Skip to content
Datenschutzpolitik
1. Diese Richtlinie definiert Anforderungen, um die Einhaltung von Gesetzen und Vorschriften zu gewährleisten, die für die Sammlung, Nutzung, Verarbeitung und Übertragung personenbezogener Daten durch ATPI in der ganzen Welt gelten.
2. Umfang
2.1 ATPI verpflichtet sich zur Einhaltung der geltenden Datenschutzgesetze in den Ländern, in denen das Unternehmen („Company“) tätig ist. Aufgrund von Unterschieden innerhalb dieser Rechtsordnungen hat das Unternehmen diese Datenschutzrichtlinie verabschiedet, die einen gemeinsamen Kern von Werten, Richtlinien und Verfahren schafft, der auf eine generische Compliance abzielt und (gegebenenfalls) durch zusätzliche Anweisungen und Leitlinien ergänzt wird, die in denjenigen Rechtsordnungen mit besonderen Anforderungen gelten.
2.2 Diese Richtlinie basiert auf der EU-Verordnung 2016/679 und der Datenschutz-Grundverordnung (DSGVO), die ein robustes generisches Modell für die Einhaltung des Datenschutzes darstellt. Das Unternehmen hat außerdem eine Intra Group Data Transfer Agreement (IGDTA) auf der Grundlage der anerkannten EU-Standardvertragsklauseln abgeschlossen, die für die weltweite Übertragung und anschließende Unterverarbeitung von Daten innerhalb des gesamten globalen Netzwerks von Konzernunternehmen genehmigt werden muss.
2.3 Diese Richtlinie gilt für alle Voll- und Teilzeitmitarbeiter des Unternehmens, Zeitarbeitnehmer sowie alle Lieferanten und Kunden, die personenbezogene Daten vom Unternehmen erhalten, Zugriff auf vom Unternehmen erhobene oder verarbeitete personenbezogene Daten haben oder dem Unternehmen Informationen zur Verfügung stellen, unabhängig vom geografischen Standort.
2.4 Als Verpflichtung im Rahmen dieser Richtlinie wird das Unternehmen personenbezogene Daten nur dann verarbeiten, wenn eine anerkannte rechtmäßige Grundlage für diese Verarbeitung besteht. Um die Einhaltung der Datenschutzgesetze zu gewährleisten, wird das Unternehmen seinen Status für jede Datenverarbeitung korrekt als entweder Datenverantwortlicher oder Datenverarbeiter festlegen.
3. Gruppen-Compliance
3.1 Das Data-Compliance-Programm des Unternehmens wird von dem Datenschutzbeauftragten des Unternehmens unter Mithilfe eines Datenschutzmanagers sowie von lokal ernannten Compliance-Mitarbeitern und internen Auditoren überwacht. Verantwortlichkeiten können vom DPO delegiert werden.
3.2 Der DSB wird die internationale Datenschutzrichtlinie und -verfahren des Unternehmens sowie die IGDTA umsetzen, ebenso wie alle Pflichten, die durch Datenschutzgesetze vorgeschrieben sind, einschließlich:
3.2.1 Feststellung, ob eine Benachrichtigung an eine oder mehrere Datenschutzbehörden aufgrund der Datenverarbeitungsaktivitäten des Unternehmens erforderlich ist, anschließende Vornahme aller erforderlichen Benachrichtigungen und Aktualisierung dieser Benachrichtigungen.
3.2.2 Entwicklung und Implementierung fortlaufender Programme zur Schulung von Mitarbeitern, um die Einhaltung der Datenschutzgesetze sicherzustellen.
3.2.3 Einrichtung (unter Beteiligung der IT- und Rechtsabteilungen) von Verfahren und Standardvertragsklauseln zur Sicherstellung der Einhaltung dieser Richtlinie durch Konzerngesellschaften, Kunden, Lieferanten und Dritte, die personenbezogene Daten vom Unternehmen erhalten, Zugriff auf vom Unternehmen erhobene oder verarbeitete personenbezogene Daten haben oder dem Unternehmen Informationen zur Verfügung stellen, unabhängig vom geografischen Standort.
3.2.4 Einrichtung von Mechanismen für regelmäßige Audits der Einhaltung dieser Richtlinie, Implementierung von Verfahren und geltendem Recht.
3.2.5 Einrichtung, Wartung und Betrieb eines Systems für unverzügliche und angemessene Reaktionen auf Datensubjekte, die ihre Rechte ausüben.
3.2.6 Einrichtung, Wartung und Betrieb eines Systems für die unverzügliche und angemessene Offenlegung gegenüber den zuständigen Behörden und/oder Datensubjekten, wie es nach den Datenschutzgesetzen erforderlich ist.
3.2.7 Information von leitenden Angestellten, Führungskräften und Direktoren des Unternehmens über die potenziellen zivil- und strafrechtlichen Strafen/Geldbußen für Unternehmen und/oder deren Mitarbeiter bei Verstößen gegen geltende Datenschutzgesetze.
3.2.8 Sicherstellung, dass die Risikomanagementpläne in Bezug auf den Datenschutz effektiv und unverzüglich umgesetzt werden.
3.2.9 Sicherstellung, dass dem Vorstand, dem Management und anderen Stakeholdern eine angemessene Zusicherung hinsichtlich der Wirksamkeit der Datenschutzverfahren und -audits gegeben wird.
4. Grundsätze des Datenschutzes
4.1 Das Unternehmen hat die folgenden Grundsätze für die Nutzung, Erhebung, Verarbeitung und Übermittlung personenbezogener Daten verabschiedet, es sei denn, diese Richtlinie sieht etwas anderes vor oder anwendbare Gesetze schreiben es vor:
4.1.1 Personenbezogene Daten dürfen nur fair und rechtmäßig verarbeitet werden.
4.1.2 Personenbezogene Daten dürfen nur für festgelegte, ausdrückliche, rechtmäßige und legitime Zwecke erhoben werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.
4.1.3 Personenbezogene Daten müssen angemessen, relevant und nicht übermäßig sein in Bezug auf die Zwecke, für die sie erhoben und/oder verarbeitet werden.
4.1.4 Personenbezogene Daten dürfen nur dann erhoben oder verarbeitet werden, wenn eine rechtliche Grundlage für die Verarbeitung ordnungsgemäß geschaffen wurde.
4.2 Es sind geeignete physische, technische und verfahrenstechnische Maßnahmen zu ergreifen, um:
4.2.1 die unbefugte oder unrechtmäßige Erhebung, Verarbeitung und Übermittlung personenbezogener Daten zu verhindern und/oder zu identifizieren; und
4.2.2 den versehentlichen Verlust oder die Zerstörung von oder die Beschädigung von personenbezogenen Daten zu verhindern.
5. Übertragungen an Dritte
5.1 Personenbezogene Daten dürfen nicht an eine andere Einheit, ein anderes Land oder Gebiet übertragen werden, es sei denn, es wurden angemessene und geeignete Maßnahmen ergriffen, um das erforderliche Maß an Datensicherheit zu gewährleisten und aufrechtzuerhalten.
5.2 Personenbezogene Daten dürfen Dritten nur aus Gründen mitgeteilt werden, die mit den Zwecken, für die die Daten ursprünglich erhoben wurden, oder anderen gesetzlich zulässigen Zwecken vereinbar sind.
5.3 Alle Übertragungen von personenbezogenen Daten an Dritte zur weiteren Verarbeitung unterliegen schriftlichen Vereinbarungen, einer rechtlichen Grundlage für die Übertragung oder dem IGDTA des Unternehmens für interne Datenübertragungen und in voller Übereinstimmung mit den geltenden Datenschutzgesetzen.
5.4 Personenbezogene Daten aus der EU (und dem Vereinigten Königreich) dürfen nicht in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, es sei denn, die Übermittlung erfolgt in ein von der EU als Land oder Gebiet mit einem angemessenen Datenschutzniveau anerkanntes Land oder Gebiet oder in die Vereinigten Staaten im Rahmen des US Data Privacy Frameworks.
6. Verhinderung von nicht konformen IT-Systemen
6.1 Der Chief Information Security Officer (CISO) des Unternehmens legt ein Verfahren zur Bewertung der Auswirkungen neuer oder bestehender Technologien auf die Privatsphäre und Sicherheit personenbezogener Daten fest.
6.2 Kein neues System oder keine neue Version eines bestehenden Systems darf zur Nutzung freigegeben werden, bevor der DPO vom CISO eine schriftliche Bestätigung erhalten hat, dass kein Verstoß gegen Datenschutzgesetze vorliegt.
7. Quellen für persönliche Daten
7.1 Personenbezogene Daten dürfen nur von der betroffenen Person erhoben werden, es sei denn, die Art des Geschäftszwecks erfordert die Erhebung der Daten von anderen Personen oder Stellen.
7.2 Werden personenbezogene Daten von einer anderen Person als der betroffenen Person erhoben, muss die datenerhebende Geschäftseinheit eine schriftliche Bestätigung vom Datenlieferanten vorliegen haben, dass eine rechtmäßige Grundlage für die Verarbeitung und Übermittlung der personenbezogenen Daten an das Unternehmen besteht.
8. Rechte der betroffenen Person
Das Unternehmen wird in Übereinstimmung mit den Datenschutzgesetzen auf jede Anfrage/Beschwerde der betroffenen Person auf Auskunftserteilung reagieren, die an sie gerichtet wird. Um die Einreichung einer solchen Anfrage/Beschwerde zu erleichtern, hat das Unternehmen ein Formular erstellt, das Sie hier finden.
9. Qualitätssicherung der Daten
9.1 Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für die zulässigen Nutzungen erforderlich ist. Das Unternehmen hat eine Data Retention Policy erstellt, die die geltenden Fristen für die Datenlöschung festlegt.
9.2 Personenbezogene Daten sind zu löschen, wenn ihre Speicherung gegen ein Datenschutzgesetz verstößt oder wenn die Kenntnis der Daten für das Unternehmen nicht mehr erforderlich ist oder auf Antrag der betroffenen Person.
10. Konzerninterne Verarbeitung
10.1 Wenn sich das Unternehmen auf ein anderes Konzernunternehmen verlässt, um es bei seinen Verarbeitungstätigkeiten zu unterstützen, schließt das Unternehmen mit diesem anderen Konzernunternehmen eine Datenübertragungsvereinbarung auf der Grundlage der EU-Modellklauseln (oder der geltenden Modellklauseln gemäß den Datenschutzgesetzen), um sicherzustellen, dass die Verantwortung für die Daten klar identifiziert wird, da beide Parteien als Datenverantwortliche betrachtet werden können.
10.2 Wenn sich das andere Konzernunternehmen im Ausland befindet, werden die an der Verarbeitung beteiligten Konzernunternehmen als Datenexporteur bzw. Datenimporteur bezeichnet, obwohl es mehr als einen an der Verarbeitung beteiligten Datenimporteur geben kann.
11. Externe Auftragsverarbeiter
Wenn sich das Unternehmen auf Dritte verlässt, um es bei seinen Verarbeitungstätigkeiten zu unterstützen, wählt das Unternehmen einen Datenverarbeiter aus, der ausreichende Sicherheitsmaßnahmen vorsieht und angemessene Schritte unternimmt, um die Einhaltung dieser Maßnahmen sicherzustellen.
12. Schriftliche Verträge für externe Auftragsverarbeiter
12.1 Das Unternehmen schließt mit jedem Datenverarbeiter einen schriftlichen Vertrag ab, der ihn verpflichtet, die Datenschutzgesetze und die dem Unternehmen nach lokaler Gesetzgebung auferlegten Sicherheitsanforderungen einzuhalten.
13. Audits von externen Datenverarbeitern
13.1 Im Rahmen des internen Datenauditverfahrens des Unternehmens führt das Unternehmen regelmäßige Kontrollen der Verarbeitung durch externe Datenverarbeiter durch, insbesondere in Bezug auf die Übergabeverfahren für die Daten, insbesondere in Bezug auf Sicherheitsmaßnahmen.
14. Datensicherheit
14.1 Das Unternehmen hat eine Data Security Management Policy implementiert, im Rahmen derer es physische, technische und organisatorische Maßnahmen ergreift, um die Sicherheit personenbezogener Daten zu gewährleisten, einschließlich der Verhinderung ihrer Veränderung, ihres Verlusts, ihrer Beschädigung, ihrer unbefugten Verarbeitung oder ihres Zugriffs, wobei die Art der Daten und die Risiken berücksichtigt werden, denen sie aufgrund menschlichen Handelns oder der physischen oder natürlichen Umgebung ausgesetzt sind. Diese Maßnahmen werden in der Data Security Management Policy dokumentiert, die mindestens jährlich überprüft wird oder wenn dies erforderlich ist, um wesentliche Änderungen an den Sicherheitsvorkehrungen widerzuspiegeln.
14.2 Angemessene Sicherheitsmaßnahmen sollten alle folgenden Punkte umfassen:
14.2.1 Verhinderung des Zugriffs unbefugter Personen auf Datenverarbeitungssysteme, in denen personenbezogene Daten verarbeitet werden.
14.2.2 Verhinderung des Zugriffs von Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, auf Daten, die über ihre Bedürfnisse und Berechtigungen hinausgehen.
14.2.3 Sicherstellung, dass personenbezogene Daten im Zuge der elektronischen Übertragung während des Transports oder während der Speicherung auf einem Datenträger nicht ohne Genehmigung gelesen, kopiert, verändert oder entfernt werden können.
14.2.4 Sicherstellung, dass personenbezogene Daten vor ungewollter Zerstörung oder Verlust geschützt sind.
14.2.5 Sicherstellung, dass für unterschiedliche Zwecke erhobene Daten getrennt verarbeitet werden können und werden.
14.2.6 Sicherstellung, dass Daten nicht länger als in der Data Retention Policy festgelegt aufbewahrt werden, einschließlich der Anforderung, dass an Dritte übertragene Daten zurückgegeben oder vernichtet werden.
15. Compliance-Messung
15.1 Der DPO legt einen Zeitplan für ein Datenschutz-Compliance-Audit für alle Geschäftsbereiche fest und führt dieses durch. Der DPO erarbeitet in Zusammenarbeit mit den Geschäftsbereichen einen Plan und einen Zeitplan zur Behebung aller festgestellten Mängel innerhalb einer festen, angemessenen Frist.
Jeder Geschäftsbereich des Unternehmens überprüft jährlich seine Praktiken zur Datenerhebung, Datenverarbeitung und Datensicherheit und legt fest, welche personenbezogenen Daten der Geschäftsbereich erhebt, einschließlich der in manuellen Systemen gespeicherten Daten, die „Relevante Ablagesysteme“ darstellen.
15.2 Die in dieser jährlichen Überprüfung gesammelten Informationen werden dem DPO zur Überprüfung und für geeignete Maßnahmen übermittelt, einschließlich, aber nicht beschränkt auf die folgenden:
15.2.1 Abgabe von Empfehlungen zur Verbesserung von Richtlinien und Verfahren, um die Einhaltung dieser Richtlinie und des geltenden Rechts zu verbessern.
15.2.2 Erfüllung der Anforderungen für die Selbstzertifizierung der Compliance innerhalb der lokalen Datenschutzbehörden und die Einhaltung des IGDTA des Unternehmens.
16. Einsatz von künstlicher Intelligenz
16.1 Microsoft Copilot wird von Mitarbeitern der Organisation intern eingesetzt. Copilot verarbeitet personenbezogene Daten ausschließlich, um intelligente Unterstützung zu leisten, Antworten zu generieren und die Produktivität innerhalb genehmigter Geschäftssysteme zu unterstützen. Es kann auf Informationen zugreifen, die Mitarbeiter verbinden möchten, wie z. B. Dokumente, E-Mails, Kalender, Kontakte oder Browserverlauf, ausschließlich zum Zweck der Erfüllung arbeitsbezogener Anfragen. Copilot erfasst oder teilt personenbezogene Daten nicht unabhängig von diesen autorisierten Interaktionen. Die gesamte Verarbeitung unterliegt den geltenden Datenschutzgesetzen, einschließlich der DSGVO, und wird durch die Datenschutz- und Sicherheitsstandards von Microsoft geregelt. Die Mitarbeiter behalten die Kontrolle über ihre Daten und können Berechtigungen, verbundene Dienste und Speicherfunktionen in den Einstellungen von Copilot verwalten.
Jede Verwendung von künstlicher Intelligenz innerhalb des Unternehmens erfolgt ausschließlich in Übereinstimmung mit den Datenschutzgesetzen und im Einklang mit der Artificial Intelligence Policy.
17. Implementierung
17.1 Diese Richtlinie ist für Mitarbeiter und andere über die Website des Unternehmens verfügbar.
17.2 Diese Richtlinie kann jederzeit, mindestens jedoch jährlich, vom DPO überarbeitet werden. Eine Mitteilung über wesentliche Änderungen wird den Mitarbeitern über das Compliance-System des Unternehmens und anderen über die Website des Unternehmens zur Verfügung gestellt.
Nikki Matthews
Chefsyndikus & Datenschutzbeauftragter
Januar 2026
Anhang
A Glossar
Einwilligung: Einwilligung bedeutet „jede freiwillig gegebene, spezifische und informierte Willensbekundung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden personenbezogenen Daten signalisiert.“
Dennoch kann die Einwilligung auf verschiedene Weisen eingeholt werden. Dazu gehören Klauseln in Arbeitsverträgen, Ankreuzfelder bei Antworten auf Antrags- oder Kaufformulare und Klickfelder in Online-Formularen, in die personenbezogene Daten eingegeben werden.
In den meisten Ländern der Europäischen Union muss die Einwilligung zur Verarbeitung sensibler personenbezogener Daten klar und unmissverständlich sein. Dies bedeutet im Allgemeinen, dass eine Form der spezifischen, aktiven Einwilligung erforderlich ist. Diese Anforderung wird außerhalb der EU manchmal als weniger eindeutig empfunden.
Daten: Daten (unabhängig davon, ob sie einen Großbuchstaben am Anfang haben oder nicht) im Sinne dieser Richtlinie sind Informationen, die entweder:
- mit Hilfe von Geräten verarbeitet wird, die automatisch auf entsprechende Anweisungen hin arbeiten;
- mit der Absicht aufgezeichnet wird, dass sie mit Hilfe eines solchen Geräts verarbeitet werden soll;
- als Teil eines relevanten Ablagesystems aufgezeichnet wird oder mit der Absicht, dass es Teil eines relevanten Ablagesystems sein sollte;
- nicht unter eine der oben genannten Kategorien fällt, aber Teil einer leicht zugänglichen Aufzeichnung über eine Person ist.
Daten umfassen daher alle digitalen Daten von Computern oder automatisierten Geräten, Telefonaufzeichnungen und alle manuellen Informationen, die Teil eines relevanten Dateisystems sind.
Datenverantwortlicher: Datenverantwortlicher ist eine Person, die (allein oder gemeinsam mit anderen) die Zwecke und die Art und Weise bestimmt, in der personenbezogene Daten verarbeitet werden oder werden sollen. Im Allgemeinen ist das Unternehmen selbst in den meisten Fällen der Datenverantwortliche.
Datenexporteur: Datenexporteur ist der Datenverantwortliche oder Datenverarbeiter, der die personenbezogenen Daten ins Ausland übermittelt.
Datenimporteur: Datenimporteur ist der Datenverantwortliche oder Datenverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zur weiteren Verarbeitung gemäß den Bestimmungen dieser Richtlinie und der entsprechenden Datenübertragungsvereinbarung zu erhalten.
Datenverarbeiter: Datenverarbeiter bezeichnet jede Person, außer einem Mitarbeiter des Datenverantwortlichen, die die Daten im Auftrag des Datenverantwortlichen verarbeitet. Ein Unternehmen kann ein Datenverarbeiter sein, wenn dies vertraglich mit dem Datenverantwortlichen so definiert ist.
Datenschutzbehörde: Eine Stelle, die mit dem Schutz von Daten und der Privatsphäre beauftragt ist. Die Behörden sind eingerichtet, um Informationsrechte sowohl im öffentlichen als auch im privaten Interesse zu wahren.
Datenschutzgesetze: Der Data Protection Act 2018 und die Datenschutz-Grundverordnung (Verordnung EU 2016/679); alle Datenschutzgesetze außerhalb der EU in Ländern, in denen ATPI tätig ist; und die Electronic Communications (EC Directive) Regulations 2003 und alle Änderungen daran.
Datensicherheit: Maßnahmen, die der Verantwortliche und der Verarbeiter zur Einhaltung der Datenschutzgrundsätze durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umsetzen müssen, um ein dem Risiko für die Rechte und Freiheiten von Personen angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.
Betroffene Person: Betroffene Person bezeichnet die Person, auf die sich Daten beziehen. Betroffene Personen sind Kunden und Webnutzer, Personen auf Kontakt-/E-Mail-Listen oder Marketingdatenbanken, Mitarbeiter, Auftragnehmer und Lieferanten.
Personenbezogene Daten: Personenbezogene Daten sind Daten, die sich auf eine lebende Person beziehen, die anhand dieser Daten oder anhand dieser Daten und anderer Informationen identifiziert werden kann, die sich im Besitz eines Datenverantwortlichen oder Datenverarbeiters befinden oder wahrscheinlich in dessen Besitz gelangen werden. Personenbezogene Daten umfassen keine Informationen, die anonymisiert, verschlüsselt oder auf andere Weise von ihren Kennungen befreit wurden, oder Informationen, die öffentlich zugänglich sind, es sei denn, sie werden mit anderen nicht öffentlichen personenbezogenen Informationen kombiniert.
Verarbeitung: Verarbeitung umfasst eine Vielzahl von Vorgängen im Zusammenhang mit Daten, einschließlich des Erhebens, Speicherns oder Aufbewahrens der Daten oder der Durchführung jeglicher Operation oder Reihe von Operationen mit den Daten, einschließlich:
- Organisation, Anpassung oder Veränderung;
- Offenlegung durch Übermittlung, Verbreitung oder auf andere Weise; und
- Ausrichtung, Kombination, Sperrung, Löschung oder „Verarbeitet“ sind entsprechend auszulegen.
Relevantes Ablagesystem: Relevantes Ablagesystem ist jede Sammlung von Informationen, die sich auf Einzelpersonen beziehen,
unabhängig davon, ob sie in manuellen oder elektronischen Dateien geführt werden, die entweder unter Bezugnahme auf Einzelpersonen oder unter Bezugnahme auf Kriterien in Bezug auf Einzelpersonen so strukturiert sind, dass bestimmte Informationen in Bezug auf eine bestimmte Einzelperson leicht zugänglich sind.
Daher fallen alle digitalen Datenbanken und/oder organisierten manuellen Dateien, die sich auf identifizierbare lebende Personen beziehen, in den Geltungsbereich der Datenschutzgesetze und -bestimmungen, während eine Datenbank mit rein statistischen oder finanziellen Informationen (die weder direkt noch indirekt mit identifizierbaren lebenden Personen in Verbindung gebracht werden können) nicht darunter fällt.
Sensible Daten: Sensible Daten sind personenbezogene Daten, die Informationen über Folgendes enthalten:
- Ethnie oder ethnische Herkunft;
- Religiöse Überzeugungen oder andere Überzeugungen ähnlicher Art;
- Politische Meinungen;
- Körperliche oder geistige Gesundheit oder Zustand;
- Sexuelle Vorgeschichte oder Orientierung;
- Mitgliedschaft in einer Gewerkschaft;
- Begehung oder mutmaßliche Begehung einer Straftat und jedes zugehörige Gericht
Technologie: Technologie ist weit auszulegen und umfasst alle Mittel zur Erfassung oder Verarbeitung von Daten, einschließlich, aber nicht beschränkt auf, Computer und Netzwerke, Telekommunikationssysteme, Video- und Audioaufzeichnungsgeräte, biometrische Geräte, geschlossene Fernsehsysteme usw.
Link zum DSA-Antragsformular
Link zur GDPR-Datenschutzerklärung