American Express' Binding Corporate Rules (Verbindliche unternehmensinterne Vorschriften) - oder BCRs - dienen in Übereinstimmung mit den anwendbaren Datenschutzbestimmungen im Europäischen Wirtschaftsraum (EWR) der Übermittlung personenbezogener Daten innerhalb der American Express Gruppe. Unsere BCRs bestehen aus den "American Express Datenschutzrichtlinien" (nachfolgend Ziffer A.) und aus den "Europäischen Umsetzungsrichtlinien" (nachfolgend Ziffer B.). Zusätzlich hat American Express Datenschutzbeschwerdeverfahren eingerichtet (nachfolgend Ziffer C.)
A. Die "American Express Datenschutzrichtlinien"
Die folgenden "American Express Datenschutzrichtlinien" ("Richtlinien") beschreiben, wie American Express sowie deren 100%-ige direkte und indirekte Tochtergesellschaften ("American Express") Ihre personenbezogenen Daten erfassen, verwenden, speichern, teilen, übertragen, löschen oder auf sonstige Weise verarbeiten (kollektiv "verarbeiten"). Personenbezogene Daten bedeutet alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Der in diesen Richtlinien dargelegte Standard des Schutzes personenbezogener Daten wird von American Express weltweit angewandt und bietet einen angemessenen und einheitlichen Schutz für die Verarbeitung Ihrer personenbezogenen Daten. In diesen Richtlinien bezieht sich "Sie" und "Ihr/e" auf jeden einzelnen Kunden oder Mitarbeiter von American Express sowie andere Personen, deren personenbezogene Daten wir verarbeiten, und "wir", "uns", "unser/e" und "American Express Gruppe" bedeutet American Express.
1. Erfassung: Wir erfassen nur jene personenbezogenen Daten, die benötigt werden, und dies auf rechtmäßige, faire Art und Weise.
2. Mitteilung und Verarbeitung: Soweit aus den von Ihnen bezogenen Produkten oder Dienstleistungen oder der Art Ihrer Beziehung zu uns nicht ersichtlich, werden wir Ihnen mitteilen, wie Ihre personenbezogenen Daten verarbeitet werden, und welche Unternehmen der American Express Gruppe für diese Datenverarbeitung verantwortlich sind. Wir werden Ihre personenbezogenen Daten fair und nur für jene Zwecke verarbeiten, über die wir Sie aufgeklärt haben, zu den von Ihnen genehmigten Zwecken bzw. soweit nach geltendem Recht zulässig. Außerdem können Sie bestimmten Arten von Datenverarbeitung, soweit nach geltendem Recht zulässig, widersprechen.
3. Option: Wir bieten Kunden die Wahl, ihre personenbezogenen Daten in Listen aufzunehmen oder aus diesen Listen zu streichen, die für Marketingzwecke verwendet werden, soweit nach geltendem Recht erforderlich. Dazu zählen Produkt- und Dienstleistungsangebote seitens American Express sowie auch solche in Verbindung mit unseren Geschäftspartnern. Natürlich wird jedes unserer Unternehmen auch weiterhin an Kunden Informationen über jene Produkte oder Leistungen schicken, die sie von diesem Unternehmen beziehen.
4. Datenqualität: Wir verwenden geeignete Technologien und umfassend definierte Mitarbeiterpraktiken, um Ihre personenbezogenen Daten prompt und exakt zu verarbeiten. Wir bewahren Ihre personenbezogenen Daten nicht länger auf als nötig, ausgenommen als nach geltendem Recht anderweitig erforderlich.
5. Sicherheit und Vertraulichkeit: Wir behandeln Ihre personenbezogenen Daten vertraulich und beschränken den Zugang zu Ihren personenbezogenen Daten auf jene Personen, die sie konkret benötigen, um ihre Geschäftstätigkeit wahrzunehmen, ausgenommen als nach geltendem Recht zulässig. Wir setzen für den Schutz Ihrer personenbezogenen Daten vor unbefugtem Zugriff, nicht autorisierter Vernichtung, Verwendung, Änderung oder Preisgabe Branchenstandards ein und bedienen uns dazu angemessener administrativer, technischer und physischer Sicherheitsmaßnahmen. Wir verlangen von jenen Dritten, die von uns autorisiert werden, um Ihre personenbezogenen Daten in unserem Namen zu verarbeiten, die Anwendung branchenüblicher Datensicherungsmaßnahmen.
6. Datenverbund: Wir teilen Ihre personenbezogenen Daten nur dann mit Dritten, wenn dies notwendig ist, um Ihnen Produkte oder Dienstleistungen zu erbringen, oder als Teil unserer Geschäftsbeziehung mit Ihnen, sofern wir Sie zuvor entsprechend informiert haben oder von Ihnen dazu ermächtigt wurden, im Zusammenhang mit unseren Bemühungen, Betrug oder kriminelle Handlungen zu reduzieren, bzw. soweit rechtlich zulässig.
7. Offenheit und Datenzugriff: Auf Anfrage informieren wir Sie darüber, wie Ihre personenbezogenen Daten verarbeitet werden, sowie über die Rechte und Rechtsmittel, die Ihnen im Rahmen dieser Richtlinien zur Verfügung stehen. Sie können die Art der personenbezogenen Daten erfragen, die über Sie von American Express gespeichert oder verarbeitet werden. Sie erhalten die vom Gesetz in Ihrem Land geforderte Auskunft zu Ihren Daten, ungeachtet des Standorts der Datenverarbeitung und Datenspeicherung. Wenn Daten unrichtig oder unvollständig sind, können Sie verlangen, dass die Daten geändert werden.
8. Internationale Übertragung von Daten: Sofern anhand der internationalen Produkte oder Dienstleistungen, die Sie beziehen, oder anhand der Art Ihrer Beziehung zu unserem Unternehmen nicht offensichtlich, werden wir Sie informieren, wenn Ihre personenbezogenen Daten möglicherweise außerhalb Ihres Landes übertragen werden, und werden sicherstellen, dass eine solche Übertragung nur im Einklang mit dem geltenden Recht erfolgt. Gleich wohin Ihre personenbezogenen Daten übertragen werden, sie sind durch diese Richtlinien geschützt.
9. Verantwortlichkeit: Jedes Unternehmen der American Express Gruppe sowie deren Mitarbeiter dürfen Ihre personenbezogenen Daten nur im Einklang mit diesen Richtlinien verarbeiten. Wir führen Schulungen und Überprüfungen der Einhaltung dieser Richtlinien durch. Mitarbeiter, die diese Richtlinien verletzen, können Disziplinarmaßnahmen - bis hin zur Entlassung - unterworfen werden. Von Mitarbeitern wird erwartet, dass sie jede Verletzung dieser Richtlinien melden; sie können dies bei ihren Vorgesetzten, beim Compliance-Beauftragten ihrer Geschäftseinheit, bei der Rechtsabteilung, dem Privacy Office oder bei der Ombudsstelle des Unternehmens tun.
10. Rechenschaftspflicht: Sie können diese Richtlinien in Ihrem Land gegenüber jedem Unternehmen der American Express Gruppe, das für Ihre personenbezogenen Daten verantwortlich ist, als vertraglicher Drittbegünstigter dieser Richtlinien geltend machen. Wenn Sie eine Beschwerde dahingehend haben, dass wir diese Richtlinien verletzt haben, und gutgläubig versucht haben, die Beschwerde über unseren Kundendienstprozess zu bereinigen, die Beschwerde jedoch von uns nicht innerhalb angemessener Frist gelöst wurde, dann können Sie diese Richtlinien uns gegenüber geltend machen. Wenn Sie sich bei Ihrer lokalen Datenschutzbehörde beschweren, und die Datenschutzbehörde feststellt, dass wir diese Richtlinien verletzt haben, werden wir die Feststellung der Datenschutzbehörde anerkennen, behalten uns jedoch das Recht vor, diese Feststellungen anzufechten oder dagegen zu berufen. Diese Richtlinien lassen die Rechte, die Ihnen nach geltendem Recht zustehen, und etwaige Auflagen der zuständigen Datenschutzbehörden und sonstige Vereinbarungen, die Sie eventuell mit uns getroffen haben, unberührt.
Diese Richtlinien unterstreichen unsere Verpflichtung zum Schutz Ihrer personenbezogenen Daten. Sie sind für alle Unternehmen der American Express Gruppe verbindlich und zeigen unser Engagement für den Datenschutz. Zusätzlich kann jedes Unternehmen der American Express Gruppe, das über personenbezogene Daten verfügt, über eigene zusätzliche Regeln und Praktiken für bestimmte Produkte und Dienstleistungen verfügen, welche aber mit gegenständlicher Richtlinie in Einklang stehen.
Wenn Sie Fragen oder Kommentare zu den Richtlinien haben,wenden Sie sich bitte an uns.