EY - Verbindliche Unternehmensrichtlinien zum Datenschutz

Verbindliche Unternehmensrichtlinien zum Datenschutz

  • Share

EY hat ein Programm für verbindliche Unternehmensrichtlinien (Binding Corporate Rules BCR) eingeführt. Dieses regelt die Einhaltung der Europäischen Datenschutzrichtlinien, insbesondere im Hinblick auf die Übermittlung personenbezogener Daten zwischen den EY-Mitgliedsunternehmen.

Was ist der Zweck der Europäischen Datenschutzrichtlinie?
Die europäische Datenschutzrichtlinie räumt den Bürgern das Recht ein zu kontrollieren, wie und wofür ihre personenbezogenen Daten1 verwendet werden. Wenn EY die personenbezogenen Daten seiner derzeitigen, ehemaligen und potenziellen Partner, Mitarbeiter, Mandanten, Lieferanten und Auftragnehmer sowie sonstiger Dritter sammelt und verwendet, unterliegt dies den Europäischen Datenschutzvorschriften.

Inwieweit ist EY auf internationaler Ebene von der Europäischen Datenschutzrichtlinie betroffen?
Gemäß der Europäischen Datenschutzrichtlinie dürfen personenbezogene Daten nicht in Länder außerhalb Europas2 übermittelt werden, wenn kein angemessener Datenschutz gewährleistet ist. In einigen der Länder, in denen EY tätig ist, werden die Datenschutzrechte von Privatpersonen nach Auffassung der europäischen Datenschutzbehörden nicht hinreichend eingehalten.

Was unternimmt EY dagegen?
Um Verstöße gegen geltendes Recht zu vermeiden, muss EY angemessene Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten durch unser Unternehmen weltweit mit der gebotenen Sicherheit und somit rechtmäßig verwendet werden.

Der Zweck der verbindlichen Unternehmensrichtlinien besteht deshalb darin, die in unserem globalen Datenschutzprogramm enthaltenen Rahmenbedingungen so weiterzuentwickeln, dass sie den Standards der Europäischen Datenschutzrichtlinie entsprechen. Auf diese Weise wird ein angemessener Schutz für alle personenbezogenen Daten, die in Europa gesammelt und verwendet sowie von europäischen an außereuropäische Mitgliedsunternehmen übermittelt werden, gewährleistet.

Zwar gelten die rechtlichen Verpflichtungen gemäß der Europäischen Datenschutzrichtlinie lediglich für personenbezogene Daten, die in Europa gesammelt und verwendet werden. EY wird die verbindlichen Unternehmensrichtlinien jedoch global und in allen Fällen, in denen EY personenbezogene Daten manuell oder automatisch verarbeitet, anwenden - und zwar unabhängig davon, ob sich diese personenbezogenen Daten auf derzeitige, ehemalige oder potenzielle Partner, Mitarbeiter, Mandanten, Lieferanten und Auftragnehmer von EY oder sonstige Dritte3 beziehen.

Zentraler Bestandteil der verbindlichen Unternehmensrichtlinien sind 15 Regeln, die auf den relevanten europäischen Datenschutzstandards basieren und gemäß dieser auszulegen sind. Diese Regeln müssen von jedem Partner, Mitarbeiter und Auftragnehmer, die Umgang mit personenbezogenen Daten haben, befolgt werden. Alle Mitgliedsunternehmen, die zu Ernst & Young Global Ltd. („EYG“) gehören und die entsprechende Beitrittsvereinbarung unterzeichnet haben, sind verpflichtet, die verbindlichen Unternehmensrichtlinien einzuhalten.

Mit der Unterzeichnung der Beitrittsvereinbarung sind die Mitgliedsunternehmen an alle einheitlichen Standards, Methoden und Richtlinien von EY, die im Regelwerk von EYG („EYG Regulations“) festgelegt sind, gebunden. Die verbindlichen Unternehmensrichtlinien sind Teil eines der einheitlichen Standards, der in den EYG Regulations besonders hervorgehoben wird.

Die Mitgliedsunternehmen müssen die Einhaltung der verbindlichen Unternehmensrichtlinien einmal pro Jahr gegenüber dem Datenschutzbeauftragten für ihre jeweilige Area (Area Privacy Leader) bestätigen. Dieser Datenschutzbeauftragte hat dann dem Verantwortlichen für den globalen Datenschutz (Global Privacy Director) über die jährlichen Bestätigungsmeldungen der Mitgliedsunternehmen Bericht zu erstatten.

Weitere Informationen

Für den vollständigen Wortlaut unserer verbindlichen Unternehmensrichtlinien klicken Sie bitte hier.

Bei Fragen zu den einzelnen Bestimmungen der verbindlichen Unternehmensrichtlinien, zu Ihren Rechten gemäß diesen Unternehmensrichtlinien oder bei sonstigen Fragen zum Datenschutz wenden Sie sich bitte an den Verantwortlichen für den globalen Datenschutz bei EY. Dieser wird sich entweder selbst um die Angelegenheit kümmern oder Sie an einen zuständigen Mitarbeiter oder eine entsprechende Abteilung innerhalb von EY verweisen. Der Verantwortliche für den globalen Datenschutz ist unter dem folgenden Link zu erreichen:

Andrew Heaton
Global Privacy Officer
Ernst & Young Global Limited


1 Die BCR wurden dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) angezeigt.
2 Personendaten umfassen jegliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person gemäss der in der Richtlinie 95/46/EG enthaltenen Definition beziehen.
3 Europa im Sinne dieser verbindlichen Unternehmensrichtlinien umfasst den Europäischen Wirtschaftsraum und die Schweiz.
4 Verarbeitung im Sinne der Europäischen Datenschutzrichtlinie umfasst jegliche Aktivitäten, gleich ob manueller oder automatischer Art, die im Zusammenhang mit Personendaten vorgenommen werden. Nach der gängigen Interpretation schliesst dies das Sammeln, Speichern, Organisieren, Vernichten, Ändern, Abrufen und Offenlegen der Personendaten ein.