Start of menu

Die "Europäischen Umsetzungsrichtlinien"

Die Richtlinien für die Umsetzung der Datenschutzrichtlinien von American Express im Europäischen Wirtschaftsraum (EWR) - die "Europäischen Umsetzungsrichtlinien" - wurden von der Österreichsichen Datenschutzbehörde genehmigt und sind seit 18. Dezember 2015 in Kraft.

Die gegenständlichen "Europäischen Umsetzungsrichtlinien" geben darüber Aufschluss, wie American Express die Einhaltung der American Express Datenschutzrichtlinie innerhalb des EWR sicherstellt und wie man eine Datenschutzbeschwerde innerhalb des EWR erhebt.

Geltungsbereich

Die Europäischen Umsetzungsrichtlinien gelten nur für Personen, die im EWR ansässig sind und über personenbezogene Daten verfügen, die von der American Express Gruppe im EWR verarbeitet werden bzw. von der American Express Gruppe auch anderswo verarbeitet werden können (die "Datensubjekte").

Insbesondere führen die Europäischen Umsetzungsrichtlinien aus, (i) wie die Datenschutzrichtlinien von American Express (siehe unter A.) (die "Richtlinien »)") vom Unternehmen American Express mit eingetragenem Sitz an der Adresse World Financial Center, 200 Vesey St., New York, USA ("American Express" oder die "Gesellschaft »)") und jeder einzelnen Gesellschaft der American Express Unternehmensgruppe (gemeinsam die "American Express Gruppe") umgesetzt werden sollen, und legen (ii) bestimmte Auflagen des europäischen Datenschutzrechts für Personen, die im EWR ansässig sind und über personenbezogene Daten verfügen, die von der American Express Gruppe im EWR verarbeitet werden bzw. von der American Express Gruppe auch anderswo verarbeitet werden können (die "Datensubjekte"), fest.

American Express Services Europe Limited ("AESEL") ist jenes europäische Unternehmen innerhalb der American Express Gruppe, das die Verantwortung dafür übernommen hat, dafür zu sorgen, dass die personenbezogenen Daten der Datensubjekte im Einklang mit den Richtlinien aufbewahrt oder verarbeitet werden.

Jedes Datensubjekt, das unmittelbar in den Genuss der Richtlinien oder dieser Europäischen Umsetzungsrichtlinien kommt, kann diese Bestimmungen gegenüber AESEL als Drittbegünstigter – wie nachstehend beschrieben – geltend machen. Die American Express Beschreibung der Verarbeitung personenbezogener Daten und die American Express Umsetzung von Entscheidungen und Richtlinien sind für die American Express Gruppe ebenfalls verbindlich, sie sind jedoch nicht direkt von den Datensubjekten oder Dritten durchsetzbar.

Verfügbarkeit

Die Richtlinien und die Europäischen Umsetzungsrichtlinien werden in jedem Land der EU auf den American Express Websites zur Verfügung gestellt. Wenn Sie keinen Internet-Zugang haben, können Sie vom Datenschutzbeauftragten von AESEL an der nachstehend genannten Adresse oder vom lokalen Büro von American Express in Ihrem Land ein Exemplar der Richtlinien anfordern.

Diese Richtlinien und die Europäischen Umsetzungsrichtlinien sind in Verbindung mit den Bekanntmachungen und Geschäftsbedingungen zu lesen, die für die Produkte oder Dienstleistungen gelten, die Sie von einem Unternehmen der American Express Gruppe erhalten haben oder zu beziehen beabsichtigen. Diese Bekanntmachungen und Geschäftsbedingungen können zusätzliche Bestimmungen enthalten, die für die Verarbeitung personenbezogener Daten gemäß den national geltenden Gesetzen und Vorschriften relevant sind.

Beschreibung der Verarbeitung personenbezogener Daten

American Express ist ein globales Zahlungsdienste- und Reiseunternehmen. Eine Beschreibung jener personenbezogener Daten, die verarbeitet werden, sowie der Art und Weise, wie sie verarbeitet werden, findet sich jeweils in American Express Beschreibung der Verarbeitung personenbezogener Daten.

Compliance-Programm

Um die Einhaltung der Richtlinien zu gewährleisten, wurde ein Compliance-Programm eingerichtet, das regelmäßige Compliance-Checks der Betriebe der American Express Gruppe vorsieht; die Ergebnisse werden dem Privacy Office (Datenschutzbüro) von American Express, den zuständigen Datenschutzbehörden (falls von diesen verlangt) und gegebenenfalls dem Audit Committee (Prüfungsausschuss) des Board of Directors (Vorstand) von American Express mitgeteilt. Falls ein Mangel hinsichtlich Compliance festgestellt wird, muss die American Express Gruppe im EWR allen spezifischen Aufforderungen seitens des Datenschutzbeauftragten von AESEL nachkommen. Die American Express Gruppe hat weiters im Hinblick auf jegliche von einer zuständigen Datenschutzbehörde durchgeführte Compliance-Audits zu kooperieren, unabhängig ob sie nun als Reaktion auf eine Beschwerde eines Datensubjekts oder von der Datenschutzbehörde von Amts wegen eingeleitet werden.

Bearbeitung von Beschwerden

Hinsichtlich jeglicher Beschwerden (wie nachstehend definiert) werden die Unternehmen der American Express Gruppe das Datenschutzbeschwerdebearbeitungsverfahren (siehe unter C.) befolgen.

  • Als "Beschwerde" gilt jeglicher Ausdruck der Unzufriedenheit, ob mündlich oder schriftlich, per Telefon, E-Mail, Post oder persönlich, seitens oder im Namen eines Kunden oder Mitarbeiters oder sonstigen Datensubjekts hinsichtlich der Bereitstellung – bzw. Nichtbereitstellung – ausreichender Sicherungsmaßnahmen für erfasste, verarbeitete und/oder übermittelte personenbezogene Daten.
  • Die Verantwortung und Rechenschaftspflicht für die Bearbeitung von Beschwerden, die bei AESEL eingehen, liegt beim Datenschutzbeauftragten von AESEL.
  • Beschwerden werden objektiv, einheitlich und unverzüglich behandelt.
  • Sofern entschieden wurde, dass eine Entschädigung angemessen ist, stellt AESEL einem Beschwerdeführer eine faire Entschädigung, wie nachstehend ausgeführt, zur Verfügung und hat jeglichem Entschädigungsangebot, das der Beschwerdeführer annimmt, nachzukommen. Die Entschädigung ist vom AESEL-Datenschutzbeauftragten zu genehmigen, bevor ein Angebot bezüglich Abhilfe oder Bezahlung ergeht.
  • Datensubjekte können ihre Beschwerden der zuständigen Datenschutzbehörde oder dem zuständigen Gericht im EWR vortragen, wenn sie durch die Antwort der American Express Gruppe nicht zufriedengestellt sind. Eine Liste von Kontakten der Datenschutzbehörden finden Sie hier: http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.
  • AESEL wird mit jeglichen zuständigen Datenschutzbehörden korrespondieren und der Zuständigkeit formal und inhaltlich anerkennen. Wenn ein Datensubjekt sich bei der lokalen Datenschutzbehörde beschwert und der Datenschutzbeauftragte der Meinung ist, dass ein Unternehmen der American Express Gruppe eines der Rechte im Rahmen dieser Europäischen Umsetzungsrichtlinien verletzt hat, so wird das betreffende Unternehmen der American Express Gruppe den Feststellungen der Datenschutzbehörde vorbehaltlich des Rechts, diese Feststellungen anzufechten oder dagegen zu berufen, entsprechen.

Compliance und Durchsetzung

Alle Unternehmen der American Express Gruppe müssen den Bestimmungen der Europäischen Umsetzungsrichtlinien und des American Express Code of Conduct entsprechen. Unternehmen innerhalb der American Express Gruppe werden die Einhaltung nationaler europäischer Datenschutzgesetze sicherstellen, und jede Umsetzung erfolgt im Einklang mit diesen nationalen europäischen Gesetzen.

Jedes Datensubjekt, gemäß obiger Definition, kann die Bestimmungen der Richtlinien und der Europäischen Umsetzungsrichtlinien als Drittbegünstigter durchsetzen und ist berechtigt, Entschädigungen bis zur Höhe des tatsächlich vom Beschwerdeführer infolge der Verletzung der Richtlinien und/oder dieser Europäischen Umsetzungsrichtlinien erlittenen Schadens einzufordern, einschließlich, ohne darauf beschränkt zu sein, einer gerichtlichen Entscheidung bezüglich einer Entschädigung für einen vom Datensubjekt infolge besagter Verletzung tatsächlich erlittenen Schaden.

Datensubjekte, deren Daten aus dem EWR übertragen werden, können einen Anspruch nicht nur im EWR-Ursprungsland des Datentransfers, sondern auch im Land des AESEL-Hauptquartiers, Großbritannien, geltend machen. Die Beweislast im Hinblick darauf, dass die Verarbeitung der personenbezogenen Daten durch die Richtlinien nicht abgedeckt ist, liegt bei AESEL.

Schulung

American Express wird geeignete Schulungsunterlagen und -kurse für Mitarbeiter von American Express zur Verfügung stellen, die personenbezogene Daten erfassen, verwenden oder auf solche Daten Zugriff haben, oder die Systeme entwickeln, welche personenbezogene Daten verarbeiten, um zu gewährleisten, dass diese Mitarbeiter sich ihrer Verpflichtungen im Rahmen der Richtlinien und dieser Europäischen Umsetzungsrichtlinien bewusst sind.

Kollisionsrecht

Sofern ein Unternehmen innerhalb der American Express Gruppe Grund zu der Annahme hat, dass geltende nationale europäische Gesetze das Unternehmen daran hindern, seinen Verpflichtungen gemäß den Richtlinien oder den Europäischen Umsetzungsrichtlinien nachzukommen, hat dieses Unternehmen AESEL unverzüglich zu informieren, sofern ihm dies nicht gesetzlich untersagt ist. AESEL wird sodann die weitere Vorgangsweise erwägen und bei schwerwiegenden Zweifeln die zuständigen Datenschutzbehörden konsultieren.

Fragen zu diesen Richtlinien

Alle Fragen zu den Richtlinien oder diesen Europäischen Umsetzungsrichtlinien können an den Datenschutzbeauftragten von AESEL am Hauptquartier von AESEL bei American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, London, SW1W 9TX, Vereinigtes Königreich (UK), gerichtet werden.

 

Beschreibung der Verarbeitung personenbezogener Daten

Beschreibung der Arten personenbezogener Daten

American Express ist ein globales Zahlungsdienste- und Reiseunternehmen, das vorwiegend in zwei Segmenten tätig ist: i) Ausgabe von Karten und Händlernetzdienste, und (ii) Reisebürodienste. Die Art der personenbezogenen Daten, die von Unternehmen der American Express Gruppe routinemäßig verarbeitet werden, umfasst personenbezogene Daten von Kunden, Lieferanten und Partnern der American Express Gruppe, darunter aktuelle, frühere und potentielle Kunden, Verbraucher, Lieferanten und Partner der American Express Gruppe (kollektiv "Kundendaten"). Gemäß der Europäischen Richtlinie 2007/64/EG (die "Zahlungsdiensterichtlinie") hat die Gruppe die American Express Payment Services Limited ("AEPSL") als juristische Person für die Wahrnehmung ihres Händlerakquisitionsgeschäfts in Europa gegründet (Ref.-Nr.: 484347). Insofern unterliegen die von AEPSL angebotenen Zahlungsdienste, neben den soliden Geschäfts- und Unternehmensführungsverfahren der Gruppe, auch der Aufsicht durch die Finanzaufsichtsbehörde. Darüber hinaus verarbeiten Unternehmen der American Express Gruppe auch personenbezogene Daten und sensible personenbezogene Daten von Mitarbeitern und Auftragnehmern der American Express Gruppe, darunter aktuelle, ehemalige und potentielle Mitarbeiter und Auftragnehmer, ob sie nun auf Vollzeit- oder Teilzeitbasis, dauerhaft oder vorübergehend beschäftigt sind (kollektiv "Mitarbeiterdaten"). Sensible Datenkategorien im Sinne von Mitarbeiterdaten umfassen Informationen über den Gesundheitszustand der Arbeitnehmer, Krankenversicherungsprogramme, Gleichstellungs-Monitoring, Informationen über Gewerkschaften und Betriebsräte, die Ergebnisse medizinischer Untersuchungen und Tests sowie Informationen aus Drogen- und Alkoholtests in Ländern, wo dies zulässig ist. American Express fordert keinerlei sensible Kundendaten an, da dies weder Teil des Kundenantrags noch sonstiger American-Express-Dienstleistungen ist. Sofern sensible personenbezogene Daten erfasst werden, werden sie ausschließlich unter Anwendung zusätzlicher Datensicherheitsmaßnahmen sowie der entsprechenden vom Gesetz verlangten Maßnahmen (etwa EU-Richtlinie 95/46/EG) verarbeitet.

Beschreibung der Formen der Verarbeitung und der Datenströme

Personenbezogene Daten werden innerhalb der gesamten globalen American Express Gruppe übermittelt und an autorisierte Lieferanten und Kunden weitergeleitet. Dieser Datenstrom wird durch eine Kombination aus von der EU genehmigten "Binding Corporate Rules" ("Verbindliche unternehmensinterne Vorschriften") - oder BCRs - (die der Genehmigung im jeweiligen Mitgliedsstaat unterliegen) und Datenübertragungsverträgen, darunter EU-Standardvertragsklauseln, legitimiert. Evaluierungen oder Entscheidungen über ein Datensubjekt erfolgen nicht automatisch, es sei denn dies ist nach geltendem Recht zulässig.

Die Ströme personenbezogener Daten für Kundendaten bzw. Mitarbeiterdaten können generell wie folgt beschrieben werden:

Kundendaten betreffend die Karte, deren Ausstellung und Händlernetzdienste

Zur Ausstellung einer Karte für einen Karteninhaber erfasst die lokale ausstellende Unternehmenseinheit innerhalb der American Express Gruppe die personenbezogenen Daten des Karteninhabers für operative und regulatorische Compliance-Zwecke. Das lokale Unternehmen, das die Karte ausstellt, befindet sich manchmal, jedoch nicht immer, im Wohnsitzland des Karteninhabers. Sobald die Karte ausgestellt ist, werden alle Kunden auf mehreren Servern der American Express Gruppe, die sich durchwegs in den sicheren Rechenzentren der American Express Gruppe in den Vereinigten Staaten befinden (Phoenix, Arizona, Salt Lake City, Utah), zentral gespeichert, um den globalen Einsatz der Karte zu ermöglichen. Darüber hinaus ist zu beachten, dass Kundendaten sowie Mitarbeiterdaten auch in andere Länder außerhalb der Europäischen Union (z.B. Indien, Malaysia) übertragen werden können, um den gesamten Prozess der globalen Funktionen der Karte abzudecken.

Wenn eine Karte irgendwo auf der Welt bei einem qualifizierten Händler eingesetzt wird, kommt es zu mehreren Datenströmen:

  • Die grundlegenden Transaktionsdaten werden vom Terminal am POS elektronisch an das Autorisierungszentrum der American Express Gruppe in dem betreffenden Land oder der jeweiligen Region übermittelt;
  • Die vollständigen Transaktionsdaten werden dann von der lokalen Händlerakquisitionseinheit der American Express Gruppe erfasst, welche die Transaktion abrechnet, indem sie den Händler bezahlt und die Daten der Transaktion in die USA schickt, damit sie dem Karteninhaber sodann vom Kartenaussteller in Rechnung gestellt werden kann.

Kundendaten betreffend reisebezogene Dienstleistungen

Personenbezogene Daten werden von Individualreisenden selbst sowie bei Geschäftsreisen von deren Arbeitgebern von deren Standort irgendwo auf der Welt aus ihrem lokalen AXP-Reisebüro zur Verfügung gestellt. Diese Daten, die ein aus mit Zustimmung des Reisenden erfassten Daten erstelltes Profil umfassen, wird dann an die zentrale Datenbank eines der globalen Verteilungssysteme (GDS) (wie etwa Galileo, Amadeus oder Sabre) übermittelt, mit welchen die American Express Gruppe im jeweiligen Land eine Geschäftsbeziehung hat, sodass die im GDS gespeicherten Passagierdaten die Erstellung einer personalisierten Buchung, eines Passenger Name Record (PNR), erlauben, sobald die American Express Gruppe eine Buchung unter Verwendung des lokalen GDS vornimmt. Die im PNR enthaltenen grundlegenden Informationen werden von der American Express Gruppe extrahiert, um dem Kunden den Preis der Buchung in Rechnung zu stellen.

Mitarbeiterdaten

Mitarbeiterdaten werden sowohl zentral als auch dezentral auf Mainframe-Computern, Mid-Ranges und lokalen Servern über die gesamte American Express Gruppe hinweg gespeichert. Die meisten Mainframes befinden sich in den USA und in GB, wobei Personal mit entsprechenden Zugangsrechten für den Zugriff auf Mitarbeiterdaten von Büros der American Express Gruppe weltweit darauf zugreifen können. Mid-Ranges und lokale replizierende Server (nur für E-Mails und/oder Speicherzwecke), die zur Datenspeicherung verwendet werden, sind entsprechend den geschäftlichen Bedürfnissen über die geografischen Standorte verteilt.

Personenbezogene Daten werden zu folgenden Zwecken übermittelt:

  • Personalverwaltung (z.B. Bestellungen oder Abberufungen, Vergütung, Disziplinarmaßnahmen, Pensionierung, Arbeitseinteilung oder sonstige Personalfragen der Gruppe);
  • Verbrechensprävention und Verfolgung von Straftätern (z.B. Prävention und Aufdeckung von Verbrechen sowie Aufspüren und Verfolgen von Tätern);
  • Lizenzierung und Registrierung (z.B. Verwaltung von Lizenzen oder Führen offizieller Register);
  • Management von Mitarbeiteraufzeichnungen;
  • Daten- und Datenbankverwaltung (z.B. Wartung von Daten oder Datenbanken als Referenzinstrument oder allgemeine Ressource. Dazu zählen Kataloge, Listen, Verzeichnisse und bibliografische Datenbanken);
  • Veranlagung und Erhebung von Steuern und sonstigen Abgaben (d.h. Veranlagung und Erhebung von Steuern, Zöllen, Gebühren und sonstigen Abgaben);
  • Buchführung und Abschlussprüfung (z.B. die Bereitstellung von Buchführungsdiensten und ähnlichen Dienstleistungen sowie die Durchführung einer Abschlussprüfung, sofern erforderlich).

Datenverarbeitung nach der Übertragung: Die übermittelten personenbezogenen Daten werden zwecks Wahrnehmung der HR-Funktionen und Führung der Arbeiternehmer der Gruppe verarbeitet und können von Drittdienstleistern weiterverarbeitet werden, welche Lohnverrechnungs-, Kranken- und sonstige Versicherungsleistungen sowie andere Vergünstigungen für Arbeitnehmer bereitstellen.

Umsetzung von Entscheidungen und Richtlinien


Die Entscheidungen der folgenden internen Gruppen und die folgenden Richtlinien sind für die American Express Gruppe weltweit verbindlich bzw. von dieser einzusetzen, um die Richtlinien umzusetzen:

1. American Express Services Europe Limited – Datenschutzbeschwerdebearbeitungsverfahren.

2. Code of Conduct [Verhaltenskodex] American Express Code of Conduct.

3. American Express Privacy Office Policy.

  • American Express behandelt Datenschutzangelegenheiten in der Regel über das American Express Privacy Office, eine eigenständige Geschäftseinheit mit Verantwortung speziell für die Systeme, Prozesse und Verfahren, welche die Erfassung, Verwendung und Weitergabe personenbezogener Daten über Kunden, potentielle Kunden und Mitarbeiter regeln. Das Privacy Office leitet auch das Privacy Board, das regelmäßig zusammentritt, um geschäftsbezogene Datenschutzfragen zu prüfen, Lösungen zu erarbeiten sowie um Strategien und Richtlinien festzulegen.
  • Gemäß dem Privacy Policy Review Process muss das Privacy Office alle 24 Monate (oder wie in dieser Richtlinie vorgesehen) eine Prüfung aller Datenschutzrichtlinien durchführen. Alle Änderungen, die etwa infolge von Entwicklungen der geltenden Gesetze und Vorschriften erforderlich sind, sind vom Chief Privacy Officer oder dem Büro des Chefsyndikus (General Counsel's Office) (je nach Gegebenheit) zu prüfen.

4. American Express – General Management Policy [allgemeine Managementrichtlinie].

  • Diese Richtlinie gilt für alle allgemeinen Management- und Finanzrichtlinien, die innerhalb der American Express-Organisation umgesetzt werden sollen. Dazu zählen neue Richtlinien sowie die Überarbeitung bestehender Richtlinien.
  • Alle Geschäftsgruppen von American Express fallen in den Geltungsbereich dieser Richtlinie.
  • Konkret:
    • verlangt die General Management Policy, dass alle allgemeinen Management- und Finanzstrategiefragen über die Global Policies and Procedures Group [Gruppe globale Richtlinien und Verfahren] geklärt werden;
    • fördert die General Management Policy aktiv die Umsetzung einer globalen Unternehmenspolitik und ersetzt, soweit machbar, regionale Strategien, die möglicherweise nicht konsistent sind;
    • beschreibt die General Management Policy die vorrangige Geltung der globalen Unternehmenspolitik gegenüber regionalen Strategiedokumenten;
    • beschreibt die General Management Policy den Mindestinhalt von Strategiedokumenten; und
    • legt die General Management Policy Zeitrahmen für definierte Stadien der Initiierung, Erstellung und Umsetzung von Richtlinien oder Strategien fest.

5. Dienstleistungsvertrag

  • Der standardmäßige Beschaffungsvertrag der American Express Gruppe verlangt, dass alle Anbieter und Drittdatenverarbeiter sich an die strengen Datenschutzvertragsauflagen der American Express Gruppe halten, um die Sicherheit aller personenbezogenen Daten im Besitz der American Express Gruppe, die von einem Dienstleister verarbeitet werden, zu gewährleisten.
  • Die Datenschutzvertragsauflagen sind in allen Verträgen mit Dritten enthalten, wo die Verarbeitung personenbezogener Daten vorgesehen ist.
  • Die Auswahl von Drittdatenverarbeitern und Anbietern beruht zum Teil auf deren Abschneiden anhand von Risikobewertungsschablonen sowie der Prüfung ihrer Datensicherheitspraxis und diesbezüglichen Risiken.
  • Drittdatenverarbeiter und Anbieter müssen entsprechenden vertraglichen Bestimmungen unterliegen, welche die nötigen technischen und organisatorischen Sicherheitsmaßnahmen enthalten, um die Daten der American Express Gruppe zu schützen. Als Mindestauflagen sieht die Richtlinie vor, dass:
    • Berater, Auftragnehmer und Anbieter Vertraulichkeits- und/oder Geheimhaltungsvereinbarungen als Teil ihrer ursprünglichen Beschäftigungsbedingungen/Verträge sowie im Falle einer Änderung dieser Bedingungen unterzeichnet haben.
    • bestimmte Verträge für den Fall, dass Kundendaten oder gesperrte Informationen anders verwendet werden als im Vertrag dokumentiert, eine Strafklausel enthalten.
    • die vom Anbieter befolgten Sicherheitsrichtlinien und -standards mindestens den Richtlinien und Standards der American Express Gruppe entsprechen, und dass die von den Anbietern eingehaltenen Sicherheitspraktiken und -standards die Datenschutzauflagen in der jeweils geltenden Fassung erfüllen.

6. Third Party Services Policy [Richtlinie für Drittleistungen]

  • Die American Express Third Party Services Policy verlangt, dass Dritte die Richtlinien und Standards der American Express Gruppe einhalten müssen, wenn sie von einem Unternehmen der American Express Gruppe beauftragt werden, und dass sie ihre Verantwortung durch formale schriftliche Erklärungen bestätigen müssen. Das gilt für sämtliches Personal, das an der Auswahl und Beaufsichtigung von Drittdienstleistern beteiligt ist, einschließlich Personal der American Express Gruppe, ihrer jeweiligen verbundenen Unternehmen, Tochtergesellschaften, Drittkonsulenten, Auftragnehmer, Lieferanten sowie aller Personen oder Unternehmen, die externen Zugang zu Datenressourcen der American Express Gruppe erhalten.

American Express Code of Conduct - Verhaltenskodex


Der Code of Conduct sieht derzeit im Hinblick auf den Mitarbeiterdatenschutz Folgendes vor:

"Wir müssen den Schutz, die Vertraulichkeit und Sicherheit personenbezogener Mitarbeiterdaten gewährleisten. Unsere Kollegen sowie zukünftige und ehemalige Mitarbeiter vertrauen uns, dass wir ihre personenbezogenen Daten rechtmäßig verwalten und einsetzen. Aus diesem Grund müssen wir stets über die Datenschutzrichtlinien von American Express Bescheid wissen und uns daran halten. Diese Richtlinie regelt die Erfassung, den Zugriff auf, die Verwendung und Offenlegung personenbezogener Mitarbeiterdaten. Diese Daten enthalten auch Informationen über Gehälter, Leistungsbeurteilungen, Behinderungen und Freistellungen, sowie sensitive Daten wie staatlich ausgestellte Ausweisnummern. Wir dürfen diese Daten ausschließlich für relevante und angemessene geschäftliche Zwecke verwenden. Wir dürfen diese Informationen an niemanden weitergeben, weder innerhalb noch außerhalb unseres Unternehmens, der nicht aus geschäftlichen Gründen davon Kenntnis haben muss. Außerdem müssen wir geeignete Schritte unternehmen, um diese Daten zu allen Zeiten angemessen zu schützen. Viele Länder haben ihre eigenen rechtlichen Auflagen zur Regelung der Verwendung von Mitarbeiterdaten. Wenden Sie sich bitte bei diesbezüglichen Unklarheiten an die Personalabteilung."

Der Code of Conduct sieht derzeit im Hinblick auf den Kundendatenschutz Folgendes vor:

"Wir sind verantwortlich dafür, den Schutz, die Vertraulichkeit und Sicherheit von Kundendaten, die unserem Unternehmen anvertraut wurden, zu gewährleisten. Um den Ruf unseres Unternehmens zu bewahren und unseren Kunden bestmöglich zu dienen, sieht sich unser Unternehmen unerschütterlich verpflichtet, die Geheimhaltung von Kundendaten zu schützen. Das bedeutet, wir müssen Kundendaten im Einklang mit unserem Online Privacy Statement (Online-Datenschutzerklärung) oder der Richtlinie bezüglich Mindeststandards für den Schutz von Kundendaten erfassen, verwenden und sichern. Wir dürfen Kundendaten niemals an Dritte oder Kollegen weitergeben, die nicht aus geschäftlichen Gründen davon Kenntnis haben müssen. Wir müssen außerdem Schritte unternehmen, um die unbeabsichtigte Preisgabe von Kundendaten zu verhindern. Achten Sie darauf, im seltenen Fall einer Preisgabe die festgelegten Unternehmensverfahren zu befolgen. Für den Fall einer möglichen Datenbeschädigung wenden Sie sich unverzüglich an das CSI Data Privacy Office und EIRP auf Lotus Notes. Geben Sie keinerlei den Vorfall betreffende Einzelheiten an andere Personen weiter, weder intern noch extern, die nicht aus geschäftlichen Gründen davon Kenntnis haben müssen. Konsultieren Sie unseren EIRP Guide für nähere Informationen bezüglich Feststellung und Meldung von Situationen, in denen eine Datenbeschädigung vorliegt. Wenn eine Regierungsbehörde um Informationen über einen unserer Kunden ersucht, müssen wir vor Bereitstellung irgendwelcher Informationen den General Compliance Officer (GCO) kontaktieren. Außerdem haben viele Länder ihre eigenen rechtlichen Auflagen zur Regelung der Verwendung von Kundendaten. Wenn Sie sich über die lokalen Auflagen nicht im Klaren sind oder sonstige Fragen im Hinblick auf den Datenschutz haben, sollten Sie sich an Ihren Vorgesetzten, Ihren Compliance-Beauftragten oder den GCO wenden."

 

American Express Services Europe Ltd.
Datenschutzbeschwerdebearbeitungsverfahren


Kundenzufriedenheit

Unser Ziel ist es, Ihnen stets den bestmöglichen Service zu bieten. Uns ist jedoch klar, dass gelegentlich Fehler passieren können, und wir brauchen Ihre Hilfe, um besser zu werden. Wenn etwas passiert, können wir auf ein Beschwerdebearbeitungsverfahren zurückgreifen, das einfach zu befolgen ist und gewährleistet, dass Sie eine rasche und ausführliche Antwort auf alle Ihre Beschwerden oder Anfragen erhalten.

Der Beschwerdeprozess

Dieses Beschwerdebearbeitungsverfahren gilt für Sie, wenn Sie im Europäischen Wirtschaftsraum (EWR) leben und über personenbezogene Daten verfügen, die von einem Unternehmen der American Express Gruppe im EWR verarbeitet werden, bzw. welche auch anderswo außerhalb des EWR von der American Express Gruppe verarbeitet werden können.

Wenn Sie ein Mitarbeiter eines Unternehmens der American Express Gruppe sind und sich Ihre Frage oder Beschwerde auf Ihren Arbeitsplatz bezieht, so sollten Sie den Internal Complaints Standard im Intranet von American Express zu Rate ziehen.


Schritt 1

Kontaktaufnahme mit uns bezüglich allgemeiner datenbezogener Fragen

Wenn Sie allgemeine Kommentare oder Befürchtungen hinsichtlich der Art und Weise, wie wir Ihre personenbezogenen Daten handhaben, äußern möchten, kontaktieren Sie uns bitte unter der Rufnummer auf der Rückseite Ihrer American Express Karte oder wie aufgeführt in den Vertragsunterlagen. Alternativ finden Sie unsere Kontaktdaten auf der American Express Webseite unter „Kontakt“.

Wenn Sie uns kontaktieren, geben Sie bitte Folgendes an:

  • Ihren Namen
  • Ihre Kundenkontonummer
  • Art Ihrer Beschwerde

Schritt 2

Kontaktaufnahme mit uns im Hinblick auf Detailanfragen

Falls Sie Einzelheiten zu den Daten erhalten möchten, die wir über Sie führen und verarbeiten, oder wenn Sie konkrete Einwände hinsichtlich der Art und Weise haben, wie wir Ihre personenbezogenen Daten verarbeiten, dann können Sie eine Detailanfrage erstellen. Im Rahmen einer Detailanfrage sind Sie berechtigt:

  • einen Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten zu erheben;
  • Ihre personenbezogenen Daten löschen oder vernichten zu lassen;
  • Ihre personenbezogenen Daten zu korrigieren;
  • die Erfassung Ihrer personenbezogenen Daten zu untersagen; und
  • Ihre Auskunftsrechte als Datensubjekt auszuüben, wobei Sie das Recht haben:
    • zu erfahren, ob American Express Ihre personenbezogenen Daten verarbeitet;
    • eine Beschreibung der personenbezogenen Daten sowie der Gründe für deren Verarbeitung zu erhalten und zu erfahren, ob sie an andere Organisationen oder Personen weitergegeben werden;
    • eine Kopie der Informationen zu erhalten, welche die personenbezogenen Daten enthalten;
    • Einzelheiten zur Quelle der personenbezogenen Daten zu erfahren, sofern möglich; und
    • den logischen Ablauf für etwaige automatisierte Entscheidungen zu erfahren, die auf der Grundlage Ihrer personenbezogenen Daten erfolgen,

sowie zu allem Sonstigen, was Ihnen nach lokal geltendem Recht möglicherweise noch zusteht.

Wenden Sie sich bitte schriftlich unter folgender Adresse an uns:

American Express Services Europe Limited
Compliance
Kärtner Str. 21-23
1010 Wien

Wenn Sie uns kontaktieren, geben Sie bitte Folgendes an:

  • Ihren Namen
  • Ihre Kundenkontonummer
  • Ihre Kontaktdaten
  • Art Ihrer Beschwerde

Schritt 3

Reaktionszeiten

Unter gewissen Umständen kann es uns nicht möglich sein, Ihre Anliegen unverzüglich zu klären, und es kann sein, dass wir eine genauere Untersuchung durchführen müssen. In diesem Fall werden wir uns innerhalb von 10 (zehn) Werktagen schriftlich mit Ihnen in Verbindung setzen, um Ihnen mitzuteilen, wer sich mit Ihren Anliegen befassen wird und wie lange es vermutlich dauern wird, um die Angelegenheit umfassend zu prüfen. Unser Ziel ist, Ihnen innerhalb von 4 (vier) Wochen eine vollständige Antwort zukommen zu lassen. Wenn Sie mit dieser Antwort nicht zufrieden sind, lassen Sie es uns bitte wissen, damit wir die Angelegenheit weiter prüfen können.


Schritt 4

Wenn Sie nicht zufrieden sind

Sie können Ihre Beschwerde auch bei der lokalen Datenschutzbehörde vorbringen; insbesondere wenn Sie der Meinung sind, dass wir Ihre Beschwerde nicht zufriedenstellend bearbeitet haben, oder wenn Sie nach 4 Wochen noch keine endgültige Antwort erhalten haben.

Sie können die entsprechende Datenschutzbehörde unter folgender Adresse kontaktieren:

Land Kontakt
Österreich
Österreichische Datenschutzbehörde
Ballhausplatz, 1
A - 1014 WIEN


Tel.+43 1 531 15 25 25
Fax+43 1 531 15 26 90
e-mail:dsk@dsk.gv.at
Belgien
Commission de la protection de la vie privée
Rue Haute, 139
B - 1000 BRUXELLES

Tel. +32 2 213 8540
Fax +32 2 213 8545
e-mail:commission@privacy.fgov.be
Bulgarien
Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd
Sofia 1000
Bulgaria


Tel. +3592 940 2046
Fax +3592 940 3640
e-mail:kzld@government.bg
Kroatien
Herr Franjo LACKO
Director (Leiter)
Croatian Personal Data Protection Agency (Kroatische Datenschutzbehörde)
Republike Austrije 25
10000 Zagreb
Kroatien


Tel.+385 1 4609 000
Fax +385 1 4609 099
e-mail: azop@azop.hr oder info@azop.hr
Zypern
Commissioner for Personal Data Protection (Datenschutzkommissar)
Frau Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nikosia


Tel. +357 22 818 456
Fax +357 22 304 565
e-mail:commissioner@dataprotection.gov.cy
Tschechische Republik
Herr Igor Nemec
Büro für den Schutz personenbezogener Date
Urad pro ochranu osobnich udaju
Pplk. Sochora 27
CZ - 170 00 Prag 7


Tel. +420 234 665 111
Fax +420 234 665 444
e-mail:posta@uoou.cz
Dänemark
Datatilsynet
Borgergade 28, 5
DK - 1300 Kopenhagen K


Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-mail:dt@datatilsynet.dk
Estland
Estnisches Datenschutzinspektorat
(Andmekaitse Inspektsioon)
Generaldirektor
Herr Viljar Peep (Ph.D)
Väike-Ameerika 19
10129 Tallinn
Estland


Tel. +372 6274 135
Fax +372 6274 137
e-mail:viljar.peep@dp.gov.ee
Finnland
Amt für Datenschutz
Ombudsmann
P.O. Box 315
FIN-00181 Helsinki


Tel. +358 10 3666 700
Fax +358 10 3666 735
e-mail:tietosuoja@om.fi
ehemalige Jugoslawische
Republik Mazedonien
Frau Marijana MARUSIC
Direktorat für Datenschutz
Urad pro ochranu osobnich udaju
Samoilova 10
1000 Skopje
Ehemalige Jugoslawische Republik Mazedonien


Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail:info@dzlp.gov.mk
Frankreich
Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02


Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
Deutschland
Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring1
65189 Wiesbaden


Tel. +49 (0) 611 14 08-0
Fax +49 (0) 611 14 08-9 00 or +49 (0) 611 14 08-9 01
e-mail:poststelle@datenschutz.hessen.de
Website:http://www.datenschutz.hessen.de
Griechenland
Hellenic Data Protection Authority (Griechische Datenschutzbehörde)
Kifisias Av. 1-3, PC 11523
Ampelokipi Athen, Griechenland


Tel. +30 210 6475 600
Fax +30 210 6475 628
e-mail:contact@dpa.gr
Guernsey
Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernsey GY1 3JE


Tel. +44 1481 742074
Fax +44 1481 742077
e-mail:dataprotection@gov.gg
Ungarn
Datenschutzkommissar für Ungarn
Parlamentskommissar für Datenschutz und Informationsfreiheit
Dr. Attila Péterfalvi
Nádor u. 22.
H - 1051 Budapest


Tel.+36 1 475 7186
Fax+36 1 269 3541
e-mail:adatved@obh.hu
Island
Isländische Datenschutzbehörde
(Persónuvernd)
Rauðarárstíg 10
105 Reykjavík, Ísland


Tel. +354 510 9600
Fax +354 510 9606
e-mail:postur@personuvernd.is
Irland
Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Irland


Lo-Call: 1890 25 22 31
Tel. ++353 57 868 4800
Fax +353 57 868 4757
e-mail:info@dataprotection.ie
Isle of Man
Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
British Isles


Tel. +44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-mail:enquiries@odps.gov.im
Italien
Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma


Tel. +39 06 69677 1
Fax +39 06 69677 785
e-mail:garante@garanteprivacy.it
Jersey
The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD


Tel. +44 (0) 1534 441064
Fax +44 (0) 1534 441065
e-mail:dataproteciton@gov.je, e.martins@gov.je
Lettland
Data State Inspectorate (Staatliches Dateninspektorat)
Riga, Lettland
Leiterin Frau Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga


Tel.+371 6722 3131
Fax +371 6722 3556
e-mail:info@dvi.gov.lv
Liechtenstein
Dr. Philipp Mittelberger
Datenschutzbeauftragter des Fürstentums Liechtenstein
Stabsstelle für Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein


Tel.+423 236 6091
Fax +423 236 6099
e-mail:info@sds.llv.li
Verwaltung: http://www.sds.llv.li
Liechtenstein:http://www.liechtenstein.li
Litauen
State Data Protection (Staatlicher Datenschutz)
Inspectorate Director (Leiter)
Herr Algirdas Kuncinas
Žygimantu str. 11-6a

LT - 011042 Vilnius
Tel.+ 370 5 279 14 45
Fax+370 5 261 94 94
e-mail:ada@ada.lt
Luxemburg
Commission nationale pour la protection des données
41, avenue de la Gare
L-1611 Luxemburg


Tel.+352 2610 60 1
Fax+352 2610 60 29
e-mail:info@cnpd.lu
Malta
The Office of the Data Protection Commissioner
Data Protection Commissioner
Herr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta


Tel.+356 2328 7100
Fax+356 2328 7198
e-mail:commissioner.dataprotection@gov.mt
Norwegen
Datatilsynet
The Data Inspectorate
P.O.Box 8177 Dep
N - 0034 OSLO


Tel.+47 22 39 69 00
Fax+47 22 42 23 50
e-mail:postkasse@datatilsynet.no
Polen
The Bureau of the Inspector General for the Protection of Personal Data
(Büro des Generalinspektors für Datenschutz)
Herr Michal Serzycki
Inspector General for Personal Data Protection (Generalinspektor für Datenschutz)
ul. Stawki 2
00-193 Warschau


Tel.+48 22 860 70 81
Fax+48 22 860 70 90
e-mail:sekretariat@giodo.gov.pl
Portugal
Comissão Nacional de Protecção de Dados
R. de São. Bento, 148-3°
P - 1200-821 LISSABON


Tel.+351 21 392 84 00
Fax+351 21 397 68 32
e-mail:geral@cnpd.pt
Rumänien
The National Supervisory Authority for Personal Data Processing
(Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten)
Frau Georgeta BASARABESCU
Vorsitzende
Str. Olari nr. 32
Sector 2, BUCURESTI
Cod postal 024057
Rumänien


Tel.+40 21 252 5599
Fax+40 21 252 5757
e-mail:anspdcp@dataprotection.ro
Slowakei
Office for Personal Data Protection of the SR
(Amt für den Schutz personenbezogener Daten der SR)
Herr Gyula Veszelei
Vorsitzender
Odborárske námestie c. 3
817 60, Bratislava
Slowakische Republik


Tel.+ 421 2 5023 9418
Fax+ 421 2 5023 9441
e-mail:statny.dozor@pdp.gov.sk or gyula.veszelei@pdp.gov.sk
Slowenien
Information Commissioner (Datenkommissar)
Frau Natasa Pirc Musar
Vošnjakova 1
SI - 1000 LJUBLJANA


Tel.+386 (0) 1 230 9730
Fax+386 (0) 1 230 9778
e-mail:gp.ip@ip-rs.si
Spanien
Agencia de Protección de Datos
C/Jorge Juan, 6
E - 28001 MADRID


Tel.+34 91399 6200
Fax+34 91455 5699
e-mail:internacional@agpd.es
Schweden
Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM


Tel.+46 8 657 6100
Fax+46 8 652 8652
e-mail:datainspektionen@datainspektionen.se
Schweiz
Data Protection Commissioner of Switzerland
Eidgenössischer Datenbeauftragter
Hanspeter THÜR
Feldeggweg 1
CH - 3003 Bern


Tel. +41 (0) 31 322 4395
Fax+41 (0) 31 325 9996
e-mail:info@edsb.ch
Niederlande
College bescherming persoonsgegevens (CBP)
Holländische Datenschutzbehörde
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag
Niederlande


Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail:info@cbpweb.nl
Großbritannien
Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF


Tel.+44 1 625 54 57 00 (Vermittlung)
e-mail: Bitte verwenden Sie die Online-Anfrage auf unserer Website

Diese Liste wird nur aktualisiert unter: http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

Schritt 5

Einleitung eines Gerichtsverfahrens

Wenn es Ihnen nicht gelingt, die Antwort zu erhalten, die Sie von uns oder Ihrer lokalen Datenschutzbehörde verlangen, können Sie ein Gerichtsverfahren vor einem örtlichen Gericht einbringen. In dieser Situation empfehlen wir Ihnen, zunächst einen unabhängigen und entsprechend qualifizierten Rechtsanwalt zu konsultieren. American Express anerkennt, dass Forderungen gegenüber Ihrem lokalen American Express Unternehmen oder direkt gegenüber American Express Services Europe Limited (AESEL) geltend gemacht werden können.

Die Richtlinien (siehe unter A.) und die Europäischen Umsetzungsrichtlinien (siehe unter B.) sind für die American Express Gruppe verbindlich und verleihen Ihnen Rechte als vertraglicher Drittbegünstigter, wie in der Programmdokumentation ausgeführt.

Wenn Sie den Namen Ihres lokalen American Express Unternehmens benötigen oder sonstige Fragen zu diesem Schritt 5 haben, kontaktieren Sie uns bitte unter Verwendung der Angaben in Schritt 2 (Kontaktaufnahme mit uns bezüglich Detailanfragen), wobei in diesem Fall keine Verwaltungsgebühr zu entrichten ist.