.
Sofern es nach geltendem Recht erforderlich ist, werden wir vor der Datenverarbeitung Ihre Zustimmung einholen (z. B. vor der Erhebung sensibler personenbezogener Daten).

ZWECKBINDUNG UND DATENMINIMIERUNG

Ihre personenbezogenen Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken nicht mehr vereinbar ist.
Wenn Sodexo für seine eigenen Zwecke als Verantwortlicher handelt, werden Ihre personenbezogenen Daten hauptsächlich für die im Folgenden (nicht abschließend) aufgezählten Zwecke verarbeitet:
Bewerbermanagement, Personalmanagement, Buchhaltung und Finanzmanagement und damit verbundene Kontrollen und Berichterstattung, Treasury Management, Risikomanagement, Bereitstellung und Management von Maßnahmen der Gesundheit und Sicherheit am Arbeitsplatz, Bereitstellung des Active Directory, Bereitstellung von IT-Tools, internen Websites und anderen digitalen Lösungen oder Kollaborationsplattformen, Management des IT-Supports einschließlich Infrastrukturmanagement, Systemmanagement, Management von Anwendungen, Informationssicherheitsmanagement, Customer Relationship Management, Angebotsmanagement, Vertriebs- und Marketingmanagement, Beschaffungsmanagement, internes und externes Kommunikations- und Veranstaltungsmanagement, Einhaltung von Gesetzen auf den Gebiet der Betrugs- und Geldwäscheprävention oder sonstigen gesetzlichen Anforderungen, Datenanalysevorgänge, rechtliche Maßnahmen der Unternehmensführung und Implementierung von Compliance-Prozessen.

RICHTIGKEIT DER DATEN UND SPEICHERBEGRENZUNG

Personenbezogene Daten, die von Sodexo verarbeitet werden, werden sachlich richtig und erforderlichenfalls auf dem neuesten Stand gehalten.
Darüber hinaus werden wir Ihre personenbezogenen Daten nur so lange speichern, wie dies zu den Zwecken, zu denen sie erhoben wurden, sowie zu anderen zulässigen Zwecken erforderlich ist.
Dies schließt Zwecke zur Erfüllung gesetzlicher buchhalterischer oder berichtspflichtiger Anforderungen ein, sofern deren Einhaltung für Sodexo erforderlich ist, um rechtliche Ansprüche geltend zu machen oder sich gegen diese zu verteidigen. Dies gilt bis zum Ende der jeweiligen Aufbewahrungsfrist oder bis zur Begleichung der betreffenden Ansprüche.
Nach Ablauf der geltenden Aufbewahrungsfrist werden wir Ihre personenbezogenen Daten gemäß den geltenden Gesetzen und Vorschriften sicher vernichten.

DIE SICHERHEIT IHRER PERSONENBEZOGENEN DATEN

Wir ergreifen gemäß unserer internen Sicherheitsrichtlinien geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten sicher aufzubewahren und vor Verlust, Zerstörung, Manipulation, Missbrauch und vor dem Zugriff unberechtigter Personen zu schützen.
Wir beachten die Prinzipien der datenschutzfreundlichen Voreinstellung und Technikgestaltung, um erforderliche Schutzmaßnahmen umzusetzen und die Daten während des Verarbeitungsprozesses zu schützen. Abhängig vom Grad des Risikos für die Rechte und Freiheiten natürlicher Personen, führen wir eine Datenschutzfolgenabschätzung durch, um angemessene Schutzmaßnahmen zu definieren und den Schutz der personenbezogenen Daten zu gewährleisten, Zusätzliche Sicherheitsmaßnahmen gelten dem Schutz der Daten, welche als sensible Daten zu qualifizieren sind.

OFFENLEGUNG IHRER PERSONENBEZOGENEN DATEN

Wir geben Ihre personenbezogenen Daten an genannte Empfänger und unter folgenden Umständen weiter:

• an Unternehmen der Sodexo Gruppe zu den in dieser Richtlinie beschriebenen Zwecken;
• an Dritten, einschließlich bestimmter Dienstleister, die wir im Zusammenhang mit den in dieser Richtlinie beschriebenen Zwecken und den von uns erbrachten Dienstleistungen beauftragt haben;
• an Unternehmen, die Dienstleistungen im Zusammenhang mit Überprüfungen zur Geldwäsche-, Terrorismus-, und Betrugsprävention erbringen;
• an Gerichte, Strafverfolgungsbehörden, Finanz- und Aufsichtsbehörden, andere Regierungsstellen;
• an Anwälte oder anderen Parteien, wenn dies zur Begründung, Ausübung oder Verteidigung eines Anspruchs oder zur Durchführung eines anderen Streitbeilegungsverfahrens erforderlich ist;
• an Dienstleister, die wir innerhalb oder außerhalb von Sodexo im In- oder Ausland engagieren, um personenbezogene Daten für einen der oben genannten Zwecke in unserem Namen und nach unseren Weisungen zu verarbeiten, z. Bsp. Shared Service Center;
• Wenn wir ein Geschäft oder Unternehmensanteile verkaufen oder kaufen, können wir in diesem Fall Ihre personenbezogenen Daten an den potenziellen Verkäufer oder Käufer eines solchen Geschäfts oder Anteils weitergeben, wenn wir unsere Rechte und Pflichten übertragen.

VERARBEITUNG IN EINEM DRITTLAND

Das europäische Datenschutzgesetz erlaubt keine Weitergabe personenbezogener Daten an Drittländer außerhalb der EU oder des EWR, die kein angemessenes Datenschutzniveau gewährleisten.
Da es sich bei SODEXO um eine international agierende Firmengruppe handelt, können Ihre Daten an autorisierte interne oder externe Empfänger übertragen werden, welche möglicherweise in Ländern außerhalb der EU oder des EWR ansässig sind, unter anderem auch in Ländern, deren Datenschutzgesetze nicht mit den im EWR geltenden Datenschutzgesetzen vergleichbar sind. Sollten wir personenbezogene Daten in ein Land übermitteln, das von der europäischen Kommission nicht als Land anerkannt wurde, dessen Schutzniveau dem Schutzniveau des EWR gleichwertig ist, werden wir diese Übermittlung unter Anwendung der Schutzmaßnahmen vornehmen, die eine Übermittlung im Einklang mit anwendbaren europäischen Datenschutzgesetze ermöglichen, z. Bsp. unter Verwendung der Standardvertragsklauseln wie sie von der der Europäischen Kommission genehmigt wurden.
Sie erhalten zum Zeitpunkt der Erhebung Ihrer personenbezogenen Daten durch entsprechende Datenschutzhinweise oder Datenschutzrichtlinien weitere Informationen bezüglich der Übertragung Ihrer personenbezogenen Daten außerhalb Europas.
Weitere Informationen, oder Kopien der Dokumente, welche die Übertragung Ihrer Daten absichern können Sie unter info.at@sodexo.com erfragen.

COOKIES

Einige unserer Websites verwenden möglicherweise "Cookies". Cookies sind kleine Dateien, die beim Besuch bestimmter Websites auf der Festplatte Ihres Computers abgelegt werden und spezifische, auf das Endgerät des Nutzers bezogene Informationen zu speichern. Wir können Cookies verwenden, um die Webseitennutzung zu erfassen, z. Bsp um zu erfahren, ob Sie unsere Website bereits besucht haben oder ob Sie ein neuer Besucher sind. Zudem sollen uns Cookies dabei helfen, durch Nutzerverhalten beliebte Funktionen zu identifizieren und diese weiter zu verbessern. Cookies können Ihre Online-Erfahrung verbessern, indem sie es ermöglichen, dass Ihre Einstellungen gespeichert werden, während Sie die Website besuchen.
Wir werden Sie beim Besuch unserer Websites darüber informieren, welche Arten von Cookies wir verwenden und um Ihre Einwilligung zur Verwendung von Cookies fragen. Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z.B. Warenkorbfunktion) erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (unsere berechtigtes Interesse, die Webseite zu betreiben) gespeichert.  Weitere Informationen finden Sie in unseren Cookie-Richtlinien.

IHRE RECHTE

Sodexo verpflichtet sich, den Schutz Ihrer Rechte zu gewährleisten. Nachfolgend finden Sie eine Tabelle, in der Ihre verschiedenen Rechte zusammengefasst sind:

Recht auf Auskunft	Sie können Auskunft über die Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Sie können auch die Berichtigung ungenau oder unvollständig erhobener personenbezogener Daten personenbezogene Daten verlangen. Sie können alle verfügbaren Informationen über die Quelle der personenbezogenen Daten anfordern, und Sie können auch eine Kopie Ihrer personenbezogenen Daten, die von Sodexo verarbeitet werden, anfordern.
Recht auf Datenlöschung	Sie haben das Recht, in den folgenden Fällen die Löschung Ihrer personenbezogenen Daten zu beantragen: die Daten sind für die Zwecke ihrer Erhebung oder Verarbeitung nicht mehr erforderlich; Ihre personenbezogenen Daten wurden rechtswidrig verarbeitet; Es besteht eine rechtliche Verpflichtung zur Löschung Ihrer personenbezogenen Daten.
Recht auf Beschränkung der Verarbeitung	Sie können die Einschränkung der Verarbeitung in folgenden Fällen beantragen: Sie bestreiten die Richtigkeit der personenbezogenen Daten; Sodexo benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr; Sie haben die Verarbeitung aus legitimen Gründen abgelehnt.
Recht auf Datenübertragung	Sie können gegebenenfalls die Übertragung Ihrer personenbezogenen Daten, die Sie Sodexo zur Verfügung gestellt haben, beantragen. Wurden diese in einem strukturierten, häufig verwendeten und maschinenlesbaren Format gespeichert, haben Sie das Recht, diese Daten ungehindert von Sodexo an einen anderen Anbieter zu übertragen, wenn: Die Verarbeitung Ihrer personenbezogenen Daten auf Ihrer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung automatisiert erfolgte. Sie können auch beantragen, dass Ihre personenbezogenen Daten direkt an einen Dritten Ihrer Wahl übermittelt werden (soweit dies technisch möglich ist).
Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden	Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung (einschließlich Profiling) beruhenden Entscheidung unterworfen zu sein, welche Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Recht der Datenverarbeitung zu widersprechen	Sie können der Verarbeitung Ihrer personenbezogenen Daten, insbesondere im Zusammenhang mit Profiling oder der Marketingkommunikation, widersprechen (d. h. Ihr Recht auf "Opt-out" ausüben). Wenn wir Ihre personenbezogenen Daten aufgrund Ihrer Einwilligung verarbeiten, können Sie Ihre Einwilligung jederzeit zurückziehen.
Recht der zuständigen Behörde eine Beschwerde zu übermitteln	Sie können eine Beschwerde bei der Datenschutzbehörde in dem Land einreichen, in dem Sie Ihren gewöhnlichen Aufenthalt oder Ihren Arbeitsplatz haben, oder an dem Ort des mutmaßlichen Verstoßes, unabhängig davon, ob Sie einen Schaden erlitten haben. Sie haben auch das Recht, Ihre Beschwerde bei den Gerichten in den Zuständigkeitsbereichen einzureichen, in denen das Unternehmen Sodexo eine Niederlassung hat oder Sie Ihren gewöhnlichen Aufenthalt haben.

Um Ihre Rechte auszuüben, können Sie:

• eine E-Mail an die Konzerndatenschutzbeauftragte unter dpo.group@sodexo.com senden, den lokalen Ansprechpartner unter den in den lokalen Datenschutzerklärungen genannten Kontaktdaten kontaktieren, oder
• das Online Formular ausfüllen und absenden: Request webform

MINDERJÄHRIGE

Kinder und Minderjährige verdienen einen besonderen Schutz in Bezug auf ihre personenbezogenen Daten, da sie sich der Risiken, Folgen und benötigten Schutzmaßnahmen, sowie ihrer Rechte möglicherweise wenig bewusst sind.
Ein spezifischer Schutz sollte für die Erhebung und Verarbeitung personenbezogener Daten von Kindern insbesondere dann gegeben sein, wenn einem Kind Dienste der Informationsgesellschaft direkt angeboten werden, wenn die Daten zu Marketingzwecken oder zur Erstellung von Persönlichkeits- bzw. Benutzerprofilen benutzt werden.
Wir erheben und verarbeiten personenbezogene Daten von Kindern nicht ohne die Zustimmung des Sorgeberechtigten, sofern diese erforderlich ist. Insbesondere vermarkten wir unsere Dienstleistungen nicht direkt an Kinder. Hiervon kann es Ausnahmen geben, welche nur für bestimmte Dienstleistungen gelten und für die im Vorfeld die Einwilligung des Sorgeberechtigten eingeholt wird. Wenn Sie der Meinung sind, dass wir versehentlich personenbezogene Daten von Kindern erhoben haben, benachrichtigen Sie uns bitte über die unten angegebenen Kontaktdaten.

AKTUALISIERUNG DIESER RICHTLINIE

Neue rechtliche Vorgaben, unternehmerische Entscheidungen oder die technische Entwicklung erfordern gegebenenfalls Änderungen in unserer Datenschutzerklärung. Die Datenschutzerklärung wird dann entsprechend angepasst. Die aktuellste Version finden Sie immer auf unserer Website.

KONTAKT

Wenn Sie Fragen, Kommentare und Anfragen zu dieser Richtlinie haben, können Sie können Sie die Konzerndatenschutzbeauftragten unter dpo.group@sodexo.com kontaktieren.