Begriffsbestimmungen

Die Definitionen der in diesem Dokument verwendeten Begriffe sind Art. 4 der Datenschutzgrundverordnung (DSGVO) und der entsprechenden italienischen Gesetzgebung entnommen (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003):
Personenbezogene Daten: sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Besondere Kategorien von personenbezogenen Daten: diese Daten sind ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel und verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese Kategorien von Daten umfassen personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Verantwortlicher: bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter: bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verarbeitung: bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Anonymisierung: bezeichnet eine unumkehrbare Anonymisierung personenbezogener Daten, sodass sie nicht länger einer bestimmten betroffenen Person zugeordnet werden können, ohne zusätzliche Informationen heranzuziehen, vorausgesetzt, diese zusätzlichen Informationen werden getrennt aufbewahrt und durch technische und organisatorische Maßnahmen geschützt, die sicherstellen, dass die personenbezogenen Daten keiner identifizierten oder identifizierbaren natürlichen Person zugeordnet werden. Die Pseudonymisierung dagegen reduziert die Möglichkeit der Zuordnung der personenbezogenen Daten zu einer spezifischen betroffenen Person, schließt sie aber nicht völlig aus. Da pseudonymisierte Daten weiterhin personenbezogene Daten sind, muss ihre Verarbeitung im Einklang mit den Grundsätzen für die Verarbeitung personenbezogener Daten erfolgen.
Grenzüberschreitende Verarbeitung: bezeichnet entweder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist; oder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.
Aufsichtsbehörde: bezeichnet eine von einem Mitgliedstaat gemäß Artikel 51 der DSGVO eingerichtete unabhängige staatliche Stelle.
Federführende Aufsichtsbehörde: ist die letztlich für die Verwaltung eines grenzüberschreitenden Verarbeitungsvorgangs zuständige Aufsichtsbehörde, zum Beispiel, wenn eine betroffene Person eine Beschwerde bezüglich der Verarbeitung der sie betreffenden personenbezogenen Daten einreicht. Die federführende Aufsichtsbehörde ist auch für die Erfassung von Meldungen zu Datenschutzverletzungen und bedenklichen Verarbeitungen verantwortlich und hat in Bezug auf ihre Funktionen eine uneingeschränkte Befugnis, um die Übereinstimmung mit der EU-DSGVO sicherzustellen.
Jede „örtliche Aufsichtsbehörde“ bleibt in ihrem Gebiet zuständig und überwacht die Datenverarbeitung, die betroffene Personen berührt oder von einem Verantwortlichen oder Auftragsverarbeiter in der Europäischen Union oder außerhalb der Europäischen Union durchgeführt wird, sofern sich die Verarbeitung auf betroffene Personen bezieht, die in ihrem Gebiet wohnhaft sind. Zu ihren Pflichten und Befugnissen zählen die Durchführung von Untersuchungen und die Verhängung von Verwaltungsmaßnahmen und Verwaltungssanktionen, die Sensibilisierung der Öffentlichkeit für Gefahren, Regeln, Sicherheit und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten und der Zugang zu Räumlichkeiten des Verantwortlichen oder Auftragsverarbeiters der Daten, einschließlich der Werkzeuge oder Mittels der Verarbeitung.
„Hauptniederlassung eines Verantwortlichen“ mit Niederlassungen in mehr als einem Mitgliedstaat bezeichnet den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung.
„Hauptniederlassung eines Auftragsverarbeiters“ mit Niederlassungen in mehr als einem Mitgliedstaat bezeichnet den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt.
„Unternehmensgruppe“: ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

1. Ziel der Gruppe

Entsprechend den in der Geschäftsordnung verankerten Grundsätzen und Verhaltensregeln und den geltenden Richtlinien und Verfahren (wie sie im Laufe der Jahre, insbesondere seit Übernahme der Kontrolle durch die heutigen Gesellschafter der Gruppe, abgeändert, umgesetzt und ergänzt wurden) setzt die Fedrigoni-Gruppe ihr Engagement für Schutz, Vertraulichkeit und die Verteidigung der menschlichen Individualität und Würde im Zusammenhang mit der Verarbeitung personenbezogener Daten fort. Zu diesem Zweck verpflichtet sich die Fedrigoni-Gruppe insbesondere, weiterhin:
– die personenbezogenen Daten jeder Person zu schützen und zu sichern;
– die Vertraulichkeit des Privatlebens jeder Person sicherzustellen;
– die verfassungsmäßig garantierten Grundfreiheiten zu achten;
– die Identität, Persönlichkeit und Würde jedes Menschen zu achten;
– die Vertraulichkeit der Informationen über Arbeitnehmer, Kunden, Lieferanten und alle Drittparteien, die als natürliche Personen tätig sind, sowie über alle, die mit einzelnen Konzerngesellschaften in Beziehung stehen, zu schützen.

2. Verpflichtung der Gruppe

Die Fedrigoni-Gruppe verpflichtet sich, den Schutz personenbezogener Daten im Einklang mit den entsprechenden Verordnungen fortwährend zu verbessern durch:
a) die Sensibilisierung von Arbeitnehmern, Kunden, Lieferanten und allen betroffenen Parteien für die eingegangenen Verpflichtungen in Bezug auf Datenschutz und Informationssicherheit;
b) die Bestellung von Vertretern, die die notwendigen Anforderungen erfüllen und über die erforderlichen Kenntnisse und Befugnisse verfügen, um das korrekte Funktionieren des Datenverarbeitungssystems zu gewährleisten;
c) die Verwendung eines integrierten, einheitlich verwalteten Dokumentensystems (einheitliche und standardisierte Verfahren, Arbeitsanweisungen und Modelle in der gesamten Organisation);
d) wo personenbezogene Daten verarbeitet werden, die vollumfängliche Festlegung, Ergänzung, Anpassung und Überarbeitung der Unternehmensprozesse entsprechend den gesetzlichen Grundsätzen, die diese Verarbeitung regeln;
e) die Festlegung eines Organisationsmodells für den Datenschutz, das bei der Verarbeitung personenbezogener Daten in den verschiedenen Unternehmensprozessen einen effektiven, vorbeugenden Schutz gewährleistet.
f) die Anwendung der besten verfügbaren Techniken, unter Berücksichtigung ihrer wirtschaftlichen Nachhaltigkeit, um Schäden im Falle von Pannen oder Negativereignissen bei der Datenverarbeitung zu minimieren, einschließlich geeigneter Methoden zur Wiederherstellung bei unbeabsichtigter Schädigung bzw. unbeabsichtigtem Verlust;
g) die Förderung von Dialog und Diskussion auf der Grundlage gegenseitiger Transparenz mit allen Wirtschaftsteilnehmern wie Kunden und externen Mitarbeitern, unter gebührender Berücksichtigung ihrer Forderungen und Erwartungen hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen der von der Gruppe angewendeten Beteiligungs- und Kommunikationsinstrumente.

3. Datenschutzerklärung

Die Unternehmen der Fedrigoni-Gruppe verpflichten sich zum Schutz der personenbezogenen Daten, die aus gleich welchem Grund verarbeitet werden, und ergreifen Maßnahmen, welche den unten genannten allgemeinen Grundsätzen, den Anweisungen zur Nutzung von IT-Systemen und Internet am Arbeitsplatz und jeder anderen Geschäftsordnung oder Regelung entsprechen, die sich direkt oder indirekt auf Fragen des Schutzes personenbezogener Daten bezieht.

3.1 Richtlinien und Grundsätze für die Verarbeitung
Die Fedrigoni-Gruppe verpflichtet sich zur Datenverarbeitung im Einklang mit den entsprechenden Grundsätzen und in voller Übereinstimmung mit geltendem Recht.
Alle Daten werden in Einhaltung folgender Grundsätze verarbeitet:
1. Sie werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet;
Ref.: Grundsatz der Zweckbindung
2. Sie werden unter Einhaltung angemessener Sicherheits- und Vorbeugungsmaßnahmen erhoben und verarbeitet, die auf der Grundlage einer Risikobewertung entworfen und vor Beginn der Verarbeitung umgesetzt werden; es werden alle erforderlichen Schritte unternommen, um den Schutz der Daten durch geeignete technische und organisatorische Maßnahmen sicherzustellen, die ihre Integrität und Vertraulichkeit garantieren;
Ref.: Grundsatz der Sicherheit
3. Sie werden auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet, wobei geeignete Informationen über die Verwendung der Daten bereitgestellt werden und die Einwilligung der betroffenen Person für nicht notwendige Verarbeitungen bzw. für die Verarbeitung bestimmter Arten von Daten eingeholt wird, beispielsweise bei Daten, die den Gesundheitszustand der betroffenen Person, ihre ethnische Herkunft, ihre religiösen Überzeugungen usw. enthüllen könnten.
Ref.: Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
4. Es wird sichergestellt, dass die zur Verarbeitung der Daten verwendeten Methoden erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind;
Ref.: Grundsatz der Datenminimierung, Erheblichkeit, Verhältnismäßigkeit und datenschutzfreundlichen Voreinstellung
5. Sofern erforderlich, werden alle angemessenen Maßnahmen getroffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
Ref.: Grundsätze der Richtigkeit, Notwendigkeit, Angemessenheit und Wesentlichkeit
6. Die Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden;
Ref.: Grundsatz der Speicherbegrenzung und des Rechts auf Vergessenwerden
7. Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen;
Ref.: Grundsätze der Integrität und Vertraulichkeit
8. Es wird sichergestellt, dass die betroffene Person die Möglichkeit hat, Auskunft über die von ihr bereitgestellten Daten zu erhalten;
Ref.: Grundsatz der Datenübertragbarkeit
9. Es wird sichergestellt, dass jede neue Form der Datenverarbeitung in einer Weise entwickelt wird, die vor dem Hintergrund der Risiken, die sich vor ihrer Einführung abzeichnen, die notwendige Sicherheit garantiert. IT-Systeme müssen daher im Einklang mit diesem Grundsatz entwickelt werden;
Ref.: Konzept des eingebauten Datenschutzes
10. Es wird sichergestellt, dass die Daten infolge ihrer Verarbeitung nicht länger einer natürlichen Person zugeordnet werden können, ohne zusätzliche Informationen heranzuziehen, vorausgesetzt, diese zusätzlichen Informationen werden getrennt aufbewahrt und durch technische und organisatorische Maßnahmen geschützt, die sicherstellen, dass die personenbezogenen Daten nicht länger einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können;
Ref.: Pseudonymisierung
11. Die Datenverarbeitung wird so gestaltet, dass jede Verletzung der Sicherheit, die, aus gleich welchem Grund, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, den zuständigen Behörden und in ernsten Fällen der betroffenen Person in den gesetzlich vorgesehenen Fristen gemeldet wird.
Ref.: Grundsatz der Datenschutzverletzung

3.2 Erhebung und Verarbeitung von Informationen
Alle Unternehmen der Gruppe ergreifen Schritte und Vorsichtsmaßnahmen, um zu überprüfen, dass die Informationen, die personenbezogene Daten enthalten, in Bezug auf die Zwecke, zu denen sie verarbeitet werden, relevant, richtig, vollständig und aktuell sind. Personenbezogene Daten werden in Übereinstimmung mit dem Grundsatz der Datenminimierung gemäß Art. 5 Absatz 1 Buchstabe c) der Verordnung und dem einschlägigen italienischen Recht (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) verarbeitet. Dieser Grundsatz besagt, dass die Erhebung und Verarbeitung personenbezogener Daten so erfolgen muss, dass die Verwendung von Daten, welche die Identifizierung einer betroffenen Person ermöglichen, auf ein Mindestmaß reduziert wird.
Sofern bestimmte Verarbeitungsvorgänge oder -verfahren bzw. Verfahrensstadien keine klare Sichtbarmachung der personenbezogenen und Identifizierungsdaten von betroffenen Personen verlangen, müssen diese Verarbeitungsvorgänge unter Verwendung von Daten ausgeführt werden, die anonymisiert oder zumindest verschlüsselt wurden.
Um den Geist der DSGVO unter diesem Gesichtspunkt genauer zu verstehen, ist der Grundsatz der Verordnung und der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003), das heißt der Grundsatz der Rechenschaftspflicht, in Betracht zu ziehen: Alle Unternehmen der Gruppe, welche die Regeln und Grundsätze der DSGVO anzuwenden und einzuhalten haben, müssen zunächst über den Kontext, in dem sie tätig sind, die Ausrüstung, zu der sie Zugang haben, und die Inhalte ihrer Tätigkeiten umfassend unterrichtet werden. Nur wenn diese interne Unterrichtung durchgeführt wird, um die Organisation kennenzulernen, kann der „Datenschutz-Status“ des Unternehmens tatsächlich eingeschätzt werden.
Um dem Grundsatz der Rechenschaftspflicht zu entsprechen, müssen die Unternehmen der Gruppe praktisch immer imstande sein, die Entscheidungen, die sie auf der Grundlage der Verordnung treffen, zu rechtfertigen, insbesondere bei Inspektionen.

3.3 Integrität der Daten
Im Einklang mit Art. 5 der EU-Verordnung und auf der Grundlage der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) verarbeitet die Fedrigoni-Gruppe personenbezogene Daten nach folgenden allgemeinen Kriterien:
• die Verarbeitungsvorgänge müssen auf rechtmäßige, nachvollziehbare und korrekte Weise durchgeführt werden;
• die verarbeiteten Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
• die verarbeiteten Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein;
• die verarbeiteten Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein;
• die verarbeiteten Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
• die Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

3.4 Freie Wahl und Einwilligung
Die Konzerngesellschaften kommen der Verpflichtung nach, die Einwilligung der betroffenen Person einzuholen, wie in Art. 6 und Art. 7 der Verordnung und in der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) dargelegt. Die Gruppe stellt sicher, dass die Einwilligung in gültiger Form erteilt wird, indem sie Folgendes garantiert:
• vor der Einwilligung wurden korrekte und umfassende Datenschutzinformationen bereitgestellt;
• die Einwilligung wird freiwillig und unmissverständlich erteilt;
• die Einwilligung bezieht sich nur auf einen bestimmten Verarbeitungsvorgang;
• die Einwilligung ist auch in Bezug auf die Art der erhobenen Daten (zum Beispiel Nutzung sensibler Daten) schriftlich dokumentiert.
Im Einklang mit Art. 6 Absatz 1 Buchstabe b) der Verordnung und der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) ist die Einwilligung nicht erforderlich, wenn:
• die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen;
• die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
• die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

3.5 Datenschutzinformationen
Die Fedrigoni-Gruppe sorgt dafür, dass alle Verarbeitungsvorgänge mit den Vorschriften von Art. 13 und Art. 14 der Verordnung (Information) und der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) im Einklang stehen. Die betroffene Person muss stets angemessen informiert werden, wenn bei ihr Daten erhoben werden; sofern dies nicht möglich ist, weil die personenbezogenen Daten von Dritten erhoben werden, muss die betroffene Person so bald wie möglich, jedenfalls innerhalb eines Monats ab Erhebung der Daten bzw. zum Zeitpunkt des ersten Kontakts mit ihr, darüber unterrichtet werden.
Die Inhalte der bereitzustellenden Informationen sind in Art. 13 Absatz 1 und Art. 14 Absatz 1 der Verordnung sowie in der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) genannt, wie nachstehend angeführt, und sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Die Gruppe teilt der betroffenen Person in ihrer Datenschutzerklärung Folgendes mit:
• den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
• eine Beschreibung der berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten, wo der Verarbeitungsvorgang seine Rechtsgrundlage hat, verfolgt werden;
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und die Datenschutzvorkehrungen im Zusammenhang mit dieser Übermittlung;
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• wie die betroffene Person ihre in der DSGVO verankerten Rechte ausüben kann;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Die Gruppe lässt keine stillschweigende oder mutmaßliche Einwilligung zu.

3.6 Recht auf Auskunft über personenbezogene Daten und weitere Rechte der betroffenen Person
Die Fedrigoni-Gruppe sichert allen betroffenen Personen, deren personenbezogene Daten verarbeitet werden, die freie Ausübung der in Artikel 15-22 der Verordnung und in der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) verankerten Rechte zu.
Im Einzelnen hat die betroffene Person das Recht:
• eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten;
• Widerspruch gegen einen bestimmten Verarbeitungsvorgang personenbezogener Daten aus berechtigten Gründen zu erheben, damit die Verarbeitung definitiv eingestellt wird;
• die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
• von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen und die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen;
• zu verlangen, dass ihre Daten allein zu Zwecken der Speicherung verarbeitet werden, unter Ausschluss jeder anderen Verarbeitung;
• die Löschung der sie betreffenden personenbezogenen Daten zu verlangen, sofern berechtigte Gründe vorliegen.

3.7 Übermittlung personenbezogener Daten
Alle Konzerngesellschaften verpflichten sich, erforderliche Maßnahmen zu ergreifen, um sicherzustellen, dass die Übermittlung personenbezogener Daten im Einklang mit den geltenden Gesetzen erfolgt, auch wenn sie von Dritten vorgenommen wird, die als Subunternehmen handeln. Die Verordnung regelt die Übermittlung von Daten zwischen den Mitgliedstaaten der Europäischen Union und den Ländern des Europäischen Wirtschaftsraums (Norwegen, Island, Liechtenstein) im Einklang mit dem Grundsatz des freien Verkehrs personenbezogener Daten.
Für die Übermittlung der Daten an Länder, die nicht zur EU bzw. zum EWR gehören, müssen eine oder mehrere der folgenden Voraussetzungen erfüllt sein:
• das Rechtssystem des Ziel- oder Transitlandes der Daten stellt ein von der Europäischen Kommission als „angemessen“ erachtetes Schutzniveau für die Person sicher;
• Vertragsinstrumente, die angemessene Garantien bieten (Standardvertragsklauseln, verbindliche Datenschutzvorschriften, usw.), wurden verwendet;
• die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt (für besondere Daten schriftlich), nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde;
• die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich;
• die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einem Dritten geschlossenen Vertrags erforderlich;
• die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig;
• die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich;
• die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.

4. Verwaltungssanktionen

Verstöße gegen die Bestimmungen der Verordnung und der entsprechenden italienischen Gesetzgebung (gesetzesvertretendes Dekret Nr. 196 vom 30. Juni 2003) ziehen Verwaltungssanktionen in Höhe von bis zu 20.000 Euro für den Verantwortlichen nach sich.
Art. 83 der DSGVO sieht zwei Arten von Geldbußen für Verstöße gegen die Verordnung – weniger schwere und schwerere Verstöße – vor.
Laut Art. 83 Absatz 4 werden zum Beispiel bei Verstößen des Verantwortlichen oder des Auftragsverarbeiters gegen Bestimmungen des Buchstaben a) Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt.
Absatz 5 Buchstabe b) von Art. 83 der DSGVO setzt fest, dass der Verstoß gegen die in Artikel 15-22 genannten Rechte der betroffenen Person als schwerer Verstoß zu betrachten ist, der zu Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs führt, je nachdem, welcher der Beträge höher ist.

5. Aufsicht und Audits

Mit der vorliegenden Datenschutzerklärung verpflichtet sich die Fedrigoni-Gruppe, die Einhaltung der Erklärung und der verbundenen Dokumente des Unternehmens auch im Hinblick auf die Anwendung technischer Maßnahmen für eine angemessene Verarbeitung zu überwachen; die in dieser Erklärung enthaltenen Bestimmungen sind von allen Empfängern zu achten. Diese Erklärung wird durch Veröffentlichung an dem Personal vorbehaltenen Anschlagtafeln so umfassend wie möglich verbreitet. Neuen Arbeitnehmern und Mitarbeitern wird eine Kopie ausgehändigt. Jede Änderung bzw. Ergänzung dieser Erklärung muss vom Compliance-Verantwortlichen der Gruppe genehmigt werden. Er koordiniert die Tätigkeiten, um die Einhaltung der Regeln zu gewährleisten, arbeitet mit der Geschäftsführung zusammen und informiert die Unternehmensdienste unverzüglich über jede Änderung.