Cisco verpflichtet sich für den Schutz der personenbezogenen Daten seiner Mitarbeiter, Kunden, Geschäftspartner und anderer Personen. Daher hat Cisco ein globales Datenschutzprogramm eingeführt, um hohe Standards für den Zugriff auf personenbezogene Daten sowie ihre Erstellung, Erfassung, Verwendung, Offenlegung, Speicherung, Sicherung, Übertragung oder sonstige Verarbeitung festzulegen. Diese globale Datenschutzrichtlinie stellt die Grundlage dieses Programms dar und beschreibt den Ansatz, den Cisco bei der Verarbeitung personenbezogener Daten weltweit verwendet.
Alle Angestellten, Auftragnehmer, Zulieferer, Berater, Zeitarbeiter und sonstigen Arbeitnehmer bei den Unternehmen der Cisco Group („Mitarbeiter von Cisco“) müssen diese Richtlinie einhalten. Dies gilt auch für alle festen und freien Mitarbeiter von Drittunternehmen, die Zugriff auf jegliche Cisco Netzwerke oder Ressourcen einschließlich innerhalb oder außerhalb von Cisco gehosteter Cloud-basierter Dienste haben.
Die globale Datenschutzrichtlinie gilt weltweit für personenbezogene Daten, die Cisco verarbeitet, egal ob durch elektronische Mittel oder nicht elektronische Mittel (d. h. in gedruckter Form, auf Papier oder in sonstigem analogen Format). Diese Richtlinie gilt für die Verarbeitung aller personenbezogenen Daten für oder durch Cisco.
In Bezug auf Mitarbeiterdaten und personenbezogene Daten im Unternehmen wird diese globale Datenschutzrichtlinie durch die globale Richtlinie zum Schutz von Mitarbeiterdaten, die europäische Richtlinie zum Schutz von Mitarbeiterdaten und die Richtlinie zum Schutz personenbezogener Daten im Unternehmen ergänzt. In diesen internen Richtlinien wird ausführlicher beschrieben, wie diese globale Datenschutzrichtlinie auf personenbezogene Daten bzw. auf geschäftliche personenbezogene Daten angewendet wird, und sie bieten Cisco-Mitarbeitern eine Anleitung für den richtigen Umgang mit personenbezogenen Daten.
In Verbindung mit der globalen Richtlinie zum Schutz von Mitarbeiterdaten, der europäischen Richtlinie zum Schutz von Mitarbeiterdaten und der Richtlinie zum Schutz personenbezogener Daten im Unternehmen soll diese globale Datenschutzrichtlinie auch den angemessenen Schutz bei der Verarbeitung personenbezogener Daten gewährleisten, die Cisco anvertraut wurden und zwischen Ländern übertragen werden, in denen ein solcher Schutz erforderlich ist. Dadurch soll Cisco in die Lage versetzt werden, personenbezogene Daten überall dorthin auf der Welt zu übertragen, wo sie zur Unterstützung interner Geschäftsprozesse, zur Bewerbung von Services und Gewährleistung der Produktfunktionalität und -verbesserung benötigt werden. Um dies zu ermöglichen, beschreiben die globale Richtlinie zum Schutz von Mitarbeiterdaten, die europäische Richtlinie zum Schutz von Mitarbeiterdaten und die Richtlinie zum Schutz personenbezogener Daten im Unternehmen jeweils bestimmte zusätzliche Rechte und Pflichten in Fällen, in denen das Europäische Datenschutzgesetz, das amerikanische Gesetz, das APEC-Gesetz (Asia-Pacific Economic Cooperation) und die Datenschutzgesetze oder -anforderungen anderer Länder oder Regionen unterschiedlich sind und Anwendung finden.
Cisco muss überall auf der Welt einschlägige lokale Datenschutzgesetze und -anforderungen einhalten.
Wo anwendbare Datenschutzgesetze einen höheren Schutzstandard für personenbezogene Daten erfordern als in dieser globalen Datenschutzrichtlinie vorgeschrieben, haben die Anforderungen der anwendbaren Datenschutzgesetze Vorrang. Wo anwendbare Datenschutzgesetze einen niedrigeren Schutzstandard für personenbezogene Daten erfordern als in dieser globalen Datenschutzrichtlinie vorgeschrieben, haben die Anforderungen dieser globalen Datenschutzrichtlinie Vorrang.
Wenn Mitarbeiter von Cisco Grund zu der Annahme haben, dass anwendbare Gesetze Cisco von der Erfüllung seiner Verpflichtungen gemäß dieser globalen Datenschutzrichtlinie abhalten, müssen sie unverzüglich über das Datenschutz-Anfrageformular das Privacy Center of Excellence und/oder die Cisco Rechtsabteilung benachrichtigen. Wo immer diese globale Datenschutzrichtlinie mit anwendbaren Gesetzen in Konflikt steht, müssen der Chief Privacy Officer und die Cisco Rechtsabteilung eine verantwortungsvolle Entscheidung darüber treffen, welche Maßnahmen zur Lösung dieses Konflikts ergriffen werden, und in Zweifelsfällen Rücksprache mit der zuständigen Aufsichtsbehörde halten. Dazu gehört auch die Lösung von Konflikten, die im Laufe der Geschäftstätigkeit in einem Drittland auftreten können und welche die Garantien dieser Richtlinie wahrscheinlich erheblich beeinträchtigen können.
Die folgenden übergeordneten Grundsätze legen die Vorgehensweisen bei Cisco für Erfassung, Verwendung, Offenlegung, Speicherung, Schutz, Übertragung oder sonstige Verarbeitung bei Cisco sowie den Zugriff auf diese dar.
Cisco muss personenbezogene Daten auf faire, gesetzestreue, legitime und transparente Weise verarbeiten.
Cisco darf personenbezogene Daten nur für jeweils spezifische, explizite und gerechtfertigte Zwecke erstellen oder erfassen. Jede Weiterverarbeitung muss mit diesen Zwecken vereinbar sein, es sei denn, Cisco hat das Einverständnis der betroffenen Person(en) eingeholt oder die Verarbeitung ist auf sonstige Art gesetzlich zulässig.
Cisco darf nur personenbezogene Daten verarbeiten, die angemessen und relevant sowie für die Zwecke, für die sie verarbeitet werden, erforderlich sind.
Cisco muss die personenbezogenen Daten in für die jeweiligen Verarbeitungszwecke angemessener Form genau, vollständig und aktuell halten.
Cisco muss personenbezogene Daten in einer Form vorhalten, die eine persönliche Identifizierung nicht länger ermöglicht als zur Erreichung der Zwecke, für die die personenbezogenen Daten erhoben wurden, oder anderer genehmigter Zwecke erforderlich. Danach müssen die Daten vernichtet, gelöscht, anonymisiert oder aus unseren Systemen entfernt werden.
Cisco muss geeignete und angemessene physische, technische und organisatorische Maßnahmen einführen, um personenbezogene Daten vor einer zufälligen oder unrechtmäßigen Zerstörung, einem zufälligen Verlust, einer Veränderung,einem unbefugten Zugriff,einer unbefugten Verwendung oder Weitergabe zu schützen. Cisco muss Dritte, die im Namen von Cisco personenbezogene Daten verarbeiten, ggf. anweisen und vertraglich verpflichten, diese (a) nur für Zwecke zu verarbeiten, die mit den Verarbeitungszwecken bei Cisco übereinstimmen, und (b) angemessene physische, technische und organisatorische Maßnahmen einzuführen, um die personenbezogenen Daten zu schützen.
Cisco muss personenbezogene Daten in einer Weise verarbeiten, die die Individualrechte gemäß einschlägigen Datenschutzgesetzen und Vorschriften zum Schutz personenbezogener Daten respektiert.
Cisco muss angemessene Governance, Richtlinien, Prozesse, Kontrollen und andere erforderliche Maßnahmen einführen, die das Unternehmen in die Lage versetzen, nachzuweisen, dass seine Verarbeitung personenbezogener Daten in Übereinstimmung mit dieser globalen Datenschutzrichtlinie sowie allen einschlägigen Datenschutzgesetzen und Vorschriften zum Schutz personenbezogener Daten erfolgt.
In den Fällen, in denen Cisco personenbezogene Daten als Datenverarbeiter im Namen eines Kunden als integralen Bestandteil der Bereitstellung von Produkten und Services durch Cisco an Kunden im Rahmen einer vertraglichen Vereinbarung verarbeitet, wird Cisco die oben dargelegten Grundsätze für Datensicherheit und Verantwortlichkeit einhalten. Cisco wird den jeweiligen Kunden auch durch eine angemessene Zusammenarbeit und, soweit angemessenerweise möglich, durch Hilfsmaßnahmen unterstützen, um die Einhaltung der anderen Datenschutzgrundsätze durch den Kunden sowie die Einhaltung von von Anfang an integrierten und standardmäßigen Datenschutzgrundsätzen zu fördern.
Cisco stellt diese Richtlinie den Betroffenen/Datensubjekten durch Veröffentlichung auf einer öffentlich zugänglichen Cisco Website, auf welche die Datensubjekte Zugriff haben, zur Verfügung. Sind die Betroffenen/Datensubjekte Mitarbeiter von Cisco, wird diese Richtlinie auf einer Cisco Intranet-Website zur Verfügung gestellt, auf welche die Mitarbeiter Zugriff haben.
Cisco darf seine Praktiken, Richtlinien und Verfahren zum Datenschutz und Schutz personenbezogener Daten, einschließlich dieser globalen Datenschutzrichtlinie, von Zeit zu Zeit überprüfen und überarbeiten. Wenn wesentliche Änderungen vorgenommen werden, muss Cisco:
Cisco wird auf Anfragen von Datenschutzaufsichtsbehörden in Bezug auf diese globale Datenschutzrichtlinie und alle anderen Angelegenheiten oder Bedenken in Bezug auf Datenschutzgesetze und -verordnungen unverzüglich und angemessen reagieren.
Diese Richtlinie tritt mit ihrer Genehmigung in Kraft.
Cisco muss eine(n) Datenschutzbeauftragte(n) ernennen und ein durch die Führungskräfte unterstütztes Datenschutzprogramm einrichten und beibehalten, das die Überwachung und Einhaltung der geltenden Datenschutzgesetze und dieser Richtlinie sicherzustellen hat.
Die Einhaltung dieser globalen Datenschutzrichtlinie wird mithilfe verschiedener Methoden überwacht. Hierzu zählen unter anderem Berichte von verfügbaren Business-Tools, interne und externe Prüfungen, Selbstanalysen und/oder Feedback des/der Verantwortlichen für die Richtlinie. Cisco wird seine Einhaltung dieser Richtlinie laufend überwachen. Cisco wird in regelmäßigen Abständen überprüfen, ob diese globale Datenschutzrichtlinie weiterhin den anwendbaren Datenschutzgesetzen und Vorschriften zum Schutz personenbezogener Daten entspricht und eingehalten wird. Cisco wird die endgültigen Ergebnisse der Berichte seiner internen oder externen Audits den zuständigen Aufsichtsbehörden auf Anfrage und unter Umsetzung angemessener Vertraulichkeitsmaßnahmen vorlegen.
Jegliche Ausnahme von dieser globalen Datenschutzrichtlinie bedarf der schriftlichen Zustimmung des Chief Privacy Officer und der Cisco Rechtsabteilung.
Alle Aufzeichnungen zu Ausnahmen sind gemäß dem Cisco Records Management Process aufzubewahren.
Die Einhaltung der Richtlinien von Cisco ist zwingend vorgeschrieben. Abweichungen von oder eine Nichteinhaltung dieser Richtlinie, z. B. Versuche, die beschriebene Richtlinie bzw. den beschriebenen Prozess durch Umgehung oder absichtliche Manipulation des Prozesses, des Systems oder der Daten zu unterlaufen, können disziplinarische Maßnahmen gemäß den lokal geltenden Gesetzen nach sich ziehen, beispielsweise die Kündigung des Arbeitsverhältnisses, Zivilklagen sowie strafrechtliche Verfolgung.
In einigen Ländern führen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten zu verwaltungsrechtlichen Sanktionen, Geldstrafen, Schadensersatzansprüchen oder Unterlassungsansprüchen und/oder sonstigen zivil- oder strafrechtlichen Konsequenzen sowohl für Cisco als auch für verantwortliche Einzelpersonen.
In diesem Dokument werden die folgenden Begriffe verwendet:
Begriff | Definition |
APEC | Die Asiatisch-Pazifische Wirtschaftsgemeinschaft (Asian-Pacific Economic Cooperation, APEC) ist ein regionales Wirtschaftsforum, das mit dem Ziel gegründet wurde, eine zunehmende Verflechtung der Märkte im Raum Asien-Pazifik zu fördern. |
Personenbezogene Daten im Unternehmen | Im geschäftlichen Kontext von Cisco verarbeitete personenbezogene Daten, bei denen es sich nicht um Mitarbeiterdaten handelt. |
Cisco Kandidat | Eine Person, die für eine Stelle bei Cisco interessant ist, sich aber möglicherweise nicht für eine bestimmte Stelle beworben hat. |
Cisco | Cisco Systems, Inc. und seine Tochtergesellschaften auf der ganzen Welt. |
Mitarbeiter von Cisco | Dies schließt Angestellte und Zeitarbeiter ein. Hinweis: Jegliche Bezugnahme auf „Cisco Mitarbeiter oder Kandidaten“ in dieser Richtlinie dient nur dem Zweck dieser Richtlinie und soll in keiner Weise ein Arbeitsverhältnis zwischen dem genannten „Cisco Mitarbeiter oder Kandidaten“, und Cisco anzeigen oder begründen. |
Kunden | Personen, bei denen es sich um aktuelle, ehemalige oder potenzielle Kunden von Cisco handelt oder die Organisationen repräsentieren, die Kunden sind. |
Datenverantwortlicher | Eine Einheit, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. |
Datenverarbeiter | Eine Einheit, die personenbezogene Daten im Auftrag des Datenverantwortlichen und nach dessen Vorgaben verarbeitet. |
Europäisches Datenschutzgesetz | Die EU-Datenschutz-Grundverordnung 2016/679, die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG sowie alle Gesetze und Regulierungen, die diesen in einem Staat des EWR bindende Rechtswirkung verleihen, gemeinsam mit jeglichen darauf aufbauenden oder diese ersetzenden Gesetzen und Regulierungen. |
Mitarbeiterdaten | Informationen in Bezug auf einen identifizierten oder identifizierbaren Cisco Mitarbeiter oder Kandidaten, sofern diese Informationen von Cisco im Kontext der tatsächlichen oder potenziellen Arbeitsbeziehung des Cisco Mitarbeiters bzw. des Cisco Kandidaten erhalten wurden. Ein Cisco Mitarbeiter oder Kandidat ist „identifizierbar“, wenn er direkt oder indirekt identifiziert werden kann, insbesondere durch Verweis auf eine Identifikationsnummer oder einen oder mehrere Faktoren, die für seine physische, physiologische, geistige, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind. Cisco Mitarbeiterdaten umfassen Folgendes:
|
Personenbezogene Daten | Sämtliche Informationen über eine identifizierte oder identifizierbare natürliche Person („Datensubjekt“). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere durch Verweis auf einen Bezeichner wie einen Namen, eine Identifizierungsnummer, Standortdaten, eine Online-Identifizierung oder einen oder mehrere Faktoren, die spezifisch für die körperliche, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind, identifiziert werden kann. |
Verarbeitung personenbezogener Daten | Jeder Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten zu jedem beliebigen Zeitpunkt ihres Lebenszyklus durchgeführt werden, einschließlich der Erstellung, Erfassung, Aufzeichnung, Anordnung, Speicherung, Anpassung, Veränderung, des Abrufs, der Überprüfung, Einsicht, Verwendung, Offenlegung auf jegliche Art (beispielsweise durch Übertragung, Verbreitung oder anderweitige Bereitstellung der Daten), Analyse, Ausrichtung oder Kombination von Daten oder der Blockierung, Löschung oder Vernichtung von Daten. Die Verarbeitung ist nicht auf automatische Mittel oder Medientypen beschränkt. Einfach ausgedrückt nimmt Cisco jedes Mal eine „Verarbeitung“ von Daten vor, wenn wir oder unsere Subunternehmer/Drittverarbeiter Daten in irgendeiner Weise verwenden oder handhaben. |
Datenschutzgesetze und Vorschriften zum Schutz personenbezogener Daten | Alle anwendbaren Gesetze und Vorschriften in Bezug auf den Schutz personenbezogener Daten und den Datenschutz, z. B. alle regionalen, nationalen und lokalen Gesetze für den Schutz personenbezogener Daten und zugehörige Vorschriften in der jeweils aktuell gültigen Fassung. |
Sorry, no results matched your search criteria(s). Please try again.
Diese globale Datenschutzrichtlinie stellt die Binding Corporate Rules – Controller (BCR-C) von Cisco für zutreffende Cisco Einheiten dar.
Die globale Datenschutzrichtlinie wurde überarbeitet und ist seit dem 21. Juli 2023 in Kraft.