Stand: 11. September 2019
In dieser Erklärung gemäß Privacy Shield („Erklärung“) wird erläutert, wie Mimecast und unsere Tochtergesellschaften und verbundenen Unternehmen („Mimecast“, „wir“ oder „uns“ in allen gebeugten Formen) bestimmte personenbezogene Daten, die wir in den USA aus dem Europäischen Wirtschaftsraum („EWR“) erhalten, erfassen, verwenden und offenlegen. Diese Erklärung gilt für Mimecast North America, Inc. Diese Erklärung ergänzt unsere Datenschutzerklärung, und sofern nicht ausdrücklich in dieser Erklärung definiert, haben die Begriffe in dieser Erklärung die gleiche Bedeutung wie in unserer Datenschutzerklärung.
Wir erkennen die im EWR geltenden strengen Schutzmaßnahmen hinsichtlich des Umgangs mit bestimmten personenbezogenen Daten an, einschließlich der Anforderungen zur Gewährleistung eines angemessenen Schutzes personenbezogener Daten, die außerhalb des EWR übermittelt werden. Um einen angemessenen Schutz bestimmter personenbezogener Daten, die wir in den USA über unsere Kunden, Lieferanten, Geschäftspartner, Bewerber und Mitarbeiter erhalten, zu gewährleisten, haben wir uns im Hinblick auf die Erfassung, Verwendung und Aufbewahrung personenbezogener Daten, die aus der Europäischen Union, dem Vereinigten Königreich und/oder der Schweiz in die USA übermittelt werden, zu einer Selbstzertifizierung nach dem EU-US Privacy Shield Framework und dem Swiss-US Privacy Shield Framework, die vom Handelsministerium der Vereinigten Staaten (United States Department of Commerce) verwaltet werden (zusammengefasst „Privacy Shield“), entschieden. Wir halten uns an die Privacy-Shield-Grundsätze der Benachrichtigung, der Wahlmöglichkeit, der Verantwortlichkeit für die Weiterleitung, der Sicherheit, der Datenintegrität, der Zweckbindung, des Zugriffs, des Regresses, der Durchsetzung und der Haftung (zusammengefasst die „Privacy-Shield-Grundsätze“). Sollte es einen Konflikt zwischen dieser Erklärung, unserer Datenschutzerklärung und den Privacy-Shield-Grundsätzen geben, gelten die Privacy-Shield-Grundsätze.
Diese Erklärung gilt möglicherweise nicht für bestimmte personenbezogene Daten, die anderen datenschutzrechtlichen Anforderungen und Richtlinien unterliegen. Zum Beispiel:
Im Rahmen der Durchsetzung der Konformität mit den Bestimmungen des Privacy Shield unterstehen wir der Ermittlungs- und Vollzugsbefugnis der US Federal Trade Commission. Weitere Informationen zu Ihren Rechten in Bezug auf Ihre personenbezogenen Daten finden Sie weiter unten auf dieser Seite. Weitere Informationen zum Privacy Shield entnehmen Sie bitte der einschlägigen Website des US-Handelsministeriums. Unsere Selbstverpflichtung zur Einhaltung der Grundsätze des Privacy Shield durch Eintragung in die Liste des US-Handelsministeriums können Sie hier einsehen.
In unserer Datenschutzerklärung werden die Kategorien personenbezogener Daten beschrieben, die wir in den USA erhalten dürfen, sowie die Zwecke, zu denen wir diese personenbezogenen Daten verwenden dürfen. Wir werden personenbezogene Daten nur im Zusammenhang mit dem Zweck, zu dem wir sie erfasst haben, verarbeiten oder für Zwecke, die Sie zu einem späteren Zeitpunkt ausdrücklich genehmigen könnten. Bevor wir Ihre personenbezogenen Daten für einen Zweck verwenden, der erheblich von dem Zweck abweicht, zu dem wir sie erfasst haben, oder dem Sie zu einem späteren Zeitpunkt zugestimmt haben, geben wir Ihnen die Möglichkeit, dies abzulehnen.
Sie behalten die Kontrolle über die personenbezogenen Daten, die Sie uns bereitstellen. Entsprechend sind Sie unter bestimmten Umständen, die unten im Einzelnen erläutert werden, berechtigt:
Zur Ausübung dieser Rechte navigieren Sie bitte zu unserem Datenschutz-Portal und stellen dort einen Antrag als betroffene Person. Wenn Sie keine Marketing- und Werbe-E-Mails mehr von uns erhalten möchten, können Sie diese im Einstellungscenter abbestellen.
Möglicherweise übermitteln wir personenbezogene Daten an unsere externen Vertreter oder Dienstleister, die Leistungen in unserem Auftrag erbringen. Ausführlichere Erläuterungen dazu entnehmen Sie bitte unserer Datenschutzerklärung.
Sofern gemäß Privacy Shield erforderlich, schließen wir schriftliche Vereinbarungen mit diesen externen Vertretern und Dienstleistern ab, die sie dazu verpflichten, das gemäß Privacy Shield erforderliche Schutzniveau zu gewährleisten, und ihre Verwendung der Daten auf die in unserem Auftrag bereitgestellten Leistungen beschränken. Wir unternehmen angemessene Schritte, um sicherzustellen, dass externe Vertreter und Dienstleister personenbezogene Daten in Übereinstimmung mit unseren Verpflichtungen gemäß Privacy Shield verarbeiten, und um jede unbefugte Verarbeitung zu verhindern und zu beheben. Unter Umständen sind wir für die Handlungen unserer externen Vertreter oder Dienstleister (z. B. die in unserem Trust-Center hier aufgeführten Unterauftragsverarbeiter), die in unserem Auftrag Dienstleistungen erbringen, für den Umgang mit personenbezogenen Daten haftbar, die wir an sie übermitteln.
Unter bestimmten Umständen übertragen wir die personenbezogenen Daten von EU-Bürgern an externe Drittanbieter, die als Datenverantwortliche fungieren. Diese Drittanbieter handeln nicht als unsere Vertreter oder Dienstleister und erbringen keine Leistungen in unserem Auftrag. Die Übertragung personenbezogener Daten von EU-Bürgern an externe Datenverantwortliche erfolgt im Sinne unserer Datenschutzerklärung. Wir leiten personenbezogene Daten von EU-Bürgern nur unter der Voraussetzung an externe Datenverantwortliche weiter, dass Sie dieser Offenlegung nicht widersprochen bzw. – im Falle vertraulicher personenbezogener Daten von EU-Bürgern, die gemäß Privacy Shield nur mit ausdrücklicher Zustimmung der betroffenen Person an Dritte weitergeleitet werden dürfen – ihr ausdrücklich zugestimmt haben. Zudem beschränken wir die Verwendung personenbezogener Daten von EU-Bürgern durch Dritte entsprechend der von Ihnen erteilten Zustimmung und den Mitteilungen, die Sie diesbezüglich erhalten haben. Wenn wir personenbezogene Daten von EU-Bürgern an eines unserer verbundenen Unternehmen innerhalb unserer Unternehmensgruppe übermitteln, ergreifen wir entsprechende Maßnahmen, um sicherzustellen, dass das Schutzniveau der personenbezogenen Daten von EU-Bürgern den Anforderungen des Privacy Shield entspricht.
Unter bestimmten Umständen kann es erforderlich sein, dass wir Ihre personenbezogenen Daten offenlegen müssen, um einer rechtmäßigen Anfrage seitens staatlicher Behörden nachzukommen, insbesondere zur Erfüllung von Auflagen im Interesse der nationalen Sicherheit oder Strafverfolgung.
Wir wenden Sicherheitsmaßnahmen an, die den Verlust oder Missbrauch personenbezogener Daten unter unserer Kontrolle verhindern sollen. Diese Maßnahmen werden in unserer Datenschutzerklärung ausführlicher beschrieben. Unsere Sicherheitsvorkehrungen werden in regelmäßigen Abständen überprüft und bei Bedarf verstärkt. Nur befugte Mitarbeiter haben Zugriff auf personenbezogene Daten. Wir bemühen uns im Rahmen des Zumutbaren, den Verlust oder Missbrauch Ihrer persönlichen Daten zu verhindern.
Wir beschränken die Erfassung personenbezogener Daten, die unter diese Erklärung fallen, auf Angaben, die zur Verarbeitung und zur Bereitstellung unserer Dienstleistungen relevant sind. Wir achten darauf, dass die Verwendung personenbezogener Daten für die Zwecke, zu denen sie erfasst wurden, relevant ist oder ausdrücklich von Ihnen genehmigt wurde. Wenn Sie die Verwendung oder Offenlegung Ihrer personenbezogenen Daten beschränken wollen, können Sie in unserem Portal für Anfragen von Betroffenen hier einen schriftlichen Antrag stellen. Wir ergreifen angemessene Maßnahmen, um zu gewährleisten, dass die Verarbeitung personenbezogener Daten wie beabsichtigt korrekt und vollständig im Einklang mit den jeweils geltenden Bestimmungen durchgeführt wird.
Möglicherweise haben Sie das Recht, auf die personenbezogenen Daten, die wir über Sie gespeichert haben, zuzugreifen und zu verlangen, dass wir diese berichtigen, ergänzen oder löschen, wenn sie unrichtig sind oder unter Verstoß gegen das Privacy Shield verarbeitet wurden. Wir werden angemessene Schritte unternehmen, um die Berichtigung, Änderung oder Löschung unrichtiger oder unvollständiger personenbezogener Daten zu ermöglichen und/oder zuzulassen. Diese Rechte gelten in einigen Fällen möglicherweise nicht, insbesondere wenn der Aufwand oder die Kosten für die Gewährung des Zugriffs unter den gegebenen Umständen in keinem Verhältnis zu den Risiken stünden oder wenn die Rechte anderer Personen verletzt würden. Wenn Sie Zugriff auf Ihre personenbezogenen Daten bzw. deren Berichtigung, Änderung oder Löschung beantragen wollen, können Sie in unserem Portal für Anfragen von Betroffenen hier einen schriftlichen Antrag stellen. Zur Bestätigung Ihrer Identität fordern wir möglicherweise bestimmte Angaben von Ihnen an. Unter bestimmten Umständen berechnen wir möglicherweise eine angemessene Gebühr für den Zugriff auf Ihre Daten.
Die Beteiligung von Mimecast am Privacy Shield unterliegt der Durchsetzung durch die US Federal Trade Commission. Mimecast verpflichtet sich zur Beilegung von Beschwerden bezüglich unserer Erfassung oder Verwendung Ihrer personenbezogenen Daten gemäß den Grundsätzen des Privacy Shield. Personen mit Wohnsitz in der EU oder der Schweiz sollten Fragen oder Beschwerden bezüglich unserer Privacy-Shield-Richtlinie zunächst über unser zu diesem Zweck eingerichtetes Online-Portal an uns richten; Ihre Anfrage wird dann von uns beantwortet.
Mimecast hat sich ferner verpflichtet, ungelöste Beschwerden bezüglich des Privacy Shield an JAMS, einen alternativen Streitschlichtungsanbieter in den USA, weiterzuleiten. Wenn Sie von uns keine zeitnahe Empfangsbestätigung Ihrer Beschwerde erhalten oder Sie ein ungelöstes Anliegen oder Bedenken im Zusammenhang mit dem Datenschutz oder Ihren personenbezogenen Daten haben, um die wir uns nicht zufriedenstellend gekümmert haben, können Sie bei unserem externen Streitschlichtungsanbieter in den USA, JAMS, kostenlos weitere Auskünfte erfragen oder eine Beschwerde einlegen.
Mimecast verpflichtet sich zur Zusammenarbeit mit EU-Datenschutzbehörden (DPAs) und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und zur Einhaltung der von diesen Behörden erteilten Empfehlungen bezüglich der Übermittlung von Personaldaten aus der EU und der Schweiz im Rahmen des Beschäftigungsverhältnisses.
Unter bestimmten Umständen sind Sie berechtigt, ein verbindliches Schlichtungsverfahren zur Beilegung Ihrer Beschwerde einzuleiten, vorausgesetzt, Sie haben die folgenden Schritte unternommen: (1) Sie haben sich direkt an uns gewandt und uns die Möglichkeit gegeben, das Problem zu lösen; (2) Sie haben den oben genannten unabhängigen Mechanismus zur Beilegung von Streitigkeiten in Anspruch genommen; und (3) Sie haben das Problem der zuständigen Datenschutzbehörde gemeldet und dem US-Handelsministerium die Möglichkeit gegeben, die Beschwerde ohne Kosten für Sie beizulegen.
ÄNDERUNGEN AN DIESER ERKLÄRUNG
Diese Erklärung kann von Zeit zu Zeit gemäß den Anforderungen des Privacy Shield geändert werden. Wenn Sie über Aktualisierungen dieser Erklärung benachrichtigt werden möchten, können Sie das im Einstellungscenter festlegen.
FRAGEN
Bei Fragen zu dieser Erklärung kontaktieren Sie uns bitte unter: Global-Privacy@mimecast.com. Um Ihre Rechte in Bezug auf Ihre personenbezogenen Daten geltend zu machen, navigieren Sie bitte zu unserem Datenschutz-Portal. Unseren Datenschutzbeauftragten erreichen Sie unter:
Data Protection Officer
191 Spring Street
Lexington, Massachusetts 02421
Vereinigte Staaten
E-Mail: DPO@mimecast.com
Telefon: +1 (617) 393-7050