Datenschutzrichtlinie

Diese Datenschutzrichtlinie („Richtlinie“) ist dazu bestimmt, die Anforderungen festzulegen, die bezüglich der Erfassung, Nutzung, Erhaltung, Sicherheit und Offenlegung personenbezogener Daten durch Broadridge Financial Solutions, Inc. sowie ihre direkten und indirekten hundertprozentigen Tochtergesellschaften (gemeinsam bezeichnet als „Broadridge“) Anwendung finden.

Geltungsbereich

Geschäftlicher Anwendungsbereich: Diese Richtlinie findet Anwendung auf Broadridge und alle Angestellten von Broadridge.

Sachlicher Geltungsbereich: Diese Richtlinie gilt für die weltweite Verarbeitung personenbezogener Daten durch Broadridge. Sie kann durch andere Richtlinien und Verfahrensregelungen ergänzt werden, die zusätzliche Vorgaben für die Verarbeitung spezieller Arten personenbezogener Daten festlegen, wie zum Beispiel für personenbezogene Daten von Arbeitnehmern oder für die Verarbeitung personenbezogener Daten in bestimmten geographischen Gebieten.
Regional anwendbare Gesetze: Soweit regional anwendbare Gesetze oder staatliche Datenschutzrichtlinien strengere Anforderungen enthalten, wird Broadridge alle personenbezogenen Daten unter Beachtung der strengeren Anforderungen erheben, verarbeiten, nutzen, speichern, sichern und offen legen.

Begriffsbestimmungen

Verbundene Unternehmen – Alle Gesellschaften, die unmittelbar oder mittelbar von der gleichen Muttergesellschaft kontrolliert werden.

Kontaktdaten - Kontaktdaten bestehen aus folgenden Informationen über Angestellte und Geschäftspersonen:

1. Name,
2. Titel,
3. Firmenname/Unternehmensbezeichnung,
4. Geschäftsanschrift,
5. Geschäftliche Telefon- und Faxnummer,
6. Geschäftliche E-Mail-Adresse, und/oder
7. ID-Nummern, ausgegeben von Broadridge oder einem verbundenen Unternehmen.

Es können aufgrund von verschiedenen geographischen Gegebenheiten oder verschiedenen Funktionsbereichen, Unterschiede bei der Verarbeitung der Kontaktdaten auftreten. Verfahren und Richtlinien von verbundenen Unternehmen und aus den Geschäftsbereichen sollten ebenfalls herangezogen werden.

Endkunde – Jede natürliche Person, die mit Broadridge oder einem Kunden von Broadridge als Privatperson Umgang hat.

Kunde - Ein Unternehmen, das Broadridge dazu verpflichtet, mit Dienstleistungen zu erbringen, deren Gegenstand die Verarbeitung personenbezogener Daten im Auftrag des betreffenden Unternehmens ist. Kunden beauftragen Broadridge insbesondere mit der Erbringung von verschiedenen Datenverarbeitungsdienstleistungen, die Bestandteil von Leistungen der Geschäftsbereiche Investor Communication Solutions, Securities Processing Solutions und Clearing & Outsourcing Solutions sind und die eine Erhebung, Analyse und Verarbeitung von Informationen erfordern, die personenbezogene Daten der Beschäftigten des Kunden und seiner Kunden sowie anderer natürlicher Personen umfassen.

Standardvertrag - Der von der Europäischen Kommission veröffentlichte Formularvertrag, der einen angemessenen Schutz für personenbezogene Daten festlegt, die von Europa aus übermittelt werden. Informationen über den Standardvertrag sind online zu finden unter: http://www.europa.eu.int/comm/justice_home/fsj/privacy/modelcontracts/index_en.htm.

Personenbezogene Daten - Jede Information, die (allein oder in Kombination mit anderen von Broadridge unmittelbar kontrollierten Informationen) verwendet werden kann, um eine natürliche Person zu identifizieren, aufzufinden oder zu kontaktieren. Zu den personenbezogenen Daten zählen der Name und die Adresse einer Person, ihre Sozialversicherungsnummern sowie die Nummern von Bankkonten. Personenbezogene Daten können in jedem Medium oder Format vorliegen; inbegriffen sind computergestützte und elektronische Unterlagen ebenso wie Akten aus Papier.

Verarbeitung - Jeder Vorgang oder jede Reihe von Vorgängen, der oder die an personenbezogenen Daten ausgeführt wird, ob mit automatischen Hilfsmitteln oder nicht, wie zum Beispiel Erhebung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Bereitstellung, Heranziehung, Nutzung, Übermittlung, Offenlegung durch Übertragung, Weitergabe oder anderweitige Zugänglichmachung, Abgleich oder Zusammenstellung, Sperrung, zerstreute Löschung oder Vernichtung der personenbezogenen Daten.

Geschäftsperson - Eine natürliche Person (mit Ausnahme von Angestellten), die mit Broadridge aufgrund einer geschäftlichen, gewerblichen oder beruflichen Eigenschaft Umgang hat. Umfass sind beispielsweise gewerbliche Kunden, Lieferanten und Geschäftspartner.

Sensible persönliche Daten - Sensible persönliche Daten stellen eine Untermenge der personenbezogenen Daten dar, die aufgrund ihrer Natur durch Gesetz oder Richtlinien als Daten eingestuft werden, die zusätzlichen Schutzes und zusätzlicher Absicherung bedürfen.

Sensible persönliche Daten umfassen:

• von der Regierung ausgegebene Identifikationsnummern (US-amerikanische und kanadische Sozialversicherungsnummern, Führerscheinnummern und Nummern von Pässen inbegriffen),
• persönliche Bankverbindungen (Bankkontonummern, Kreditkartennummern, andere Informationen, soweit diese den Zugriff auf das Geldkonto einer Person ermöglichen),
• Aufzeichnungen über Krankheiten einer Person und biometrische Informationen,
• Daten, die Gegenstand des Fair Credit Reporting Act sind und
• Daten von EU-Einwohnern, die durch EU-Recht als „besondere Datenkategorien“ eingestuft sind.

Angestellte - Alle Arbeitnehmer, vor Ort tätigen Vertragspartner und anderen natürlichen Personen, die einen selbständigen Zugang zu einer Einrichtung haben, die von Broadridge betrieben wird.

Grundsatzerklärungen

1. Erhebung und Nutzung personenbezogener Daten

Broadridge erhebt und nutzt relevante, zweckdienliche und gebräuchliche personenbezogene Daten (Kontaktdaten und sensible persönliche Daten eingeschlossen) für ihre geschäftlichen Zwecke in einer angemessenen und rechtmäßigen Art und Weise.

Soweit personenbezogene Daten bewusst erhoben werden, ist die Nutzung der personenbezogenen Daten auf die folgenden Fälle beschränkt:

• zu den Verwendungszwecken, die in der anwendbaren Datenschutz-Bekanntmachung oder in einem vorbereiteten Einverständnis-Formular festgelegt sind,
• zu Verwendungszwecken, für welche betroffene Personen die Verarbeitung der Informationen vernünftigerweise erwarten (wie zum Beispiel bei der Beantwortung einer Anfrage),
• zu anderen ergänzenden geschäftlichen Zwecken, und
• zu anderen gesetzlich vorgeschriebenen oder zulässigen Zwecken.

Broadridge wird personenbezogene Daten, die ihr von Kunden zur Verfügung gestellt werden, nur in Übereinstimmung mit den Anweisungen, die sie von den Kunden erhalten hat oder andernfalls gemäß den Vereinbarungen, die mit dem Kunden getroffen wurden, verarbeiten.

2. Datenschutz-Bekanntmachung - Transparenz

Broadridge wird Einzelpersonen, deren personenbezogene Daten von Broadridge erhoben werden, Datenschutz-Bekanntmachungen zur Verfügung stellen, die folgende allgemeine Festlegungen enthalten:

• die Arten der personenbezogenen Daten, die erhoben werden sowie die Quellen, aus denen die Daten stammen (sofern sie nicht bei der Person selbst erhoben werden),
• die Verwendungszwecke und Nutzungen, zu denen die personenbezogenen Daten erhoben werden,
• die Arten der Empfänger, denen die personenbezogenen Daten offen gelegt werden dürfen,
• andere Länder, an welche die personenbezogenen Daten übermittelt werden können,
• dass angemessene Schutzvorkehrungen für den Datenschutz und die Sicherheit in Kraft sind, und
• die Rechte und Wahlmöglichkeiten, die den Einzelpersonen hinsichtlich ihrer personenbezogenen Daten zustehen können.

Entsprechende Bekanntmachungen werden zumindest auf Nachfrage zur Verfügung gestellt. Regional anwendbare Gesetze, Richtlinien und Verfahren können zusätzliche Vorgaben enthalten, die im Hinblick auf den Inhalt, das Format, die Sprache oder die Aushändigung der Bekanntmachungen zu beachten sind.

3. Einwilligung und Übereinkommen

Broadridge wird Einzelpersonen angemessene Gelegenheit geben, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Soweit möglich, wird Broadridge versuchen, angemessene Anpassungen vorzunehmen, wenn eine Person Bedenken hinsichtlich der Verarbeitung ihrer personenbezogenen Daten hat. Broadridge wird mit ihren Kunden zusammenarbeiten, um allen Bedenken Rechnung zu tragen, die sich aus der Verarbeitung personenbezogener Daten ergeben, die in Kundendaten enthalten sind.

• Soweit regional anwendbare Gesetze die ausdrückliche oder eindeutige Einwilligung von Einzelpersonen zur Erhebung und weiteren Verarbeitung ihrer personenbezogenen Daten erfordern, wird Broadridge diese Einwilligung einholen. Soweit Broadridge Daten von Kunden verarbeitet, wird Broadridge sich auf seine Kunden stützen, um alle Einwilligungen einzuholen, die zur Verarbeitung der in den Kundendaten enthaltenen personenbezogenen Daten erforderlich sein können.
• Soweit vernünftigerweise möglich, muss den Einzelpersonen erlaubt sein, ihre Einwilligung zu widerrufen, nachdem sie diese erteilt haben. Allerdings wird die Möglichkeit des Widerrufs der Einwilligung unter bestimmten Umständen, wie zum Beispiel im Zusammenhang mit Aktivitäten, die das Arbeitsverhältnis und oder medizinische Forschungstätigkeiten betreffen, beschränkt und kann zum Verlust von Privilegien oder Rechten der Einzelperson führen.
• Die Verarbeitung personenbezogener Daten (einschließlich sensibler persönlicher Daten) erfordert keine generelle Zustimmung oder Vornahme von Anpassungsmaßnahmen, sofern die jeweils anwendbaren örtlichen Gesetze Broadridge die Verpflichtung auferlegen, personenbezogene Daten zu verarbeiten.
• Kontaktdaten über Geschäftspersonen können ohne Zustimmung für alle rechtmäßigen Geschäftszwecke einschließlich Marketingmaßnahmen verwendet werden. Broadridge wird jedoch alle zumutbaren Anstrengungen unternehmen, um Forderungen nach einer Beschränkung der Verwendung von Kontaktdaten von Geschäftspersonen Rechnung zu tragen. Darüber hinaus wird Broadridge alle regional anwendbaren Gesetze einhalten, welche die Verwendung von Kontaktdaten der Geschäftspersonen beschränken.

4. Interne und externe Offenlegung – Internationale Datenübermittlung

• Interne Offenlegung – Angesichts der Sensibilität personenbezogener Daten, wird Broadridge personenbezogene Daten innerhalb des Gesellschaft und den verbundenen Unternehmen nur gegenüber jenen Angestellten offen legen, welche die betreffenden personenbezogenen Daten vernünftigerweise benötigen, um die ihnen übertragenen Aufgaben effizient und erfolgreich auszuführen. So wird Broadridge beispielsweise seinen Angestellten umfassend Zugang zu Kontaktdaten gewähren, jedoch den Zugang zu sensible personenbezogenen Daten in hohem Maße beschränken.
• Externe Offenlegung - Angesichts der Sensibilität personenbezogener Daten, wird Broadridge personenbezogene Daten an Dritte nur übermitteln sofern: (i) die jeweiligen Dritten im Auftrag von Broadridge oder zur Unterstützung des Geschäfts von Broadridge tätig werden und durch Gesetz oder Vertrag verpflichtet sind, personenbezogene Daten selbst nur zu sachgemäßen Zwecken, nach Maßgabe der vorstehenden Bestimmungen über die Erhebung und Nutzung personenbezogener Daten, zu nutzen, (ii) die Offenlegung aus anderen Gründen rechtlich zulässig ist, (iii) die betroffene Person ihre Zustimmung erteilt oder (iv) bei Vorliegen eines Notfalls.
  • Gegenüber Dritten wird Broadridge nur diejenigen Bestandteile personenbezogener Informationen offen legen, die vernünftigerweise benötigt werden, um rechtliche Anforderungen einzuhalten oder die Geschäftsbelange von Broadridge umzusetzen.
  • In Fall der Datenverarbeitung durch Dritte, wird Broadridge sensible persönliche Daten nur offen legen, sofern vertragliche Bestimmungen existieren, die unter Berücksichtigung der Art der Leistungen, die von dem jeweiligen Dritten erbracht werden sowie der Sensibilität der personenbezogenen Daten, einen angemessenen Schutz bieten.
  • Die Übertragung aller sensiblen persönlichen Daten muss auf eine sichere Art durchführt werden, die den Anforderungen anwendbaren Rechts und der internen Richtlinien genügt.
• Geschäftlich notwendige Offenlegung – Broadridge ist berechtigt, personenbezogene Daten (einschließlich sensibler personenbezogener Daten) zu folgenden Zwecken offen zu legen: (i) um die Lizenzierung, den Verkauf oder die Übertragung von Vermögenswerten des Unternehmens (einschließlich einer Lizenz), den Verkauf oder die Übertragung von Rechten, die zu einem Geschäftsbereich, einem Dienstleistungsbereich oder einer Produktlinie gehören, zu ermöglichen, (ii) um Rechte von Broadridge geltend zu machen, das Eigentum von Broadridge zu schützen oder die Rechte, das Eigentum oder die Sicherheit von anderen zu schützen, oder (iii) zur Unterstützung externer Rechnungsprüfer sowie von Aufgaben der Bereiche Compliance und Corporate Governance.
• Offenlegung gegenüber Behörden - Broadridge ist nach Maßgabe der gesetzlichen Bestimmungen zur Offenlegung personenbezogener Daten (einschließlich sensibler personenbezogener Daten) berechtigt. So wird beispielsweise von Broadridge verlangt, dass sie gegenüber Steuerbehörden personenbezogene Daten über die Vergütung der Angestellten und Geschäftspersonen offen legt. Ferner kann Broadridge verpflichtet sein, im Zusammenhang mit Angaben über Produkt- und Arbeitsplatzsicherheit personenbezogene Daten an Behörden zu übermitteln. Darüber hinaus kann Broadridge verpflichtet sein, personenbezogene Daten im Zusammenhang mit gerichtlichen oder behördlichen Verfahren (z.B. bei der Beantwortung von Vorladungen) offen zu legen.
• Internationale Übermittlung von personenbezogenen Daten – Broadridge ist berechtigt personenbezogene Daten über nationale Grenzen hinweg zu übertragen, wird jedoch stets einen angemessenen Schutz der personenbezogenen Daten sicherstellen.
  • Broadridge wendet Standardverträge an, um einen angemessenen Schutz von personenbezogenen Daten sicherzustellen, die aus der EU und der Europäischen Feihandelszone (EFTA) in die USA übermittelt werden.
  • Ferner ist Broadridge berechtigt, bestimmte personenbezogene Daten von der EU an andere verbundene Unternehmen oder von den USA an andere verbundene Unternehmen weiterzuleiten, wobei genehmigte Formverträge genutzt werden, die eine angemessenen Schutz personenbezogener Daten sicherstellen.

5. Zugang und Berichtigung

Broadridge ist verpflichtet, jedem Einzelnen ausreichend Möglichkeit zu geben, seine eigenen personenbezogenen Daten zu überprüfen. Sofern Einzelpersonen ein Recht auf Zugang zu den personenbezogenen Daten haben, können diese die Richtigkeit und Vollständigkeit ihrer personenbezogenen Daten bestätigen und soweit erforderlich, eine Abänderung ihrer personenbezogenen Daten verlangen.

• Die Möglichkeit auf personenbezogene Daten zuzugreifen und diese zu berichtigen, wird nicht durch die Übertragung von personenbezogenen Daten beschränkt, sondern besteht unabhängig davon, an welchem Standort von Broadridge die personenbezogenen Daten physisch aufbewahrt werden.
• Das Recht des Einzelnen auf Zugang zu seinen personenbezogenen Daten besteht jedoch nicht uneingeschränkt. So kann beispielsweise der Zugang zu personenbezogenen Daten und deren Berichtigung abgelehnt werden sofern: (i) die Kosten für die Bereitstellung eines Zugangs zu den Daten angesichts des Nutzens für den Einzelnen unangemessen sind oder (ii) die Bereitstellung des Zugangs oder der Berichtigungsmöglichkeit die datenschutzrechtlichen Belange einer anderen Person gefährden könnte oder sensible persönliche Daten auf ungemessene Weise offen legen würde. Darüber hinaus ist das Recht von Geschäftspersonen auf Zugang zu Informationen auf diejenigen personenbezogenen Daten beschränkt, die nach den gesetzlichen Bestimmungen zugänglich sein müssen.
• Sofern Zugangsanfragen personenbezogene Daten betreffen, die in Kundendaten enthalten sind, wird Broadridge die Anfragen an die Kunden weiterleiten.

Weitere Einzelheiten über den Umfang, in dem Zugang gewährt wird, sind in den anwendbaren regionalen Richtlinien geregelt.

6. Richtigkeit und Aufbewahrung

Broadridge wird alle erforderlichen Anstrengungen unternehmen, damit die personenbezogenen Daten, die für ihre Verarbeitung erforderliche Richtigkeit, Vollständigkeit und Aktualität aufweisen. In diesem Prozess wird sich Broadridge in vielen Fällen auf die Unterstützung von Einzelpersonen verlassen, welche die Möglichkeit des Zugangs und der Berichtigung von personenbezogenen Daten nutzen. Die Aufbewahrung und Zerstörung personenbezogener Daten erfolgt in Übereinstimmung mit Broadridge’s Richtlinie über Informationssicherheit und Dokumentenaufbewahrung.

7. Sicherheit

Broadridge wird administrative, technische und physische Schutzvorkehrungen treffen, die dafür bestimmt sind personenbezogene Daten vor (i) voraussichtlichen Bedrohungen und Gefahren sowie vor (ii) unberechtigtem Zugang und unberechtigter Nutzung zu schützen. In jedem Fall wird sich Broadridge um einen Sicherheitsstandard bemühen, der in einem angemessenen Verhältnis zur Sensibilität der personenbezogenen Daten steht, wobei die größten Anstrengungen darin bestehen werden personenbezogene Daten vor Gefährdungen zu schützen, die für einzelne Personen zu einem nachhaltigen Schaden oder Unannehmlichkeiten führen.

8. Compliance und Beschwerdeverfahren

Broadridge wird ein Datenschutzprogramm unterhalten, das die Einhaltung der Richtlinie, der mir ihr verbundenen Verfahrensrichtlinien, der anwendbaren Gesetze und der vertraglichen Vereinbarungen über die Handhabung von personenbezogenen Daten unterstützt.

• Broadridge wird Datenschutzbeauftragte ernennen, die dafür verantwortlich sind, die Einführung des Datenschutzprogramms zu beaufsichtigen. Im Zusammenhang mit der regionalen Einführung des Datenschutzprogramms, wird der leitende Datenschutzbeauftragte die an das weltweite Datenschutzprogramm gestellten Erwartungen den Datenschutzbeauftragten bekannt machen, Unterstützungsleistungen zur Verfügung stellen und die Aufsicht übernehmen.
• Angesichts der Sensibilität personenbezogener Daten werden alle Angestellten, die Zugang zu personenbezogenen Daten haben (soweit diese keine Kontaktdaten sind), in der Verarbeitung personenbezogener Daten angemessen geschult.
• Alle verbundenen Unternehmen müssen sicherstellen, dass bei Einführung der Richtlinie die regional anwendbaren Gesetze eingehalten werden. Soweit die regional anwendbaren Gesetze weitereichende Verpflichtungen auferlegen, muss die Richtlinie durch eine Richtlinie des betroffenen verbundenen Unternehmens ergänzt werden.
• Aufgrund der weltweiten Anwendung der Richtlinie und der Unterschiede in den regionalen Gesetzen und Gepflogenheiten, werden die verbundenen Unternehmen voraussichtlich eigene regionale Regelungen haben, die sich in der Vorgehensweise von der Richtlinie unterscheiden. In einigen Fällen werden die örtlichen Gesetze den beteiligten Unternehmen abweichende Anforderungen auferlegen.
• Für weitere Informationen über das Datenschutzprogramm von Broadridge verweisen wir auf die nachstehenden Kontaktinformationen.

Broadridge wird alle Behauptungen, dass die Richtlinie verletzt wurde, ernsthaft behandeln. Ferner wird Broadridge sämtliche Behauptungen sorgfältig berücksichtigen, wonach personenbezogene Daten nicht ausreichend geschützt wurden, selbst wenn solche Behauptungen nicht in den Anwendungsbereich der Richtlinie fallen.

• Alle Angestellten, die eine Beschwerde über eine Datenschutzverletzung erhalten oder die Kenntnis von einer möglichen Verletzung der Richtlinie erhalten, sollen die Beschwerde oder Angelegenheit unverzüglich an den regionalen Datenschutzbeauftragten, den leitenden Datenschutzbeauftragten, dessen Vorgesetzten, den Leiter der Personalabteilung oder ein Mitglied der Rechtsabteilung weiterleiten.
• Broadridge wird eng mit den Kunden zusammenarbeiten, sofern ein Verstoß gegen diese Richtlinie behauptet wird, der personenbezogene Daten betrifft, die in Kundendaten enthalten sind oder in den Kundendaten verwickelt sind, sofern eine Sicherheitsstörung vorliegt.

Weitere Informationen

Für weitere Informationen zu der Richtlinie oder dem Datenschutzprogramm von Broadridge bitten wir Sie die in Anlage 1 genannten Personen, die Rechtsabteilung oder die Personalabteilung zu kontaktieren.

Tag des Inkrafttretens: 1. April 2008