Datenschutzerklärung

Die Mitsubishi Chemical Gruppe verpflichtet sich, die Rechte und Freiheiten des Ein- zelnen bei der Verarbeitung seiner persönlichen Daten zu schützen. Die Gewährleis- tung des Datenschutzes ist die Grundlage für vertrauensvolle Geschäftsbeziehungen und den Ruf unseres Unternehmens als attraktiver Arbeitgeber. Diese Datenschut- zerklärung gilt in vollem Umfang für Mitsubishi Chemical Unternehmen und basiert auf anerkannten, grundlegenden Prinzipien des Datenschutzes, insbesondere in Eu- ropa. Wenn Sie Fragen haben oder Zweifel an der Anwendung dieser Richtlinie oder des Gesetzes haben, wenden Sie sich bitte an die Rechtsabteilung.

1. DEFINITION

1.1 Personenbezogene Daten sind Daten, die lebende Personen identifizieren können.
Sie kann neben Bildern, Namen und Kontaktdaten auch numerische oder statistische
Informationen enthalten, aus denen sich die Identität einer Person ableiten lässt.

1.2 Sensible personenbezogene Daten sind personenbezogene Daten über die rassi- sche oder ethnische Herkunft, Gesundheit, Daten über Gesundheit oder Sexualleben und sexuelle Orientierung, politische Meinungen, Gewerkschaftszugehörigkeit, Straf- register oder religiöse oder philosophische Überzeugungen und gemäß GDPR auch genetische Daten und biometrische Daten. Diese Daten müssen bei der Erhebung, Verarbeitung und Übermittlung besonders geschützt berücksichtigt werden.

1.3 Daten gelten als anonymisiert, wenn die persönliche Identität von niemandem nach- vollzogen werden kann oder wenn die persönliche Identität nur mit unangemessenem Aufwand wiederhergestellt werden kann.

1.4 Ein Betroffener ist die Person, die Gegenstand personenbezogener Daten ist. In einigen Ländern können auch juristische Personen betroffen sein.

1.5 Eine verantwortliche Stelle bestimmt die Zwecke, für die personenbezogene Daten verarbeitet werden. Der für die Verarbeitung Verantwortliche ist letztendlich für die personenbezogenen Daten verantwortlich, unabhängig davon, ob sie an einen Bear- beiter weitergegeben werden oder nicht. Dies schließt die Verantwortung für die Be- antwortung von Zugriffsanfragen und Beschwerden der betroffenen Personen ein.

1.6 Der Europäische Wirtschaftsraum (EWR) ist eine mit der EU assoziierte Wirt- schaftsregion und umfasst Norwegen, Island und Liechtenstein

1.7 Ein Verantwortlicher ist jemand, der personenbezogene Daten im Auftrag und zu den vom Inhaber der Datenverarbeitung festgelegten Zwecken verarbeitet.

1.8 Dritte sind alle Personen außer der betroffenen Person und dem für die Verarbeitung
Verantwortlichen.

1.9 Übermittlung ist jede Weitergabe von geschützten Daten durch die verantwortliche
Stelle an Dritte.

2. ZWECK

Dieses Dokument beschreibt die Datenschutzpolitik von Mitsubishi Chemical („Mit- subishi“). Sie gibt einen Überblick über die Anforderungen an den Datenschutz und bietet Orientierungshilfen.

3. ANWENDUNG

Diese Datenschutzerklärung gilt für Mitsubishi Chemical, alle Konzerngesellschaften, verbundene Unternehmen und deren Mitarbeiter. Die Datenschutzerklärung erstreckt sich auf die gesamte Verarbeitung personenbezogener Daten. In Ländern, in denen die Daten juristischer Personen in gleichem Maße geschützt sind wie personenbezo- gene Daten, gilt diese Datenschutzerklärung auch für Daten juristischer Personen. Anonymisierte Daten unterliegen nicht dieser Datenschutzerklärung.

3.1 Diese Datenschutzerklärung umfasst die international anerkannten Datenschutz- grundsätze, ohne die bestehenden nationalen Gesetze zu ersetzen. Sie ergänzt die nationalen Datenschutzgesetze. Das jeweilige nationale Recht hat Vorrang, wenn es im Widerspruch zu dieser Datenschutzerklärung steht oder strengere Anforderungen als diese Datenschutzerklärung stellt. Der Inhalt dieser Datenschutzerklärung ist auch in Ermangelung entsprechender nationaler Rechtsvorschriften zu beachten.

3.2 Jeder Verstoß gegen diese Datenschutzerklärung kann dazu führen, dass Mitsubishi als Inhaber der Datenverarbeitung (und in einigen Fällen auch Einzelpersonen) gegen die Datenschutzbestimmungen verstößt und somit gesetzlich für die Folgen eines sol- chen Verstoßes haftet. Es ist die Verantwortung aller Mitarbeiter, die mit personen- bezogenen Daten in Mitsubishi Unternehmen umgehen, dafür zu sorgen, dass diese sicher aufbewahrt werden. Personenbezogene Daten sollten in keiner Form, weder versehentlich noch anderweitig, an unbefugte Dritte weitergegeben werden. Jede Verletzung oder Nichteinhaltung dieser Datenschutzrichtlinie, insbesondere jede ab- sichtliche Weitergabe personenbezogener Daten an unbefugte Dritte, kann zu diszip- linarischen oder anderen geeigneten Maßnahmen führen.

4. GRUNDSÄTZE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

4.1 Fairness und Rechtmäßigkeit

Bei der Verarbeitung personenbezogener Daten müssen die individuellen Rechte der Betroffenen geschützt werden. Personenbezogene Daten müssen rechtmäßig und fair erhoben und verarbeitet werden.

4.2 Zweckbindung

Personenbezogene Daten müssen für festgelegte, eindeutige und rechtmäßige Zwe- cke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterver- arbeitet werden. Personenbezogene Daten können nur zu dem Zweck verarbeitet werden, der vor der Datenerhebung festgelegt wurde. Nachträgliche Änderungen des Zwecks sind nur eingeschränkt möglich und bedürfen der Begründung.

4.3 Transparenz

Die betroffene Person muss darüber informiert werden, wie mit ihren Daten umge- gangen wird. Im Allgemeinen müssen personenbezogene Daten direkt von der be- troffenen Person erhoben werden. Bei der Erhebung der Daten muss die betroffene Person entweder die Identität des für die Verarbeitung Verantwortlichen, den Zweck der Datenverarbeitung und Dritte oder Kategorien von Dritten, an die die Daten über- mittelt werden könnten, kennen oder darüber informiert sein.

4.4 Datenminimierung

Personenbezogene Daten müssen angemessen, relevant und auf diejenigen be- schränkt sein, die für die Zwecke, für die sie verarbeitet werden, erforderlich sind. Vor der Verarbeitung personenbezogener Daten ist zu prüfen, ob und inwieweit die Ver- arbeitung personenbezogener Daten notwendig ist, um den Zweck zu erreichen, zu dem sie vorgenommen wird. Soweit es der Zweck zulässt und der Aufwand in einem angemessenen Verhältnis zum verfolgten Ziel steht, sind anonymisierte oder statisti- sche Daten zu verwenden. Personenbezogene Daten dürfen nicht im Voraus erhoben und für mögliche zukünftige Zwecke gespeichert werden, es sei denn, dies ist nach nationalem Recht erforderlich oder zulässig.

4.5 Löschen

Nach Ablauf der gesetzlichen oder geschäftsprozessbezogenen Fristen müssen nicht mehr benötigte personenbezogene Daten gelöscht werden. Im Einzelfall kann ein Hinweis auf schutzwürdige Interessen oder historische Bedeutung dieser Daten vor- liegen. Wenn ja, müssen die Daten so lange aufbewahrt werden, bis die schutzwür- digen Interessen rechtlich geklärt sind oder das Unternehmensarchiv die Daten da- raufhin ausgewertet hat, ob sie für historische Zwecke aufbewahrt werden müssen.

4.6 Genauigkeit

Personenbezogene Daten müssen richtig, vollständig und – falls erforderlich – auf dem neuesten Stand sein. Es sind alle zumutbaren Maßnahmen zu treffen, um sicherzu- stellen, dass unrichtige oder unvollständige Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

4.7 Speicherbegrenzung

Personenbezogene Daten müssen in einer Form aufbewahrt werden, die eine Identi- fizierung der betroffenen Personen nicht länger als für die Zwecke, für die die perso- nenbezogenen Daten verarbeitet werden, erforderlich ist. Personenbezogene Daten können für längere Zeiträume gespeichert werden, sofern die Daten ausschließlich zu Archivierungszwecken im öffentlichen Interesse oder zu wissenschaftlichen und historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89
Absatz 1 GDPR verarbeitet werden und sofern geeignete technische und organisato- rische Maßnahmen getroffen werden.

4.8 Vertraulichkeit und Datensicherheit

Personenbezogene Daten unterliegen dem Datengeheimnis. Sie sind vertraulich zu behandeln und durch geeignete organisatorische und technische Maßnahmen gegen unbefugten und unrechtmäßigen Zugriff, unrechtmäßige Verarbeitung oder Verbrei- tung sowie gegen zufälligen Verlust, Beschädigung, Veränderung oder Zerstörung zu sichern. Dies gilt für Papier- und elektronische Aufzeichnungssysteme. Systeme soll- ten zugriffskontrolliert sein, das Personal entsprechend geschult und Sicherheitspro- zesse entwickelt und verstanden werden. Eine angemessene Überwachung und Be- richterstattung über Datensicherheitsrisiken, -initiativen und -entwicklungen ist durch- zuführen.

4.9 Datengeheimnis

Personenbezogene Daten unterliegen dem Datengeheimnis. Die Datenschutzbestim- mungen verlangen, dass Mitarbeiter, die mit personenbezogenen Daten umgehen, Vertraulichkeit wahren (Datengeheimnis). Personen, die mit der Datenverarbeitung befasst sind, dürfen personenbezogene Daten nicht unbefugt erheben, verarbeiten oder nutzen (Vertraulichkeit). Sie sind verpflichtet, diese Vertraulichkeit auch nach Beendigung ihrer Tätigkeit zu wahren. Es gilt das „need to know“-Prinzip (Kenntnis nur bei Bedarf). Die Arbeitnehmer haben nur dann Zugang zu personenbezogenen Daten, wenn dies für die Art und den Umfang der jeweiligen Aufgabe angemessen ist. Dies erfordert eine sorgfältige Aufteilung und Trennung sowie die Umsetzung von Rollen und Verantwortlichkeiten.

Es ist den Mitarbeitern untersagt, personenbezogene Daten für private oder gewerb- liche Zwecke zu verwenden, unbefugten Personen zugänglich zu machen oder in sonstiger Weise zur Verfügung zu stellen. Diese Verpflichtung gilt auch nach Beendi- gung des Arbeitsverhältnisses.

4.10 Verantwortlichkeit

Der für die Verarbeitung Verantwortliche ist für die Einhaltung dieser Grundsätze ver- antwortlich und kann diese nachweisen.

4.11 Datenschutz durch Design und Standard

Der für die Verarbeitung Verantwortliche trifft geeignete technische und organisatori- sche Maßnahmen, um sicherzustellen, dass standardmäßig nur die personenbezo- genen Daten verarbeitet werden, die für den jeweiligen Zweck der Verarbeitung er- forderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezo- genen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Diese Maßnahmen stellen insbesondere sicher, dass personenbezo- gene Daten nicht ohne Zutun einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden.

5. DATENVERARBEITUNG

5.1 Datenverarbeitung-Einwilligung

Die Daten können nach Einwilligung des Betroffenen verarbeitet werden. Vor Ertei- lung der Einwilligung ist die betroffene Person zu informieren. Die Einverständniser- klärung muss schriftlich oder elektronisch zu Dokumentationszwecken eingeholt wer- den. Unter bestimmten Umständen, wie z.B. bei Telefongesprächen, kann die Einwil- ligung mündlich erteilt werden. Die Erteilung der Zustimmung ist zu dokumentieren.

Die Zustimmung muss eine frei gegebene, spezifische, informierte und eindeutige Angabe der Wünsche des Einzelnen sein. Es muss eine klare Form des Einverständ- nisses geben. Die Einwilligung kann nicht aus Schweigen, vorgemerkten Kästchen oder Inaktivität hergeleitet werden. Die Zustimmung muss auch von anderen Bedin- gungen getrennt sein. Es muss einfache Möglichkeiten geben, die Zustimmung zu widerrufen.

5.2 Datenverarbeitung – gesetzliche Bedingungen

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn die natio- nale Gesetzgebung dies verlangt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung notwendig sein und den ein- schlägigen gesetzlichen Bestimmungen entsprechen.

5.3 Automatische Einzelentscheidungen

Die automatisierte Verarbeitung personenbezogener Daten, die zur Beurteilung be- stimmter Aspekte (z.B. Bonität) verwendet wird, kann nicht die alleinige Grundlage für Entscheidungen sein, die negative Rechtsfolgen haben oder die den Betroffenen er- heblich beeinträchtigen könnten. Die betroffene Person muss über die Fakten und Ergebnisse automatisierter Einzelentscheidungen und die Möglichkeit der Reaktion informiert werden. Eine Prüfung und Plausibilitätsprüfung muss von einem Mitarbeiter durchgeführt werden.

5.4 Benutzerdaten

Werden personenbezogene Daten auf Websites oder in Apps erhoben, verarbeitet und genutzt, sind die Betroffenen in einer Datenschutzerklärung und ggf. Informatio- nen über Cookies zu informieren. Die Datenschutzerklärung und alle Cookie-Informa- tionen müssen so integriert sein, dass sie für die Betroffenen leicht zu identifizieren, direkt zugänglich und konsistent verfügbar sind.

Werden Nutzungsprofile (Tracking) zur Auswertung der Nutzung von Websites und Apps erstellt, sind die Betroffenen in der Datenschutzerklärung stets entsprechend zu informieren. Eine personenbezogene Verfolgung darf nur erfolgen, wenn dies nach nationalem Recht oder nach Zustimmung der betroffenen Person zulässig ist. Wenn das Tracking ein Pseudonym verwendet, sollte der Betroffene die Möglichkeit haben, sich in der Datenschutzerklärung abzumelden.

Wenn Websites oder Apps in einem auf registrierte Nutzer beschränkten Bereich auf personenbezogene Daten zugreifen können, muss die Identifizierung und Authentifi- zierung des Betroffenen einen ausreichenden Schutz beim Zugriff bieten.

5.5 Datenverarbeitung für ein Vertragsverhältnis

Personenbezogene Daten der jeweiligen Interessenten, Kunden und Partner können zur Begründung, Durchführung und Kündigung eines Vertrages verarbeitet werden. Dazu gehört auch die Beratung des Vertragspartners, wenn dies im Zusammenhang mit dem Vertragszweck steht. Vor einem Vertrag – während der Vertragsanbahnungs- phase – können personenbezogene Daten verarbeitet werden, um Angebote oder Be- stellungen zu erstellen oder andere Anfragen des Interessenten zu erfüllen, die sich auf den Vertragsabschluss beziehen. Interessenten können während des Vertrags- vorbereitungsprozesses unter Verwendung der von ihnen bereitgestellten Informatio- nen kontaktiert werden. Die von den Interessenten geforderten Einschränkungen müssen eingehalten werden. Für darüber hinausgehende Werbemaßnahmen sind folgende Anforderungen zu beachten.

5.6 Datenverarbeitung für Werbezwecke

Wendet sich der Betroffene an ein Mitsubishi-Unternehmen, um Informationen anzu- fordern (z.B. Anforderung von Informationsmaterial über ein Produkt), ist eine Daten- verarbeitung zur Erfüllung dieser Anforderung zulässig. Kundenbindungs- oder Wer- bemaßnahmen unterliegen weiteren gesetzlichen Anforderungen. Personenbezo- gene Daten können zu Werbezwecken oder zur Markt- und Meinungsforschung ver- arbeitet werden, sofern dies mit dem Zweck vereinbar ist, zu dem die Daten ursprüng- lich erhoben wurden. Der Betroffene muss über die Verwendung seiner Daten zu Werbezwecken informiert sein. Sofern Daten nur zu Werbezwecken erhoben werden, ist die Offenlegung durch den Betroffenen freiwillig. Die betroffene Person wird darauf hingewiesen, dass die Angabe von Daten zu diesem Zweck freiwillig ist. Bei der Kom-

munikation mit dem Betroffenen ist von ihm die Einwilligung zur Verarbeitung der Da- ten zu Werbezwecken einzuholen. Bei der Einwilligung sollte der Betroffene zwischen den verfügbaren Kontaktmöglichkeiten wie Post, E-Mail und Telefon wählen können. Lehnt der Betroffene die Nutzung seiner Daten zu Werbezwecken ab, können diese für diese Zwecke nicht mehr verwendet werden und müssen für diese Zwecke ge- sperrt werden. Weitere länderspezifische Einschränkungen bei der Nutzung der Da- ten für Werbezwecke sind zu beachten

6. ÜBERMITTLUNG PERSONENBEZOGENER DATEN

6.1 Die Übermittlung personenbezogener Daten ist nur mit Zustimmung des Betroffenen erlaubt oder wenn dies gesetzlich vorgeschrieben oder zulässig ist.

6.2 Die im Internet veröffentlichten Informationen sind als Export von Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes zu betrachten. Für die Speicherung oder Übermittlung sensibler personenbezogener Daten sollten keine webbasierten oder Cloud-Dienste verwendet werden, es sei denn, dies wurde mit dem Datenschutzbeauftragten vereinbart.

6.3 Werden personenbezogene Daten von einer Konzerngesellschaft mit Sitz in der Eu- ropäischen Union/Europäischer Wirtschaftsraum an eine Konzerngesellschaft oder einen Dritten mit Sitz außerhalb der Europäischen Union/Europäischer Wirtschafts- raum (Drittstaat) übermittelt, sollte der Datenschutzbeauftragte kontaktiert werden, um allen Vorgaben und Anweisungen der Aufsichtsbehörde hinsichtlich der Verarbei- tung der übermittelten Daten nachzukommen. Gleiches gilt für die Datenübermittlung durch Konzerngesellschaften aus anderen Ländern. Sind sie Teil eines internationa- len Zertifizierungssystems für verbindliche Unternehmensregeln zum Datenschutz, müssen sie die Zusammenarbeit mit den zuständigen Revisionsstellen und Agentu- ren sicherstellen. Die Teilnahme an solchen Zertifizierungssystemen muss mit dem Datenschutzbeauftragten vereinbart werden.

7. DATENVERARBEITUNG IM AUFTRAG

7.1 Datenverarbeitung im Auftrag bedeutet, dass ein Anbieter beauftragt wird, personen- bezogene Daten zu verarbeiten, ohne dass ihm die Verantwortung für den zugehöri- gen Geschäftsprozess übertragen wird. In diesen Fällen ist eine Vereinbarung über die Datenverarbeitung im Auftrag mit externen Anbietern und zwischen dem Unter- nehmen der Mitsubishi-Gruppe abzuschließen.

7.2 Bei der Auftragserteilung sind folgende Anforderungen zu beachten; die bestellenden
Abteilungen müssen sicherstellen, dass alle gesetzlichen Auflagen erfüllt werden.

7.3 Der Anbieter ist nach seiner Fähigkeit auszuwählen, die erforderlichen technischen und organisatorischen Schutzmaßnahmen zu gewährleisten.

7.4 Personenbezogene Daten dürfen nur auf dokumentierte Anweisung des für die Ver- arbeitung Verantwortlichen verarbeitet werden. Der Verarbeiter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen sich zur Ver- schwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwie- genheitspflicht unterliegen.

7.5 Die Verarbeitung im Auftrag wird durch einen Vertrag geregelt, in dem Gegenstand, Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezoge- nen Daten und Kategorien der betroffenen Personen sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind. Die Hinweise zur Weiter- verarbeitung der Daten sind zu dokumentieren.

7.6 Vor Beginn der Datenverarbeitung muss der Kunde sicher sein, dass der Anbieter seinen Verpflichtungen nachkommt. Die Einhaltung der Anforderungen an die Daten- sicherheit kann ein Anbieter insbesondere durch eine entsprechende Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung müssen die Überprüfungen wäh- rend der Vertragslaufzeit regelmäßig wiederholt werden.

7.7 Nach Wahl des für die Verarbeitung Verantwortlichen löscht oder gibt er alle perso- nenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht ein Gesetz die Speicherung der personenbezoge- nen Daten vorschreibt.

7.8 Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informa- tionen zur Verfügung, die erforderlich sind, um die Einhaltung der gesetzlichen Ver- pflichtungen nachzuweisen und die Durchführung von Audits, einschließlich Inspekti- onen, durch den für die Verarbeitung Verantwortlichen oder einen anderen von ihm beauftragten Prüfer zu ermöglichen und dazu beizutragen.

7.9 Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchfüh- rung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verant- wortlichen beauftragt, gelten dieselben Datenschutzverpflichtungen wie im Vertrag o- der in anderen Rechtsakten zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter.

7.10 Bei grenzüberschreitender Auftragsdatenverarbeitung sind die jeweiligen nationalen Anforderungen an die Offenlegung personenbezogener Daten im Ausland zu erfüllen. Nehmen Sie in solchen Fällen bitte Kontakt mit dem Datenschutzbeauftragten auf.

8. RECHTE DER BETROFFENEN PERSONEN

8.1 Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten über sie gespeichert sind, wie und zu welchem Zweck sie erhoben wurde. Be- stehen weitergehende Rechte auf Einsicht in die Unterlagen des Arbeitgebers zum Arbeitsverhältnis (z.B. Personalakte), bleiben diese unberührt.

8.2 Werden personenbezogene Daten an Dritte weitergegeben, sind Angaben über die
Identität des Empfängers oder der Empfängergruppen zu machen.

8.3 Sind personenbezogene Daten unrichtig oder unvollständig, kann der Betroffene de- ren Berichtigung oder Ergänzung verlangen. Der Betroffene kann der Verarbeitung seiner Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung wi- dersprechen. Die Daten müssen dann für diese Art der Nutzung gesperrt werden.

8.4 Der Betroffene kann die Löschung seiner Daten verlangen, wenn die Verarbeitung dieser Daten keine Rechtsgrundlage hat oder die Rechtsgrundlage weggefallen ist. Dasselbe gilt, wenn der Zweck der Datenverarbeitung erloschen ist oder aus anderen Gründen weggefallen ist. Bestehende Aufbewahrungsfristen und widerstreitende schutzwürdige Interessen sind zu beachten.

8.5 Der Betroffene hat grundsätzlich ein Widerspruchsrecht gegen die Verarbeitung sei- ner Daten, das zu berücksichtigen ist, wenn der Schutz seiner Interessen aufgrund einer besonderen persönlichen Situation Vorrang vor dem Interesse des Inhabers der Datenverarbeitung hat. Dies gilt nicht, wenn eine gesetzliche Regelung die Verarbei- tung der Daten erfordert.

8.6 Die Rechte des Betroffenen auf Widerspruch, Datenübertragbarkeit, Einschränkung der Verarbeitung und Löschung („Recht auf Vergessen“) müssen respektiert werden.

8.7 Bitte informieren Sie den Datenschutzbeauftragten über eine solche Anfrage der be- troffenen Person.

9. DATENSCHUTZVORFÄLLE

9.1 Jeder unbefugte Zugriff auf oder die Offenlegung von persönlichen Daten oder andere Verstöße gegen die Datensicherheit sollten den Datenschutzbeauftragten und/oder dem Informationssicherheitsbeauftragten so schnell wie möglich gemeldet werden. Der für die Funktion zuständige Vorgesetzte oder die Abteilung ist verpflichtet, den zuständigen Datenschutzbeauftragten unverzüglich über Datenschutzvorfälle zu in- formieren.

9.2 Bei unzulässiger Weitergabe personenbezogener Daten an Dritte, unzulässigem Zu- griff Dritter auf personenbezogene Daten oder Verlust personenbezogener Daten sind die erforderlichen Unternehmensmeldungen (Informationssicherheits-Störfall- management) unverzüglich vorzunehmen, damit etwaige Meldepflichten nach natio- nalem Recht erfüllt werden können.

10. VERANTWORTLICHKEIT, SANKTIONEN

10.1 Die Organe der Konzerngesellschaften sind für die Datenverarbeitung in ihrem Ver- antwortungsbereich zuständig. Sie müssen daher sicherstellen, dass die gesetzlichen

und datenschutzrechtlichen Anforderungen (z.B. nationale Meldepflichten) erfüllt wer- den. Die Führungskräfte sind dafür verantwortlich, dass organisatorische, personelle und technische Maßnahmen getroffen werden, um eine datenschutzgerechte Daten- verarbeitung zu gewährleisten.

10.2 Die Einhaltung dieser Anforderungen liegt in der Verantwortung der jeweiligen Mitar- beiter. Führen amtliche Stellen Datenschutzkontrollen durch, ist der Datenschutzbe- auftragte unverzüglich zu informieren.

10.3 Die Datenschutzbeauftragten sind die Ansprechpartner vor Ort für den Datenschutz.
Sie können Prüfungen durchführen und müssen die Mitarbeiter mit dem Inhalt der Datenschutzrichtlinien vertraut machen. Das zuständige Management ist verpflichtet, den Datenschutzbeauftragten bei seinen Bemühungen zu unterstützen. Die für die Geschäftsabläufe und Projekte zuständigen Stellen müssen die Datenschutzbeauf- tragten rechtzeitig über die neue Verarbeitung personenbezogener Daten informie- ren. Für Datenverarbeitungspläne, die besondere Risiken für die individuellen Rechte der Betroffenen darstellen können, ist die Geschäftsführung zuständig. Der Daten- schutzbeauftragte ist vor Beginn der Verarbeitung zu informieren. Dies gilt insbeson- dere für besonders sensible personenbezogene Daten. Die Führungskräfte müssen sicherstellen, dass ihre Mitarbeiter ausreichend im Datenschutz geschult sind.

10.4 Die Datenschutzverantwortlichen und jeder Mitarbeiter informieren den Datenschutz- beauftragten unverzüglich über etwaige Datenschutzrisiken. Jede betroffene Person kann sich jederzeit an den Datenschutzbeauftragten oder den zuständigen Daten- schutzverantwortlichen wenden, um Bedenken zu äußern, Fragen zu stellen, Infor- mationen anzufordern oder Beschwerden bezüglich des Datenschutzes oder der Da- tensicherheit einzureichen. Anliegen und Beschwerden werden auf Wunsch vertrau- lich behandelt.

10.5 Unsachgemäße Verarbeitung personenbezogener Daten oder sonstige Verstöße ge- gen die Datenschutzgesetze können in vielen Ländern strafrechtlich verfolgt werden und zu Schadensersatzansprüchen führen. Verstöße, für die einzelne Mitarbeiter ver- antwortlich sind, können auch zu arbeitsrechtlichen Sanktionen führen.

Annex
Spezifika Wethje Carbon Composites GmbH (WCC)
Die Datenschutzerklärung der Gruppe gilt vollumfänglich auch für die Aktivitäten von WCC. Die Verarbeitung von personenbezogenen Daten durch WCC findet ausschließlich durch das
Unternehmen oder beauftragte Verarbeiter statt. Alle befinden sich in Deutschland und unter- liegen im vollen Umfang der DSGVO. Sofern die Verarbeitung durch Dritte erfolgt, existieren
entsprechende Datenschutz-Vereinbarungen. Die verwendeten Datenverarbeitungssysteme
sind entsprechend des aktuellen Stands der Technik gegen Missbrauch und Datenverlust ge- sichert.

WCC führt ein Prozessregister entsprechend der DSGVO.

WCC verarbeitet personenbezogene Daten vor allem im Bereich Personalverwaltung. In ge- ringerem Umfang werden personenbezogene Daten auch in Vertrieb, Einkauf und Produkti- onssteuerung verwendet. Dies geschieht auf Basis von Gesetzen und vertraglichen Vereinba- rungen.

Aufgrund der geringen Anzahl von Personen die „ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind“, hat WCC keinen Datenschutzbeauftragten bestimmt.

Rechtsabteilung im Sinne dieser Erklärung ist die Rechtsabteilung von Mitsubishi Chemical
Holdings Europe GmbH.