Wir verwenden Cookies, um Inhalte zu personalisieren, Social Media-Funktionen bereitzustellen und den Datenverkehr auf unserer Seite zu analysieren. Außerdem teilen wir Informationen darüber, wie Sie unsere Seite nutzen, mit unseren Social Media- und Analysepartnern. Diese können sie mit anderen Informationen, die Sie ihnen zur Verfügung gestellt haben oder die sie durch Ihre Nutzung ihrer Dienste gesammelt haben, kombinieren.
Alle akzeptieren
Anpassen
Please check an answer for every question.
We use cookies to personalise content, to provide social media features and to analyse our traffic. We also share information about your use on our site with our socal media and analytics partners who may combine it with other information that you've provided to them or that they've collected from your use of their services.

Zusammengefasste Version der Verbindlichen Unternehmensregeln Von Total

ZUSAMMENGEFASSTE VERSION
DER VERBINDLICHEN UNTERNEHMENSREGELN VON TOTAL

 

  1.    Einführung

    Die Total Gruppe (oder „Total“) fördert eine Kultur und Praktiken zum Schutz personenbezogener Daten1 im Einklang mit den geltenden Gesetzen. Zu diesem Zweck hat Total die Verbindlichen Unternehmensregeln („VUR“) eingeführt.

    Dieses Dokument fasst die Datenschutzgrundsätze zusammen, die nach unseren VUR gelten, und die Rechte, die durch sie eingeräumt werden.
     

  2.    Zweck

    Unsere VUR enthalten eine Reihe intern verbindlicher Regeln, die für alle Tochtergesellschaften von Total gelten, die sie übernommen haben. Sie wurden von den europäischen Datenschutzbehörden genehmigt.

    Sie erlauben den Tochtergesellschaften von Total die Übermittlung von aus dem Europäischen Wirtschaftsraum („EWR“)2 stammenden personenbezogenen Daten im Einklang mit dem geltenden Recht an Tochtergesellschaften, die außerhalb des EWR ansässig sind.

  3.    Umfang der Anwendung

    Unsere VUR gelten für alle aus dem EWR stammenden personenbezogenen Daten, die von Tochtergesellschaften von Total verarbeitet werden, und schließen Daten ein, die sich auf frühere oder gegenwärtige Arbeitnehmer, Stellenbewerber, Kunden und potenzielle Kunden, Lieferanten und Unterauftragnehmer und das Personal von Drittunternehmen, die im Auftrag der Tochtergesellschaften der Gruppe handeln, sowie auf Aktionäre beziehen (nachfolgend als die „betroffenen Personen“ bezeichnet).
     

  4.    Datenschutzgrundsätze

    Die folgenden in unseren VUR festgelegten Grundsätze müssen beachtet werden. Dazu gehören:

       •   Rechtmäßigkeit

    Jeder ausgeführte Datenverarbeitungsvorgang3 hat eine Rechtsgrundlage, die im geltenden Recht vorgesehen ist.

    Personenbezogene Daten dürfen nur zu rechtmäßigen, festgelegten und legitimen Zwecken verarbeitet werden. Die Daten dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.

       •   Relevanz

    Personenbezogene Daten müssen zutreffend sein und im Hinblick auf ihre Qualität und Quantität dem Zweck der Verarbeitung entsprechend angemessen sein.

       •   Transparenz

    Personenbezogene Daten müssen auf rechtmäßige Weise und nach Treu und Glauben erhoben werden. Die betroffenen Personen müssen über die Art und Weise der Verarbeitung ihrer personenbezogenen Daten und über ihre Rechte informiert werden, sofern sich dies nicht als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden wäre.

       •   Sicherheit

    Personenbezogene Daten müssen durch geeignete Sicherheitsmaßnahmen geschützt werden, um die Gefahr des unbefugten Zugriffs auf die Daten oder ihrer Vernichtung, ihrer Veränderung oder ihres Verlusts zu begrenzen.

    Hierzu findet eine Reihe interner Normen Anwendung, die es ermöglichen, die Sicherheit und die Vertraulichkeit personenbezogener Daten sicherzustellen:

       •   Die Nutzungsrichtlinien für die IT- und Kommunikationsressourcen, die verlangen, im Einklang mit der Verordnung und den Vertraulichkeitsregeln zu handeln;
       •   Die Richtlinie zur Sicherheit von Informationssystemen, die festlegt, wie die Sicherheit von Informationssystemen im Rahmen der Unternehmensführung erreicht wird;
       •   Das Referenzsystem zur Sicherheit von Informationssystemen, das über 19 detaillierte Themen die verschiedenen Anforderungen der Gruppe in Bezug auf die Sicherheit von Informationssystemen aufführt;
       •   Die Richtlinie zum Schutz von Informationen, die die Anforderungen an den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen darstellt, die innerhalb der Gruppe vorgehalten und ausgetauscht werden.

    Wenn eine Tochtergesellschaft von Total zur Verarbeitung personenbezogener Daten auf die Dienste eines Dritten zurückgreift, stellt sie sicher, dass dieser ausreichende Garantien für die Sicherheit und Vertraulichkeit der Daten bietet.

       •   Speicherung

    Personenbezogene Daten dürfen nur für einen angemessenen und im Hinblick auf den Zweck der Verarbeitung nicht übermäßigen Zeitraum gespeichert werden.

    Wenn die Speicherfrist abläuft, werden die Daten vernichtet, anonymisiert oder archiviert.

       •   Übermittlung personenbezogener Daten ins Ausland4

    Total übermittelt personenbezogene Daten, die aus einem EWR-Land stammen, nicht direkt an eine in einem Drittland ansässige Tochtergesellschaft von Total, wenn dieses Drittland kein angemessenes Schutzniveau bietet, es sei denn, die betreffende Tochtergesellschaft hat die VUR förmlich unterzeichnet oder setzt ein anderes von der Europäischen Kommission anerkanntes rechtliches Instrument ein.

    Total übermittelt personenbezogene Daten, die aus dem EWR stammen, nicht direkt an ein nicht zur Total Gruppe gehörendes Unternehmen (Verantwortlicher oder Auftragsverarbeiter), das in einem Land ansässig ist, welches kein angemessenes Datenschutzniveau bietet, ohne eine Rechtsgrundlage nach dem anwendbaren Recht und Instrumenten, die ausreichende Sicherheitsmaßnahmen vorsehen, wie etwa die Standardvertragsklauseln.

    Wenn ein Datenimporteur aus dem EWR stammende personenbezogene Daten an ein nicht zur Total Gruppe gehörendes Unternehmen (Verantwortlicher oder Auftragsverarbeiter) weiterübermittelt, das in einem Land ansässig ist, welches kein angemessenes Datenschutzniveau bietet, muss der Datenimporteur gleichermaßen eine Vereinbarung mit diesem Unternehmen abschließen, nach dem er sich verpflichtet, die Grundsätze der VUR zu beachten.
     

  5.    Rechte der betroffenen Person

    Nach unseren VUR haben betroffene Personen, deren Daten verarbeitet werden, die folgenden Rechte:

       •   Das Recht auf Auskunft über die Daten

       •   Das Recht zur Berichtigung, Löschung und Sperrung der Daten

       •   Das Recht, der Verarbeitung zu widersprechen

       •   Das Recht, die Verarbeitung einzuschränken

    [Eine umfassende Liste der durch die VUR gewährten Rechte ist nachfolgend in ANHANG 1 enthalten].

    Betroffene Personen können diese Rechte ausüben, indem sie unter Verwendung der in den rechtlichen Hinweisen angegebenen Kontaktdaten einen Antrag zur Verarbeitung ihrer Daten übermitteln. Die Tochtergesellschaften von Total verpflichten sich, Fragen zur Verarbeitung außerhalb des EWR innerhalb der gesetzlichen Frist zu beantworten.

    Darüber hinaus haben betroffene Personen, wenn sie der Auffassung sind, dass eine Tochtergesellschaft von Total die VUR nicht beachtet hat, das Recht, eine Beschwerde zu erheben durch Übersendung:

       -   einer E-Mail an: data-protection@total.com

    oder

       -   eines Schreibens an TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    Betroffene Personen werden über den Stand ihrer Beschwerde und alle weiteren Schritte informiert.

    Das interne Beschwerdeverfahren ist nachfolgend in ANHANG 2 beschrieben.

    Der Umstand, dass betroffene Personen eine Beschwerde bei Total erheben können, beeinträchtigt nicht ihre Rechte, eine Beschwerde bei den zuständigen EWR-Datenschutzbehörden einzulegen oder eine Klage vor den Gerichten des EWR-Landes zu erheben, in dem die für den Export der personenbezogenen Daten zuständige Tochtergesellschaft von Total niedergelassen ist.
     

  6.    Unternehmensführung (Governance)

    Ein internes „Netzwerk zum Schutz personenbezogener Daten“ ist für die Überwachung und Kontrolle der Umsetzung der VUR innerhalb der Total Gruppe zuständig. Es setzt sich zusammen aus:
       •   Einer für den Datenschutz auf Konzernebene zuständigen Führungskraft (Corporate Data Privacy Lead), die die Compliance-Maßnahmen auf der Ebene der Unternehmensgruppe überwacht und verfolgt;
       •   Für den Datenschutz auf Bereichsebene zuständigen Führungskräften (Branch Data Privacy Leads), die die Compliance-Maßnahmen auf der Spartenebene leiten und koordinieren;
       •   Datenschutzkontaktleuten (Data Privacy Liaisons), die die Compliance-Maßnahmen auf der Ebene der Tochtergesellschaft leiten und koordinieren.
     

  7.    Interne Kontrolle und Audit

    Um die ordnungsgemäße Anwendung unserer VUR sicherzustellen, wurden einige interne Kontroll- und Prüfungsmechanismen eingeführt.

    Durch das Netzwerk zum Schutz personenbezogener Daten wird ein jährlicher interner Kontrollplan festgelegt, um das Compliance-Niveau der Datenverarbeitung durch die Total Gruppe in Bezug auf unsere VUR zu beurteilen. Es ist ebenfalls ein Berichterstattungsverfahren eingerichtet, um regelmäßig zu den Aktionsplänen zu berichten, die nach Vornahme der Bewertungen aufgestellt wurden.

    Zudem bezieht die Leitung von Group Internal Audit auch die Kontrolle der Systeme zum Schutz personenbezogener Daten in seinen regelmäßigen Prüfungsplan ein.
     

  8.    Änderungen der Regeln von Total

    Unsere VUR können, falls notwendig, ergänzt oder aktualisiert werden.
     

  9.    Weitere Informationen

    Ein Exemplar der ausführlichen Fassung unserer VUR sowie eine Liste der Tochtergesellschaften von Total, die sie übernommen haben, kann mittels einer E-Mail an data-protection@total.com angefordert werden.
     

    1 Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
    2 EWR bedeutet die Mitgliedstaaten der Europäischen Union und Island, Liechtenstein und Norwegen.
    3 Verarbeitung ist jeder mit oder ohne automatisierte Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (z. B.: Erhebung, Aufzeichnung, Speicherung, Löschung…).
    4 Übermittlung ist jeder virtuelle und physische Austausch personenbezogener Daten, die aus dem EWR stammen, von einem Land in ein anderes.

ANHANG 1
RECHTE DRITTBEGÜNSTIGTER

 

Unsere VUR räumen den betroffenen Personen Rechte ein, die Regeln als Drittbegünstigte durchzusetzen.

Genauer gesagt, können sie die folgenden Grundsätze entsprechend den in unseren VUR festgelegten Bedingungen durchsetzen:

  • Dass jeder innerhalb der Total Gruppe ausgeführte Datenverarbeitungsvorgang eine Rechtsgrundlage haben muss, die nach dem anwendbaren Gesetz vorgesehen ist;
  • Dass Total personenbezogene Daten zu legitimen, bestimmten und ausdrücklichen Zwecken erheben und verarbeiten muss und personenbezogene Daten nicht in einer Art und Weise verarbeiten darf, die mit dem Zweck, zu dem sie erhoben wurden, unvereinbar ist;
  • Dass Total personenbezogene Daten verarbeiten muss, die für den Zweck, zu dem sie erhoben wurden, relevant und nicht übermäßig sind, und dass diese Daten sachlich richtig und erforderlichenfalls auf dem aktuellen Stand sein müssen;
  • Dass den betroffenen Personen ein einfacher und dauerhafter Zugang zu den Informationen über ihre Rechte nach diesen VUR gewährt werden muss;
  • Dass betroffene Personen, deren personenbezogene Daten aus dem EWR stammen, ein Auskunftsrecht, ein Berichtigungsrecht und ein Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten nach Maßgabe des anwendbaren Rechts haben müssen;
  • Dass betroffene Personen, deren personenbezogene Daten aus dem EWR stammen, nicht einer Entscheidung unterworfen werden dürfen, die ihnen gegenüber rechtliche Wirkungen entfaltet oder sie erheblich beeinträchtigt und die allein auf einer automatisierten Verarbeitung personenbezogener Daten beruht, die dazu bestimmt ist, bestimmte persönliche Aspekte in Bezug auf die betreffende Person zu beurteilen, es sei denn, diese Entscheidung:
    • wird im Rahmen des Abschlusses oder der Erfüllung eines Vertrags getroffen, sofern die von der betroffenen Person ausgehende Aufforderung zum Abschluss oder zur Erfüllung des Vertrags erfüllt wurde oder geeignete Maßnahmen getroffen sind, um ihre berechtigten Interessen zu schützen, wie etwa Vorkehrungen, die ihr erlauben, ihren Standpunkt zu äußern; oder
    • sie ist nach dem anwendbaren Recht zulässig, das auch die Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person festlegt;
  • Dass Total angemessene Maßnahmen treffen muss, um die Sicherheit und Vertraulichkeit der personenbezogenen Daten zu gewährleisten, wobei der Stand der Technik und die Kosten ihrer Umsetzung zu berücksichtigen sind;
  • Dass Total mit einem Dienstleister, der zur Verarbeitung personenbezogener Daten eingesetzt wird, eine schriftliche Vereinbarung über die Verarbeitung abschließen muss, in der festgelegt ist, dass der Dienstleister nur nach den Anweisungen von Total handeln darf und angemessene die Sicherheit und Vertraulichkeit der Daten betreffende Maßnahmen zu treffen hat;
  • Dass Total keine personenbezogenen Daten aus einem Mitgliedstaat des EWR oder aus dem EWR stammenden personenbezogenen Daten an ein nicht zur Total Gruppe gehörendes Unternehmen (entweder ein externer Verantwortlicher oder ein Auftragsverarbeiter) übermitteln darf, das in einem Drittland ansässig ist, welches kein angemessenes Datenschutzniveau bietet, ohne dass eine Rechtsgrundlage nach dem anwendbaren Recht und Instrumente bestehen, die ausreichende Sicherheitsmaßnahmen vorsehen;
  • Dass eine Tochtergesellschaft von Total unverzüglich den Datenexporteur informieren muss, wenn diese Tochtergesellschaft von Total der Auffassung ist, dass das in ihrem Hoheitsgebiet geltende Recht sie wahrscheinlich an der Erfüllung ihrer Verpflichtungen nach den VUR von Total hindert und nachteilige Auswirkungen auf die durch dieses VUR gebotenen Garantien hat, es sei denn, dies ist durch eine Vollstreckungsbehörde verboten, insbesondere infolge eines strafrechtlichen Verbots zum Schutz der Vertraulichkeit strafrechtlicher Ermittlungen;
  • Dass eine betroffene Person über den internen Beschwerdemechanismus im Einklang mit den im Kapitel „Bearbeitung von Beschwerden“ festgelegten Bedingungen eine Beschwerde bei Total erheben kann;
  • Dass alle Tochtergesellschaften von Total, die die VUR unterzeichnet haben, mit den zuständigen Aufsichtsbehörden zusammenarbeiten, deren Empfehlungen zu internationalen Datenübermittlungen im Falle einer Beschwerde oder einer besonderen Anforderung solcher Behörden befolgen und ihre Überprüfung durch die Aufsichtsbehörde ihres Niederlassungslandes akzeptieren müssen;
  • Dass eine betroffene Person eine Beschwerde bei den zuständigen nationalen Aufsichtsbehörden einlegen oder eine Klage vor dem Gericht eines EWR-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, erheben kann, um die oben genannten Grundsätze durchzusetzen, und, wo dies angemessen ist, eine Entschädigung für die infolge der Verletzung der VUR von Total erlittenen Schäden erhalten kann. Wenn der Datenimporteur im Rahmen der Übermittlung personenbezogener Daten außerhalb des EWR die VUR von Total nicht befolgt, wird der Datenexporteur die Verteidigung gegen alle Ansprüche übernehmen, geltend machen, dass der Datenimporteur die VUR nicht verletzt hat, und der betroffenen Personen für den infolge der betreffenden Verletzung erlittenen Schaden eine Entschädigung zahlen.

ANHANG 2
INTERNES VERFAHREN ZUR BEARBEITUNG VON BESCHWERDEN

 

Wenn eine betroffene Person der Auffassung ist, dass eine Tochtergesellschaft von Total die VUR von Total nicht befolgt hat, kann sie im Einklang mit dem in der maßgeblichen Datenschutzrichtlinie oder dem maßgeblichen Vertrag festgelegten oder nach dem unten beschriebenen Verfahren eine Beschwerde erheben.
 

  1.    Wie eine Beschwerde erhoben wird

    Betroffene Personen können eine Beschwerde erheben durch Übersendung:

       -   einer E-Mail an: data-protection@total.com

    oder

       -   eines Schreibens an TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    In der Beschwerde sollten die Einzelheiten zu der vorgebrachten Angelegenheit so umfassend und klar wie möglich angegeben werden, einschließlich folgender Angaben:

       -   das betreffende Land und die betroffene Tochtergesellschaft von Total, das Verständnis der betroffenen Person in Bezug auf die Verletzung der VUR, die angestrebte Abhilfe;

       -   der vollständige Name und die Kontaktdaten der betroffenen Person sowie eine Kopie ihres Personalausweises oder sonstigen Ausweisdokuments;

       -   etwaige vorherige Korrespondenz zu dieser speziellen Angelegenheit.
     

  2.    Antwort von Total

    Innerhalb von drei Monaten nach Eingang einer Beschwerde bei Total hat der zuständige Branch Data Privacy Lead („BDPL“) die betroffene Person schriftlich über die Zulässigkeit der Beschwerde zu informieren und, sofern sie zulässig ist, über die Abhilfemaßnahmen, die Total infolgedessen ergriffen hat oder ergreifen wird. Der zuständige BDPL hat sicherzustellen, dass erforderlichenfalls angemessene Abhilfemaßnahmen ergriffen werden, um die Einhaltung der VUR zu erreichen.

    Der zuständige BDPL hat eine Kopie der Beschwerde und der schriftlichen Antwort an den Corporate Data Privacy Lead („CDPL“) zu übersenden.

  3.    Rechtsbehelf

    Wenn die betroffene Person mit der Antwort des zuständigen BDPL nicht zufrieden ist (beispielsweise wenn die Beschwerde zurückgewiesen wurde), kann sie sich durch Übersendung einer E-Mail oder eines Schreibens, wie oben angegeben, an den CDPL wenden. Der CDPL prüft die Beschwerde und trifft innerhalb von drei Monaten nach Eingang des Antrags eine Entscheidung. Nach Ablauf dieser Frist informiert der CDPL die betroffene Person, ob die ursprüngliche Antwort aufrechterhalten wird, oder er teilt eine neue Entscheidung mit.

    Der Umstand, dass betroffene Personen eine Beschwerde bei Total erheben können, beeinträchtigt nicht ihre Rechte, eine Beschwerde bei der zuständigen nationalen Aufsichtsbehörde einzulegen oder eine Klage vor den Gerichten des EWR-Mitgliedstaats zu erheben, in dem der Datenexporteur niedergelassen ist.