Corporate Compliance

Konzernregelung zum Umgang mit personenbezogenen Daten innerhalb des Bayer-Konzerns

Zur Unterstützung unserer globalen Geschäftsprozesse ist die konzernweite Bereitstellung der notwendigen Informationen und Daten von herausragender Bedeutung. Bayer hat als weltweit agierender Konzern die Anforderungen aus den unterschiedlichen Rechtsordnungen verschiedener Länder und Regionen, aber auch die Schutzbedürfnisse unserer Geschäftspartner und Mitarbeiter ausreichend zu beachten.

Die grenzüberschreitende Übermittlung personenbezogener Daten ist grundsätzlich nur zulässig, wenn ein adäquates Datenschutzniveau besteht oder wenn die Daten verarbeitenden Stellen ausreichende Garantien für den Schutz der Persönlichkeitsrechte der von einer Übermittlung betroffenen Personen vorweisen. Die Richtlinie zum Umgang mit personenbezogenen Daten stellt dies zusammen mit der Richtlinie zur IT-Sicherheit für alle Unternehmen des Konzerns sicher. Die Abstimmung mit den deutschen Aufsichtsbehörden ist erfolgt.

1. Einleitung

Für ein innovatives und weltweit tätiges Unternehmen wie Bayer sind Informationen und ihre sinnvolle Nutzung zur Verwirklichung der Unternehmensziele von herausragender Bedeutung. Die modernen Informations- und Kommunikationsmedien wie Internet, Intranet und E-Mail spielen beim Zugang zu und beim Austausch von Informationen eine wesentliche Rolle. Sie ermöglichen es Bayer, schneller und effektiver als in der Vergangenheit Unternehmensentscheidungen vorzubereiten, zu treffen und umzusetzen.

Die mit dem technologischen Wandel einhergehenden Verbesserungen beim Informationsaustausch tragen aber auch Risiken in sich, die in einem ethisch handelnden Unternehmen wie Bayer Berücksichtigung finden müssen. Durch die unsachgemäße oder gar missbräuchliche Nutzung der Informationstechnologie und durch die Verarbeitung personenbezogener Daten allgemein können Persönlichkeitsrechte verletzt werden. Der Schutz der Persönlichkeitsrechte eines jeden, dessen personenbezogene Daten Bayer verarbeitet,– dies schließt Mitarbeiter, Kunden, Lieferanten, sonstige Vertragspartner, Interessenten, Probanden und Patienten in klinischen Prüfungen ein - ist ein Ziel, dem sich Bayer verpflichtet fühlt, unabhängig davon, wie die personenbezogenen Daten erhoben werden. Vor diesem Hintergrund hat die Bayer AG diese für den gesamten Bayer-Konzern1 verbindliche Richtlinie zum Schutz personenbezogener Daten erlassen. Sie setzt einen Aspekt des Programms für gesetzmäßiges und verantwortungsbewusstes Handeln bei Bayer um.

2. Ziel der Richtlinie

Ziel dieser Richtlinie ist es, Datenschutz- und Datensicherheitsstandards für die Verarbeitung personenbezogener Daten innerhalb des Bayer-Konzerns und für deren Übermittlung festzulegen, um so einen angemessenen Schutz der Persönlichkeitsrechte der Betroffenen zu gewährleisten. Ihre Befolgung ist eine Voraussetzung für den freien Austausch personenbezogener Daten innerhalb des Bayer-Konzerns.

3. Anwendungsbereich der Richtlinie

Diese Richtlinie findet für alle den Datenschutz betreffenden Fragen Anwendung. Sie gilt für die personenbezogenen Daten von Mitarbeitern, Kunden, Lieferanten, anderen Geschäftspartnern, Probanden und Patienten in klinischen Prüfungen, Interessenten und sonstigen Betroffenen, soweit sie im Bayer-Konzern verarbeitet werden, ungeachtet der Herkunft dieser Daten. Die Datenschutz- und Datensicherheitsstandards dieser Richtlinie sind für alle Konzernunternehmen verbindlich.

Bestehende gesetzliche Verpflichtungen – nationale sowie internationale – des Landes, in dem die Erhebung oder Verarbeitung personenbezogener Daten stattfindet, werden von dieser Richtlinie nicht berührt und sind somit zu erfüllen. Jeder Datenempfänger muss deshalb prüfen, ob solche Regelungen für seinen Zuständigkeitsbereich gelten, und ihre Einhaltung sicherstellen. Sofern Bestimmungen des nationalen oder internationalen Rechts geringere Anforderungen an den Datenschutz stellen, gelten die Regelungen dieser Unternehmensrichtlinie.

In bestimmten Ländern verlangen die Datenschutzbehörden von dem Verantwortlichen für die Datenverarbeitung vor einer ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten eine Meldung. Jedes Konzernunternehmen ist dafür verantwortlich, etwaigen in seinem Land bestehenden Meldepflichten nachzukommen. Die Übermittlung personenbezogener Daten an staatliche Einrichtungen und Behörden ist nur nach Maßgabe der jeweils geltenden nationalen Rechtsvorschriften zulässig.

Sofern ein Unternehmensteil Anlass hat anzunehmen, dass die ihn betreffenden Rechtsvorschriften ihn daran hindern, seinen Verpflichtungen im Rahmen der verbindlichen unternehmensinternen Vorschriften nachzukommen, und dass sie eine wesentliche nachteilige Wirkung auf die durch die Vorschriften gebotenen Garantien haben, wird unverzüglich die Zentrale der Bayer AG informiert, sofern dies nicht durch eine Vollstreckungsbehörde nach dem jeweiligen Landesrecht verboten ist.

Die Bayer AG trifft – beraten durch den Konzern-Datenschutzbeauftragten – eine verantwortliche Entscheidung und informiert die jeweils zuständige nationale Datenschutzbehörde.

4. Grundsätze für die Verarbeitung personenbezogener Daten

4.1 Zulässigkeit der Datenverarbeitung
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn der Betroffene darin eingewilligt hat oder sie nach dem am Ort der Datenverarbeitung geltenden Recht erlaubt ist. Die Zulässigkeit der Verarbeitung personenbezogener Daten ist Voraussetzung für ihre Übermittlung nach Ziffer 5.

Die Einwilligung soll schriftlich oder auf eine sonstige rechtlich zulässige Art erklärt werden. Der Betroffene ist vorher über den Zweck der Verarbeitung seiner personenbezogenen Daten und über deren mögliche Übermittlung an Dritte aufzuklären. Die Einwilligungserklärung ist zur Verdeutlichung gegenüber anderen Erklärungen optisch hervorzuheben.

4.2 Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit dieser Zweckbindung unvereinbaren Weise weiter verarbeitet werden. Die Zweckbestimmung der von einem anderen Konzernunternehmen übermittelten Daten ist vom Empfänger bei ihrer weiteren Nutzung und Speicherung zu beachten. Zweckänderungen sind nur zulässig, wenn der Betroffene darin eingewilligt hat oder nationales Recht des Landes, aus dem die personenbezogenen Daten übermittelt werden, sie erlaubt.

4.3 Datensparsamkeit
Die Verarbeitung personenbezogener Daten muss im Hinblick auf die Zweckbestimmung erforderlich sein. Mittel zum Anonymisieren oder Pseudonymisieren personenbezogener Daten sind frühzeitig zu nutzen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Dies gilt insbesondere für personenbezogene Daten von Probanden und Patienten in klinischen Prüfungen.

4.4 Datenqualität
Personenbezogene Daten müssen sachlich richtig und – soweit erforderlich – auf dem neuesten Stand sein. Um unzutreffende oder unvollständige Daten zu berichtigen oder zu löschen, sollten angemessene Maßnahmen ergriffen werden.

4.5 Datensicherheit
Die verantwortlichen Stellen haben zur Gewährleistung der erforderlichen Datensicherheit angemessene technische und organisatorische Maßnahmen zu treffen. Diese Vorkehrungen beziehen sich insbesondere auf Computer (Server und Arbeitsplatzrechner), Netze bzw. Kommunikationsverbindungen sowie Applikationen und sind in das IT-Sicherheitsmanagement des Bayer-Konzerns eingebettet. Zu den wesentlichen Maßnahmen, die bei Bayer ergriffen werden, um die unberechtigte Verarbeitung personenbezogener Daten zu verhindern, gehören u. a. Kontrollen


Hinzu kommen geeignete Maßnahmen, um die Daten vor zufälliger oder unberechtigter Zerstörung oder vor Verlust zu schützen. Näheres ist in der Richtlinie zur IT-Sicherheit geregelt.

4.6 Vertraulichkeit der Datenverarbeitung
Nur befugte und auf die Einhaltung des Datengeheimnisses besonders verpflichtete Mitarbeiter dürfen personenbezogene Daten verarbeiten. Es ist untersagt, personenbezogene Daten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder diesen auf andere Weise zugänglich zu machen. Unzulässig ist z. B. auch die Nutzung durch Mitarbeiter, die zur Erledigung ihrer Arbeitspflichten keinen Zugriff auf die betreffenden personenbezogenen Daten benötigen. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

4.7 Besondere Arten personenbezogener Daten (sensitive Daten)
Das Erheben und Verarbeiten sensitiver Daten durch Konzernunternehmen ist grundsätzlich verboten und nur erlaubt, wenn

  • der Betroffene ausdrücklich seine Einwilligung dazu gegeben hat,
  • der Betroffene diese Daten offensichtlich öffentlich gemacht hat,
  • es zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist und der Betroffene aus physischen oder rechtlichen Gründen nicht in der Lage ist, seine Einwilligung zu geben,
  • dies zur Ausübung, Geltendmachung oder Verteidigung rechtlicher Ansprüche erforderlich ist und nicht anzunehmen ist, dass demgegenüber das schutzwürdige Interesse des Betroffenen am Ausschluss der Erhebung oder Verarbeitung personenbezogener Daten überwiegt, oder
  • dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen am Ausschluss der Erhebung oder Verarbeitung personenbezogener Daten erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand zu erreichen ist.

Im Übrigen unterliegt die pharmazeutische Forschung und Entwicklung zahlreichen nationalen und internationalen Rechtsvorschriften, durch die die Persönlichkeitsrechte der Betroffenen bei der Verarbeitung sensitiver Daten besonders geschützt werden2.


Abhängig von der Art der sensitiven Daten und den mit ihrer beabsichtigten Nutzung verbundenen Risiken werden gemäß Ziffer 4.5 angemessene Sicherheits- und Schutzmaßnahmen getroffen (z. B. technische Schutzvorrichtungen, Verschlüsselung, Zugangsbeschränkungen).

  • des Zutritts zu den Datenverarbeitungsanlagen,
  • des Zugangs zu den Datenverarbeitungsanlagen,
  • des Zugriffs auf Datenverarbeitungssysteme,
  • der Eingabe von Daten in Datenverarbeitungsprogramme und
  • der Weitergabe von Daten mittels Datenübertragung.
  • der Betroffene ausdrücklich seine Einwilligung dazu gegeben hat,
  • der Betroffene diese Daten offensichtlich öffentlich gemacht hat,
  • es zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist und der Betroffene aus physischen oder rechtlichen Gründen nicht in der Lage ist, seine Einwilligung zu geben,
  • dies zur Ausübung, Geltendmachung oder Verteidigung rechtlicher Ansprüche erforderlich ist und nicht anzunehmen ist, dass demgegenüber das schutzwürdige Interesse des Betroffenen am Ausschluss der Erhebung oder Verarbeitung personenbezogener Daten überwiegt, oder
  • dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen am Ausschluss der Erhebung oder Verarbeitung personenbezogener Daten erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand zu erreichen ist.

4.8 Datenverarbeitung im Auftrag
Wenn Konzern- oder sonstige Unternehmen im Rahmen eines Auftragsverhältnisses zur Verarbeitung personenbezogener Daten als Auftraggeber oder Auftragsdatenverarbeiter fungieren, gilt Folgendes:


  • Es ist ein Auftragsdatenverarbeiter auszuwählen, der die für die Verarbeitung erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen gewährleistet und ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Letzteres ist bei Konzernunternehmen, für die diese Richtlinie gilt, der Fall, ansonsten muss dies gegebenenfalls durch die Verpflichtung des Auftragsdatenverarbeiters auf die Grundsätze dieser Richtlinie oder die Verwendung der von der Europäischen Union (EU) bereitgestellten Standardvertragsklauseln sichergestellt werden.
  • Die Verarbeitung personenbezogener Daten durch einen Auftragsdatenverarbeiter muss in einem schriftlichen Vertrag geregelt werden, in dem Rechte und Pflichten des Auftraggebers und des Auftragsdatenverarbeiters festgelegt sind.
  • Der Auftragsdatenverarbeiter ist vertraglich zu verpflichten, die vom Auftraggeber erhaltenen personenbezogenen Daten nur im Rahmen des Auftrags und der vom Auftraggeber erteilten Weisungen zu verarbeiten. Die personenbezogenen Daten dürfen nicht zu anderen Zwecken verarbeitet werden.


Der Auftraggeber bleibt verantwortliche Stelle für die personenbezogenen Daten und Ansprechpartner für die Betroffenen.

4.9 Automatisierte Einzelentscheidungen
Bestimmte Länder sehen in ihren Rechtsvorschriften Beschränkungen für automatisierte Einzelentscheidungen vor, die Betroffene beeinträchtigen. Dabei handelt es sich um Entscheidungen, die ausschließlich auf automatisierter Datenverarbeitung beruhen und rechtliche Folgen für den Betroffenen haben oder ihn negativ beeinträchtigen. Sofern in Ausnahmefällen derartige automatisierte Einzelentscheidungen getroffen werden sollten, wird dies den Betroffenen mitgeteilt und ihnen die Möglichkeit eingeräumt, sich zu der fraglichen Entscheidung zu äußern. Bei einem Einwand ist die Entscheidung zu überprüfen.

5. Übermittlung personenbezogener Daten

Die Übermittlung personenbezogener Daten innerhalb des Europäischen Wirtschaftsraums3 (EWR) ist grundsätzlich erlaubt, wenn auch ihre Verarbeitung nach Ziffer 4.1 zulässig ist.

Bei der Übermittlung personenbezogener Daten innerhalb des Landes, in dem sie erhoben wurden, sind die in diesem Land bestehenden gesetzlichen Verpflichtungen zu erfüllen.

5.1 Übermittlung personenbezogener Daten aus dem EWR in ein Drittland
Die Übermittlung personenbezogener Daten aus einem EWR-Land in ein Drittland ist unter Berücksichtigung von Ziffer 4.1 nur zulässig, wenn

  • der Betroffene eindeutig seine Einwilligung gegeben hat oder,
  • sie für die Erfüllung eines Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen auf Veranlassung des Betroffenen erforderlich ist oder,
  • sie zum Abschluss oder zur Erfüllung eines Vertrages erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll oder,
  • sie entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder,
  • sie für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder,
  • sie in ein Drittland4 erfolgt, für das die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat oder
  • die empfangende Stelle im Sinne dieser Richtlinie ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Dies ist bei Konzernunternehmen, für die diese Richtlinie gilt, der Fall.


Ist der Empfänger kein Konzernunternehmen, muss im Rahmen vertraglicher Vereinbarungen (z. B. durch EU-Standardvertragsklauseln) sichergestellt werden, dass ein entsprechender Datenschutzstandard garantiert wird. Bei Verstößen durch den Empfänger wird das übermittelnde Konzernunternehmen angemessene Maßnahmen ergreifen.

5.2 Weitere Übermittlung personenbezogener Daten innerhalb des Drittlandes oder in ein anderes Drittland
Die weitere Übermittlung personenbezogener Daten, die aus dem EWR übermittelt wurden, an eine Stelle innerhalb des Drittlandes oder in ein anderes Drittland ist unter Berücksichtigung von Ziffer 4.1 nur zulässig, wenn dieses Drittland ein angemessenes Datenschutzniveau aufweist oder einer der Tatbestände der Ziffer 5.1 vorliegt. In jedem Fall ist das Konzernunternehmen im EWR, das die Daten übermittelt hat, von einer weiteren Übermittlung innerhalb des Drittlandes oder in ein anderes Drittland zu benachrichtigen.

5.3 Bereitstellung betrieblicher Adress-, Funktions- und Kommunikationsdaten
Für Zwecke der innerbetrieblichen Kommunikation ist die Bereitstellung betrieblicher Adress-, Funktions- und Kommunikationsdaten einschließlich einer Kostenstelleninformation – etwa über das Intranet oder zentrale Lotus-Notes-Register – innerhalb des Bayer-Konzerns im für den Zweck erforderlichen Umfang zulässig. Dabei ist die Zweckbindung der Daten von allen Nutzern zu beachten.

6. Rechte des Betroffenen

6.1 Auskunftsrecht
Jeder Betroffene hat das Recht, Auskunft über die Art der ihn betreffenden, von einem Konzernunternehmen verarbeiteten personenbezogenen Daten zu verlangen. Dem Betroffenen wird Auskunft über seine Daten erteilt; dies gilt unabhängig vom Standort, an dem die Daten verarbeitet werden. Alle derartigen Anträge kann der Betroffene an die lokale Personalabteilung des jeweiligen Konzernunternehmens richten (siehe hierzu auch Ziffer 7.3). Die Fachabteilungen haben diese Stelle bei der Bearbeitung zu unterstützen.

6.2 Berichtigungsanspruch
Sollten die gespeicherten personenbezogenen Daten unrichtig oder unvollständig sein, kann der Betroffene ihre Berichtigung verlangen. Jeder hat darauf zu achten, dass die personenbezogenen Daten, die er einem Konzernunternehmen mitteilt, korrekt sind und auch etwaige Änderungen (z. B. Adress- oder Namensänderungen) dem Konzernunternehmen gemeldet werden.

6.3 Ablehnung des Auskunfts- oder Berichtigungsverlangens
Bei Ablehnung des Auskunfts- oder Berichtigungsverlangens wird dem Betroffenen der Grund hierfür mitgeteilt.

6.4 Löschung
Wenn der Betroffene darlegt, dass der Zweck, für den die Daten verarbeitet werden, nicht mehr rechtmäßig oder angemessen ist, werden die personenbezogenen Daten – vorbehaltlich entgegenstehender gesetzlicher Bestimmungen – gelöscht.

6.5 Widerspruchsrecht
Jeder Betroffene hat ein Recht auf Widerspruch, wenn seine personenbezogenen Daten zu Werbezwecken oder zu Zwecken der Markt- und Meinungsforschung genutzt werden. Soweit nationales Recht es vorsieht, ist der Betroffene über sein Widerspruchsrecht (Opt-out) und über die verantwortliche Stelle zu informieren. Legt der Betroffene Widerspruch ein, sind seine personenbezogenen Daten für diese Zwecke zu sperren. Zu beachten ist darüber hinaus, dass einige Länder vorab eine Einwilligung für die Verarbeitung personenbezogener Daten zu den oben genannten Zwecken verlangen (Opt-in).

Darüber hinaus hat der Betroffene ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung seiner Daten, das insoweit zu berücksichtigen ist, als eine Prüfung ergibt, dass sein schutzwürdiges Interesse wegen einer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Verarbeitung verpflichtet.

6.6 Fragen und Beschwerden/Rechtsbehelfe
Im Hinblick auf mögliche Fragen, Beschwerden und Rechtsbehelfe gilt Ziffer 7.3.

7. Verfahrensregeln

7.1 Umsetzung im Bayer-Konzern
Die Konzernunternehmen haben als verantwortliche Stelle zu gewährleisten, dass die in dieser Unternehmensrichtlinie niedergelegten Grundsätze beachtet werden.

Dabei haben die Führungskräfte der einzelnen Konzernunternehmen die Umsetzung dieser Richtlinie sicherzustellen, wozu vor allem die entsprechende Unterrichtung der Mitarbeiter gehört. Bei weiterem Schulungsbedarf wenden sie sich an den Konzerndatenschutzbeauftragten oder seinen örtlichen Vertreter. Zur Unterrichtung zählt auch der Hinweis, dass Verstöße gegen die Grundsätze dieser Richtlinie unter Umständen straf-, haftungs- oder arbeitsrechtliche Konsequenzen nach sich ziehen können.

7.2 Konzerndatenschutzbeauftragter
Vom Vorstand der Bayer AG wird ein Konzerndatenschutzbeauftragter bestellt, der die Einhaltung dieser Richtlinie überwacht. Unterstützt wird er dabei von örtlichen Vertretern (regionalen Datenschutzverantwortlichen), die in den jeweiligen Konzernunternehmen für die Sicherstellung der betrieblichen Datenschutzkontrolle zuständig sind und ihn auch bei Beschwerden unterrichten.

Die örtlichen Vertreter müssen sich an die Feststellungen des Konzerndatenschutzbeauftragten halten. Soweit örtliche Datenschutzverantwortliche zugleich die Funktion eines betrieblichen Datenschutzbeauftragten wahrnehmen, arbeiten sie vertrauensvoll mit dem Konzerndatenschutzbeauftragten zusammen, unterliegen aber nicht seinen Weisungen. Der Konzerndatenschutzbeauftragte und seine örtlichen Vertreter sind bei der Ausübung ihrer Tätigkeit im Rahmen dieser Richtlinie von Weisungen der Geschäftsführung frei.

Die Führungskräfte im Bayer-Konzern sind verpflichtet, den Konzerndatenschutzbeauftragten und seine örtlichen Vertreter bei ihrer Tätigkeit zu unterstützen.

Bei Fragen wenden Sie sich bitte an den Konzerndatenschutzbeauftragten: E-Mail

Bitte wenden Sie sich an den Konzerndatenschutzbeauftragten, um eine Liste der örtlichen Vertreter zu bekommen.

7.3 Fragen und Beschwerden/Rechtsbehelfe
Betroffene können sich mit Fragen oder Beschwerden zur Verarbeitung personenbezogener Daten jederzeit an den Konzerndatenschutzbeauftragten bzw. an seinen örtlichen Vertreter wenden. Diese Anliegen werden vertraulich behandelt.

Falls eine Frage oder Beschwerde eines Betroffenen mit einer angeblichen Verletzung dieser Richtlinie durch ein Konzernunternehmen zusammenhängt, das in einem anderen Land ansässig ist als der Betroffene, so kann er sich an das die Daten übermittelnde Konzernunternehmen wenden. Sollte sich der Verdacht auf einen Verstoß bestätigen, werden die betroffenen Konzernunternehmen mit den relevanten Parteien (z. B. Datenschutzbehörden, andere Unternehmen) in Übereinstimmung mit dieser Richtlinie zusammenarbeiten und dem Missstand abhelfen.

Wird das Anliegen des Betroffenen nicht erfüllt, kann er eine Beschwerde beim Konzerndatenschutzbeauftragten einreichen. Der Konzerndatenschutzbeauftragte wird dem Betroffenen seine Entscheidung mitteilen und ihn über die entsprechenden Rechtsbehelfe informieren.

Die in dieser Richtlinie beschriebenen Verfahren finden neben sämtlichen sonstigen Rechtsbehelfen und Verfahren Anwendung, die dem Betroffenen nach dem jeweils geltenden Recht zustehen. Dazu gehört gegebenenfalls auch, dass sich der Betroffene mit Fragen oder Beschwerden an die zuständige Datenschutzbehörde wenden kann.

7.4 Verpflichtung gegenüber Datenschutzbehörden
Die in einem Drittland ansässigen Empfänger von personenbezogenen Daten aus dem EWR und der Konzerndatenschutzbeauftragte sind verpflichtet, bei allen Anfragen der Datenschutzbehörde des Staates, in dem die übermittelnde Stelle ihren Sitz hat, mit ihr zu kooperieren und ihre Feststellungen zu respektieren, sofern diese Feststellungen rechtmäßig ergangen sind und sowohl der übermittelnden als auch der empfangenden Stelle Gehör gewährt wurde. Auch die übermittelnde Stelle im EWR hat das Recht, bei der empfangenden Stelle die Datenverarbeitung im Einzelfall zu überprüfen.

7.5 Änderung der Richtlinie und Fortgeltung
Bayer behält sich das Recht vor, diese Richtlinie bei Bedarf zu ändern, etwa um Ände-rungen von Gesetzen, Verordnungen, Forderungen von Datenschutzbehörden oder Bayer-internen Verfahren zu entsprechen. Soweit gesetzlich erforderlich, wird Bayer die etwaig geänderte Unternehmensrichtlinie zur erneuten Überprüfung vorlegen. Tritt diese Richtlinie außer Kraft, sind – unabhängig von den Gründen oder Ursachen – alle Konzernunternehmen für bereits übermittelte personenbezogene Daten auch weiterhin daran gebunden, sofern die Richtlinie nicht durch eine neue Regelung ersetzt wird.

7.6 Publizität
Die jeweils aktuelle Version dieser Richtlinie wird den Betroffenen in geeigneter Weise über das Intranet / Internet zugänglich gemacht.

7.7 Verhältnis zu anderen Unternehmensregelungen
Soweit andere Unternehmensregelungen dieser Richtlinie widersprechen, haben die Regelungen dieser Richtlinie Vorrang.

8. Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck:

Anonymisierung – das Verändern von Daten derart, dass kein Personenbezug mehr herstellbar ist
Auftragsdatenverarbeiter – jede natürliche oder juristische Person, die personenbe-zogene Daten im Auftrag für eine verantwortliche Stelle verarbeitet
Betrieblicher Datenschutzbeauftragter – eine Person, die offiziell für ein konzern-angehöriges Unternehmen bestellt wurde, um die innerbetriebliche Datenschutzkontrolle wahrzunehmen, und nach dem jeweiligen Landesrecht an die Geschäftsführung berichtet und in seiner Funktion nicht weisungsgebunden ist.
Betroffener – jede natürliche Person, deren personenbezogene Daten im Unternehmen verwendet werden, beispielsweise jetzige, künftige und ehemalige Mitarbeiter, Kunden, Lieferanten, Probanden und Patienten in klinischen Prüfungen sowie in sonstigen Vertragsverhältnissen zum Unternehmen stehende natürliche Personen
Datenschutz (Data Protection / Privacy) – die Summe aller Maßnahmen zur Wahrung der Persönlichkeitsrechte von Betroffenen im Umgang mit ihren personenbezogenen Daten
Dritter – jede natürliche oder juristische Person, die nicht der verantwortlichen Stelle zuzurechnen ist, wie z. B. externe Geschäftspartner oder andere Gesellschaften im Unternehmensverbund, nicht jedoch der Betroffene selbst oder der Auftragnehmer bei einer Auftragsdatenverarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR)
Drittland – jedes Land außerhalb des Europäischen Wirtschaftsraums (EWR)5
Einwilligung – jede ohne Zwang und in Kenntnis der Sachlage erfolgte Willensäußerung, mit der der Betroffene akzeptiert, dass ihn betreffende personenbezogene Daten verarbeitet werden; besondere Anforderungen an eine Einwilligung können sich aus dem jeweiligen nationalen Recht ergeben Personenbezogene Daten – alle persönlichen und sachlichen Informationen über eine bestimmte oder bestimmbare natürliche Person (Betroffener). Bestimmbar ist eine Person dann, wenn sie direkt oder indirekt identifiziert werden kann, z. B. durch Zuordnung einer Kennziffer.
Pseudonymisierung – das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen für Unbefugte auszuschließen oder wesentlich zu erschweren
Regionaler Datenschutzverantwortlicher – die Person, die auf regionaler oder betrieblicher Ebene für die Vermittlung und Kontrolle gesetzlicher und betrieblicher Vorgaben zum Datenschutz zuständig ist
Sensitive Daten (Personenbezogene Daten besonderer Art) – Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben
Sicheres Drittland4 – Länder, für die die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat
Übermittlung personenbezogener Daten – die Weitergabe personenbezogener Daten, ihre Verbreitung oder jede andere Form der Bereitstellung an Dritte, dazu gehören auch die Einsicht in und der Abruf von Informationen
Verantwortlicher für die Datenverarbeitung (verantwortliche Stelle) – das juristisch selbstständige Unternehmen des Bayer-Konzerns, das über die Verarbeitung personenbezogener Daten entscheidet
Verarbeitung personenbezogener Daten – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Prozess in Verbindung mit personenbezogenen Daten wie das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen oder Archivieren

1

Der Begriff „Bayer-Konzern“ im Sinne dieser Richtlinie umfasst die Bayer AG und alle Unternehmen, an denen die Bayer AG – direkt oder indirekt – mit mehr als 50 % beteiligt ist oder an denen sie vergleichbare Kontrollrechte besitzt (im Folgenden auch Konzernunternehmen genannt). 2 Ziel der Richtlinie

2

Zu den für die pharmazeutische Forschung und Entwicklung geltenden Rechtsvorschriften zählen z. B. in Deutschland das Arzneimittelgesetz, in Europa die EU-Richtlinie 2001/20/EG Zur Guten Klinischen Praxis bei der Durchführung von klinischen Prüfungen, in den USA der Health Insurance Portability and Accountability Act und international die ICH Guidelines, speziell E6 Good Clinical Practice (1996).

3

Der EWR umfasst die Mitgliedsstaaten der Europäischen Union, Island, Liechtenstein und Norwegen.

4

Zum 1. August 2006 waren dies u. a. Argentinien, Kanada, die Schweiz und Stellen in den USA, die unter dem Safe-Harbor-Abkommen zertifiziert sind.

5

Der EWR umfasst die Mitgliedsstaaten der Europäischen Union, Island, Liechtenstein und Norwegen.

Letzte Änderung: 24. November 2014 Copyright © Bayer AG
http://www.bayer.de