Datenschutzerklärung Allgemein FCA Germany GmbH (Stand Oktober 2018)
Inhaltsübersicht I.
PRÄAMBEL II.
VERANTWORTLICHER / DATENSCHUTZBEAUFTRAGTER / AUFSICHTSBEHÖRDE III.
ALLGEMEINE GRUNDSÄTZE IV.
KATEGORIEN PERSONENBEZOGENER DATEN V.
VERARBEITUNG PERSONENBEZOGENER DATEN VI.
BETROFFENENRECHTE I. PRÄAMBEL Nachfolgend möchten wir,
FCA Germany GmbH, Sie umfassend und im Detail darüber informieren, wie wir Ihre Privatsphäre schützen und mit personenbezogenen Daten umgehen
Bitte beachten Sie, dass für den Online-Bereich (Homepages und/oder Internetauftritte) eine ergänzende Datenschutzerklärung für Webseiten gilt. Diese können Sie unter dem Link „Datenschutzerklärung“ auf unseren Webseiten abrufen. Soweit die nachfolgenden Informationen nicht ausreichend oder nicht verständlich sein sollten, zögern Sie bitte nicht, sich für weitere Informationen und/oder bei Rückfragen an unseren Datenschutzbeauftragten unter den in Ziffer II genannten Kontaktdetails zu wenden.
II. VERANTWORTLICHER / DATENSCHUTZBEAUFTRAGTER / AUFSICHTSBEHÖRDE Nachfolgend finden Sie Informationen zu (i) Namen und Kontaktdaten der verantwortlichen Stelle, (ii) den Kontaktdaten des Datenschutzbeauftragten (soweit ein solcher zu bestellen ist) sowie (iii) die Kontaktdaten der für uns zuständigen Aufsichtsbehörde, an die Sie sich im Fall von Beschwerden wenden können:
VerantwortlicherFCA Germany GmbH
IPC D1-09 Bahnhofsplatz
65423 Rüsselsheim am Main
www.fiatprofessional.com/de Telefon: 06142 / 29 350 02 E-Mail: info.frankfurt@fcagroup.com
DatenschutzbeauftragterFCA Germany GmbH
IPC D1-09 Bahnhofsplatz
65423 Rüsselsheim am Main
Telefon: 06142 / 29 350 02
E-Mail:
datenschutzbeauftragter@stellantis.com Aufsichtsbehörde Der Hessische Datenschutzbeauftragte
Postfach 3163
65021 Wiesbaden
Tel.: +49 611 1408 – 0
Fax: +49 611 1408 – 611
https://datenschutz.hessen.de/ III. ALLGEMEINE GRUNDSÄTZE Im folgenden Kapitel möchten wir Sie zunächst mit unseren allgemeinen Grundsätzen für die Verarbeitung personenbezogener Daten vertraut machen, bevor wir Sie in den folgenden Kapiteln über den Umgang mit Ihren personenbezogenen Daten informieren.
1. Begriffsbestimmungen Die Begriffsbestimmungen und Definitionen in diesen Datenschutzhinweisen richten sich nach der Verordnung (EU) 679/2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („
Datenschutz-Grundverordnung“ oder „
DSGVO“) sowie nach dem Bundesdatenschutzgesetz („
BDSG“), in den ab dem 25.05.2018 geltenden Fassungen.
Bitte beachten Sie, dass die DSGVO sowie das BDSG nur bei der Verarbeitung personenbezogener Daten von natürlichen Personen Anwendung findet. 2. Verarbeitung personenbezogener Daten Wir erheben und verwenden personenbezogene Daten im Regelfall nur, soweit dies zur Erbringung und Bereitstellung unserer Leistungen erforderlich ist sowie in den in dieser Datenschutzerklärung aufgeführten Fällen. Eine darüberhinausgehende Verarbeitung personenbezogener Daten erfolgt nur, soweit dies durch gesetzliche Vorschriften ausdrücklich gestattet ist und/oder wir – soweit erforderlich – Ihre Einwilligung hierzu haben.
3. Mögliche Rechtsgrundlagen der Verarbeitung
Soweit personenbezogene Daten auf Basis einer Einwilligung der betroffenen Person verarbeitet werden, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage für die Verarbeitung. Bei der Verarbeitung von personenbezogenen Daten zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, ist Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage; dies gilt auch für Verarbeitungen, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Erfolgt eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen, ist Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage. Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, ist Art. 6 Abs. 1 lit. d DSGVO Rechtsgrundlage.
Erfolgt eine Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, ist Art. 6 Abs. 1 lit. f DSGVO Rechtsgrundlage der Verarbeitung.
Erfolgt eine Verarbeitung personenbezogener Daten im Rahmen einer sog. Zweckänderung, d.h. die Daten sollen zu anderen Zwecken als zu den Zwecken, zu den sie ursprünglich erhoben wurden, genutzt werden, ist Art. 6 Abs. 4 DSGVO Rechtsgrundlage.
Im Fall einer Verarbeitung besonderer Kategorien personenbezogener Daten iSd Art. 9 DSGVO, ist Rechtsgrundlage der Verarbeitung eine ausdrückliche Einwilligung der betroffenen Person gem. Art. 9 Abs. 2 lit a iVm Art. 6 Abs. 1 lit a DSGVO und/oder ein Erlaubnistatbestand nach Art. 9 Abs. 2 lit. b-j DSGVO.
4. Durchsetzung von Ansprüchen / Erfüllung rechtlicher Verpflichtungen Wir behalten uns vor, personenbezogene Daten zum Zwecke der Durchsetzung von Ansprüchen im Rahmen berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO zu verarbeiten; dies umfasst auch eine Übermittlung von Daten an die Schufa (siehe Ziffer V.1.7), Behörden und/oder Gerichte. Ebenso kann eine Verarbeitung und/oder Übermittlung von Daten zum Zwecke der Erfüllung gesetzlicher oder rechtlicher Verpflichtungen (z.B. Auskünften von Behörden etc.) erfolgen; Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit c DSGVO.
5. Einholung von Einwilligungen / Widerrufsrecht Einwilligungen nach Art. 6 Abs. 1 lit a DSGVO werden in der Regel schriftlich oder elektronisch eingeholt. Bei einer elektronischen Einwilligung erfolgt dies durch eine elektronische Unterschrift oder durch Setzen eines Häkchens in das entsprechende Feld zwecks Dokumentation der Einwilligungserteilung. Der Inhalt der Einwilligungserklärung wird elektronisch protokolliert.
Widerrufsrecht: Bitte beachten Sie, dass eine einmal erteilte Einwilligung – gleich, ob diese auf Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit a DSGVO beruht - jederzeit mit Wirkung für die Zukunft – vollständig oder teilweise – widerrufen werden kann; die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt. Einen etwaigen Widerruf richten Sie bitte an die in Ziffer II genannten Kontaktdaten (Verantwortlicher oder Datenschutzbeauftragter).
6. Etwaige Empfänger von personenbezogenen Daten Zunächst möchten wir darauf hinweisen, dass innerhalb unseres Unternehmens grundsätzlich nur diejenigen Personen und Stellen Zugriff auf personenbezogene Daten haben, die diesen Zugriff zur Erfüllung der nachfolgend beschriebenen Zwecke benötigen (sog. „need-to-know“-Prinzip).
Zur Erbringung der mit der betroffenen Person vereinbarten Leistungen setzen wir teilweise dritte Dienstleister ein, die im Rahmen der Leistungserbringung in unserem Auftrag und nach Weisung tätig werden (Auftragsverarbeiter). Diese Dienstleister können im Rahmen der Leistungserbringung personenbezogene Daten empfangen bzw. mit personenbezogenen Daten in Berührung kommen und stellen Dritte bzw. Empfänger i.S.d. DSGVO dar. In einem solchen Fall tragen wir dafür Sorge, dass unsere Dienstleister hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen vorhanden sind und Verarbeitungen so durchgeführt werden, dass sie im Einklang mit den Anforderungen der DSGVO stehen und den Schutz der Rechte der betroffenen Person gewährleisten (vgl. Art. 28 DSGVO).
Soweit eine Übermittlung von personenbezogenen Daten außerhalb einer Auftragsverarbeitung an Dritte und/oder Empfänger erfolgt, stellen wir sicher, dass dies ausschließlich in Übereinstimmung mit den gesetzlichen Anforderungen (DSGVO, BDSG) und nur bei Vorliegen einer entsprechenden Rechtsgrundlage (z.B. Art. 6 Abs. 4 DSGVO) geschieht.
7. Etwaige Verarbeitung von Daten in sog. Drittländern Die Verarbeitung Ihrer personenbezogenen Daten erfolgt grundsätzlich innerhalb der EU bzw. des Europäischen Wirtschaftsraums („EWR“). Lediglich in Ausnahmefällen (z.B. im Zusammenhang mit der Einschaltung von Dienstleistern) kann es zu einer Übermittlung von Informationen in sog. "Drittländern" kommen. "Drittländer" sind Länder außerhalb der Europäischen Union und/oder des Abkommens über den Europäischen Wirtschaftsraum, in denen nicht ohne weiteres von einem angemessenem Datenschutzniveau entsprechend der Standards der EU ausgegangen werden kann.
Sofern die übermittelten Informationen auch personenbezogene Daten umfassen, stellen wir vor einer solchen Übermittlung sicher, dass in dem jeweiligen Drittland oder bei dem jeweiligen Empfänger in dem Drittland ein angemessenes Datenschutzniveau gewährleistet ist. Dies kann sich aus einem sog. "Angemessenheitsbeschluss" der Europäischen Kommission ergeben oder durch Verwendung der sog. "EU Standardvertragsklauseln" sichergestellt werden. Im Falle von Empfängern in den USA kann auch die Einhaltung der Prinzipien des sog. "EU-US Privacy Shield" ein angemessenes Datenschutzniveau sicherstellen. Weitere Informationen zu den geeigneten und angemessenen Garantien zur Einhaltung eines angemessenen Datenschutzniveaus stellen wir Ihnen auf Anfrage gerne zur Verfügung; die Kontaktdaten finden Sie am Anfang dieser Datenschutzinformation. Informationen zu den Teilnehmern des EU-US Privacy Shield finden Sie zudem hier www.privacyshield.gov/list. Eine Übermittlung personenbezogener Daten in ein Drittland kann daneben im Rahmen des Art. 49 DSGVO zulässig sein.
8. Allgemeine Grundsätze zur Datenlöschung und Speicherdauer Personenbezogene Daten der betroffenen Personen werden gelöscht, soweit die Daten für die jeweiligen Verarbeitungszwecke nicht länger erforderlich sind. Anstelle der Löschung tritt dabei ggf. eine Speicherung unter Einschränkung der Verarbeitung, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen unser Unternehmen unterliegt, vorgesehen ist, insbesondere z.B.
• zur Erfüllung von gesetzlichen Aufbewahrungspflichten (z.B. der Abgabenordnung (AO) oder dem Handelsgesetzbuch (HGB), zur Zeit zwischen 6 bis 10 Jahren), und/oder
• bei Bestehen berechtigter Interessen an einer Speicherung (z.B. während des Laufs von Verjährungsfristen zum Zwecke einer etwaigen Rechtsverteidigung (§§ 195 ff BGB, zurzeit zwischen 3 bis 30 Jahren).
Eine Löschung der Daten erfolgt spätestens dann, wenn eine durch die vorgenannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder zu anderen Zwecken (z.B. berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO) besteht.
9. Betroffenenrechte Die DSGVO gewährt den betroffenen Personen umfangreiche Rechte (sog. Betroffenenrechte, insb. Art. 12 bis Art. 22 DSGVO). Die einzelnen Betroffenenrechte sind in Ziffer VI näher erläutert. Möchten Sie eines oder mehrere dieser Rechte in Anspruch nehmen, können Sie uns jederzeit kontaktieren. Nutzen Sie hierzu bitte die unter Ziffer II angegebenen Kontaktmöglichkeiten.
IV. KATEGORIEN PERSONENBEZOGENER DATEN Bei der Art der betroffenen personenbezogenen Daten unterscheiden wir im Wesentlichen zwischen (i) Stammdaten, (ii) Vertragsdurchführungsdaten, (iii) Drittdaten sowie – soweit relevant - (iv) besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO.
1. Stammdaten Stammdaten, sind Daten zu Ihrem Unternehmen und/oder Ihrer Person, die Sie im Rahmen der Vertragsanbahnung und/oder des Vertragsschlusses bereitstellen. Diese ergeben sich aus dem jeweils von uns verwendeten Vertragsformularen und enthalten insbesondere Angaben wie Firmenname, Name, Vorname, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Fax sowie zu Abrechnungszwecken Kontoverbindungsdaten. Darüber hinaus können Sie uns mit Ihrem Antrag auf freiwilliger Basis weitere Daten, z. B. eine Mobiltelefonnummer, Ihre bevorzugte Korrespondenzsprache oder weitere Interessen und Präferenzen, mitteilen. Diese von Ihnen angegebenen Daten bezeichnen wir insgesamt als „Stammdaten“.
2. Vertragsdurchführungsdaten Vertragsdurchführungsdaten sind solche Daten, die im Rahmen der Vertragsdurchführung bzw. Vertragserfüllung anfallen und von uns zur Vertragsdurchführung, Abrechnung, Verwaltung, Weiterentwicklung oder Vermarktung unserer Angebote und Dienstleistungen verarbeitet werden. Diese Daten weisen teilweise keinen direkten Bezug zu einer natürlichen Person auf, in der Regel kann ein solcher Personenbezug aber hergestellt werden. Zu den Vertragsdurchführungsdaten können - in Abhängigkeit der jeweils beauftragten oder erbrachten Leistungen / Services – z.B. (i) zur Angebotserstellung erforderliche Daten (auch Finanzierungen / Leasing), (ii) zur Bestellung / zum Verkauf von Kraftfahrzeugen erforderliche Daten einschließlich Fahrzeugidentifikationsnummer, (iii) erforderliche Daten zum Ankauf / zur Inzahlungnahme von Kraftfahrzeugen, (iv) Daten / Angaben zur Durchführungen von Reparaturaufträgen, Zahlungs- und Abrechnungsdaten oder (v) Daten / Angaben im Zusammenhang mit der Bearbeitung von Kundenanfragen oder –Beschwerden oder Ähnliches gehören.
3. Drittdaten Personenbezogene Daten werden in der Regel direkt bei Ihnen erhoben. Es kann jedoch auch vorkommen, dass wir personenbezogene Daten nicht direkt bei Ihnen erheben, sondern dass diese von dritten Unternehmen und/oder Vertragspartnern, z.B. im Rahmen separater Vertragsbeziehungen erhalten (sog. Drittdaten). Bei derartigen Drittdaten zu Ihrem Unternehmen / Ihrer Person kann es sich z.B. um Adressdaten, Abrechnungsdaten Dritter, Bonitätsauskünften oder Ähnliches handeln.
4. Besondere Kategorien personenbezogener Daten Besondere Kategorien personenbezogener Daten oder sensitive Daten i.S.v. Art. 9 DSGVO sind solche Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die sexuelle Orientierung oder Geschlechtsidentität oder eine Gewerkschaftszugehörigkeit abgeleitet werden können. Hinzu kommen die zur eindeutigen Identifizierung einer natürlichen Person dienenden genetischen und biometrischen Daten. Zu den sensitiven Daten zählen ferner auch Angaben i.S.v. Art. 10 DSGVO über etwaige strafrechtliche Verurteilungen oder Ermittlungsverfahren sowie über mutmaßliche Straftaten.
V. VERARBEITUNG PERSONENBEZOGENER DATEN Personenbezogene Daten werden von uns nach den einschlägigen datenschutzrechtlichen Bestimmungen insbesondere der DSGVO und des BDSG verarbeitet. Die zu Ihnen und/oder Ihrem Unternehmen erhobenen Daten verwenden wir dabei – vorbehaltlich der Anwendbarkeit der datenschutzrechtlichen Bestimmungen - wie folgt:
1. Zwecke und Rechtsgrundlagen der Verarbeitung Personenbezogene Daten erheben und verarbeiten wir zu den nachfolgenden Zwecken und Rechtsgrundlagen:
1.1. Durchführung von Händler- und Serviceverträgen, Import von Kraftfahrzeugen Stammdaten, Vertragsdurchführungsdaten und Drittdaten - zu denen Händler-, Servicepartnerdaten, Daten der Mitarbeiter von Händlern/Servicepartnern sowie Kundendaten zählen können - werden von uns zum Zwecke der Durchführung der Händler- und Serviceverträge verarbeitet, soweit diese zur Vertragsanbahnung und Vertragsdurchführung erforderlich ist. Dies kann unter anderem die Angebotserstellung, Verkäufe von Kraftfahrzeugen, Durchführung von Importen einschließlich Auslieferung von Kraftfahrzeugen, Abwicklung von Garantie- und Gewährleistungsansprüchen, und/oder sonstiger unserer Dienstleistungen (z.B. zum Shopper-Feedback, Zufriedenheitsbefragungen, Sales Support, o.Ä.) umfassen. Rechtsgrundlage für Datenverarbeitungen zu vertraglichen Zwecken ist Art. 6 Abs. 1 lit. b DSGVO.
1.2. Fort- und Weiterbildungsangebote (FCA Webacademy) Im Rahmen unserer Fort- und Weiterbildungsangebote (FCA Webacademy) verarbeiten wir Stammdaten, Vertragsdurchführungsdaten und Drittdaten unserer Händler- und Servicepartner bzw. deren Mitarbeiter zum Zwecke der Durchführung bzw. Erfüllung der in Anspruch genommenen Fortbildungs- und Qualifikationsangebote. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/ Durchführung vorvertraglicher Maßnahmen).
1.3. Vertragsbeziehung mit Kunden, Service-Hotline, Kundenanfragen, Beschwerde-Management Soweit wir mit Kunden – gleich ob Verbraucher und/oder Unternehmer - eine direkte Vertragsbeziehung eingehen und/oder Angebote von Kooperationspartnern vermitteln (z.B. Verkauf von Sondermodellen „Limited Edition“; Flotten- und Fuhrparkmanagement; Serviceprodukte mit oder von Kooperationspartnern (z.B. Neuwagen-Anschlussgarantien, Wartungspakete); Durchführung von Probefahrten (Leihverträge); Gewinnspiele mit oder von Kooperationspartnern; oder Ähnliches) verarbeiten wir Stammdaten, Vertragsdurchführungsdaten oder Drittdaten zum Zwecke der Vertragsanbahnung und/oder Vertragsdurchführung. Wir bieten unseren Kunden sowie den Kunden unserer Händler- und Servicepartner zudem Support-Dienstleistungen an, z.B. eine Service-Hotline, die Bearbeitung von Kundenanfragen, Beschwerden oder Ähnliches. Die hierfür erforderlichen personenbezogenen Daten verarbeiten wir zum Zwecke der Erfüllung bzw. Beantwortung des jeweiligen Kundenbegehrens. Rechtsgrundlage für diese Datenverarbeitungen ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/ Durchführung vorvertraglicher Maßnahmen).
1.4. Vertragsbeziehungen mit Lieferanten / Dienstleistern Personenbezogene Daten von Lieferanten und/oder Dienstleistern (im Folgenden einheitlich „Lieferanten“), die natürliche Personen sind und deren Leistungen wir auf vertraglicher Grundlage nachfragen und/oder in Anspruch nehmen, verarbeiten wir ausschließlich zum Zwecke der Vertragserfüllung oder -durchführung. Hiervon können Stammdaten und Vertragsdurchführungsdaten betroffen sein. Rechtsgrundlage für eine solche Datenverarbeitung ist Art. 6 Abs. 1 lit b DSGVO (Vertragserfüllung/ Durchführung vorvertraglicher Maßnahmen). Auch behalten wir uns vor, bei Auskunfteien und Bonitätsdienstleistern Bonitätsauskünfte über Lieferanten / Dienstleister auf Basis der im Rahmen des Vertragsverhältnisses erhobenen personenbezogenen Daten einzuholen und zu verarbeiten sowie Daten an die jeweilige Auskunftei und den Bonitätsdienstleister zu melden; hierfür gelten die Ausführungen unter Ziffer V.1.7 entsprechend. Ebenso gilt Ziffer III.4 (Datenverarbeitung zur Durchsetzung von Ansprüchen / Erfüllung rechtlicher Vorschriften) entsprechend.
1.5. Public Relations, Presse, Testfahrten Im Bereich Public Relations erheben und verarbeiten wir Stammdaten, Vertragsdurchführungsdaten oder Drittdaten von Journalisten, Pressevertretern und/oder unseren Markenbotschaftern zum Zwecke der Presse- und Öffentlichkeitsarbeit. Dies kann insbesondere die Bereitstellung von Presseinformationen, der Bearbeitung von Presseanfragen, Ansprache von Pressevertretern, Organisation und Einladung zu (Presse-)Veranstaltungen, Angebote von Testfahrten oder der Bereitstellung von Testfahrzeugen umfassen. Rechtsgrundlage für eine solche Datenverarbeitung ist Art. 6 Abs. 1 lit b DSGVO (Vertragserfüllung / Durchführung vorvertraglicher Maßnahmen), soweit dies zur Erfüllung einer entsprechenden Vereinbarung und/oder im Rahmen einer konkreten Anfrage erfolgt. Im Übrigen erfolgt die Datenverarbeitung im Rahmen berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse liegt hier in der Veranstaltung von Presse- und Öffentlichkeitsarbeit zugunsten der Marken unseres Unternehmens bzw. der Stellantis-Gruppe.
1.6. Abrechnung / Zahlung von Leistungen Zum Zwecke der Abrechnung unserer Leistungen nutzen wir die von Kunden und Händlern bzw. Servicepartnern angegebenen Stammdaten sowie die zur Abrechnung erforderlichen Vertragsdurchführungsdaten. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Durchführung vorvertraglicher Maßnahmen).
1.7. Bonitätsauskünfte, Bonitätsprüfung Wir behalten uns vor, bei Bonitätsdienstleistern (z.B. SCHUFA HOLDING AG oder Creditreform) Auskünfte auf Basis der im Rahmen von Vertragsverhältnisses erhobenen personenbezogenen Daten einzuholen und zu verarbeiten. Darüber hinaus behalten wir uns vor, Daten an Auskunfteien und Bonitätsdienstleistern zur Ermittlung von Bonitäts- bzw. Ausfallrisiken in den in § 31 Abs. 2 BDSG genannten Fällen im Rahmen berechtigter Interessen unseres Unternehmens sowie dritter Unternehmen zu verarbeiten; dies ist z.B. möglich, wenn eine geschuldete Leistung trotz Fälligkeit nicht erbracht wurde. Entsprechende Datenabfragen und -übermittlungen auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgen nur, soweit dies zur Wahrung unserer berechtigten Interessen oder Dritter zum Schutz vor Forderungsausfällen erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Datenaustausch mit Auskunfteien und Bonitätsdienstleistern dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung von Kreditwürdigkeitsprüfungen von Kunden (§§ 505a und 506 BGB). Wir weisen Sie darauf hin, dass Auskunfteien und Bonitätsdienstleister die erhaltenen Daten auch zum Zwecke der Profilbildung (Scoring) verarbeiten und verwenden, um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Für diese Datenverarbeitung sind die jeweiligen Auskunfteien und Bonitätsdienstleister Verantwortliche Stelle iSd DSGVO.
1.8. Marketing- und Werbemaßnahmen Eine Nutzung personenbezogener Daten zum Zwecke der Werbe- und/oder Marketingansprache (z.B. Newsletter) sowie zur Durchführung von Kundenzufriedenheitsbefragungen (im Folgenden insgesamt „Marketing“) erfolgt nur bei Vorliegen einer entsprechenden Einwilligung oder einer anderweitigen Rechtsgrundlage, die eine Werbe- und/oder Marketingansprache auch ohne Vorliegen einer Einwilligung erlaubt. Die Durchführung entsprechender Marketingmaßnahmen richtet sich nach der Datenschutzerklärung MEV.
1.9. Analysen, Auswertungen Stammdaten, Vertragsdurchführungsdaten und Drittdaten, die wir im Rahmen der vorgenannten Zwecke verarbeiten, behalten wir uns vor, zum Zwecke der Analyse, Evaluierung und/oder Verbesserung unserer Services und Dienstleistungen im Rahmen berechtigter Interessen nach Art. 6 Abs. 1 lit f. DSGVO zu verarbeiten. Soweit möglich, erfolgt eine solche Verarbeitung in pseudonymer und/oder anonymer Form, so dass datenschutzrechtliche Belange dann nicht mehr betroffen sind.
2. Etwaige Empfänger von Daten / Zugriffsberechtigte auf Daten Im Rahmen der Erbringung unserer Leistungen und der damit verbundenen Verarbeitung personenbezogener Daten, haben unsere Mitarbeiter zur Erfüllung der in Ziffer V genannten Zwecke Zugriff auf Daten nach dem sog. „need-to-know-Prinzip“. Dies bedeutet, dass der Kreis der Zugriffsberechtigten auf diejenigen Mitarbeiter beschränkt ist, die zur Erfüllung des jeweiligen Verarbeitungszwecks erforderlich ist. Ihre Daten können zudem im Rahmen der Erfüllung der in Ziffer V. genannten Zwecke an z.B. (technische) Dienstleister, Service-Provider und/oder Subunternehmer übermittelt werden, die für uns im Rahmen der Erfüllung der vorgenannten Zwecke tätig werden. Eine Übermittlung von Daten erfolgt ferner im Rahmen des Zahlungsverkehrs (z.B. an Banken, Zahlungsdienstleister) und/oder zur Durchführung von Finanzierungen (z.B. an die Stellantis Bank SA Niederlassung Deutschland). Zudem übermitteln wir Ihre Daten zum Zwecke der Gewährleistung- und Garantieabwicklung und für etwaige Service- und Rückrufaktionen auch an die Hersteller der von uns geführten Marken (z.B. Stellantis EUROPE S.p.A., Corso G. Agnelli 200 10135 Turin) und/oder unsere Händler. Eine Übermittlung von Daten an Hersteller oder Händler kann ferner zur Durchführung unserer Vertragsverhältnisse mit diesen Unternehmen erfolgen. Des Weiteren können Datenübermittlungen an Endkunden, unsere Dienstleister, Service- und Kooperationspartner, z.B. auch zur Bearbeitung von Kundenbeschwerden und/oder zur Qualitätssicherung o.Ä. erfolgen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).Eine Übermittlung von Daten kann zudem an Gerichte und/oder öffentliche Stellen (z.B. an das Kraftfahrt-Bundesamt (KBA)) erfolgen zum Zwecke der Durchsetzung von Ansprüchen und/oder Erfüllung rechtlicher Verpflichtungen (z.B. Meldepflichten, Folgeleistungspflichten bei Produktwarnungen oder Rückrufen des KBA, siehe auch Ziffer III.4). Auf Anfrage stellen wir gerne eine Liste möglicher Empfänger von Daten zur Verfügung. Hinsichtlich etwaiger Empfänger von Daten und zur generellen Organisation von Zugriffsberechtigungen auf Daten in unserem Unternehmen verweisen wir im Übrigen auf die Ausführungen in Ziffer III.6.
3. Datenverarbeitung außerhalb des EWR Soweit Datenübermittlungen in sogenannte Drittländer, also Länder außerhalb der Europäischen Union (EU) und/oder des Europäischen Wirtschaftsraums (EWR) bzw. an internationale Organisationen erfolgt, werden wir zur Sicherstellung eines angemessenen Datenschutzniveaus die in Ziffer III.7 genannten Maßnahmen ergreifen. Weitergehende Informationen hierzu stellen wir gerne auf Anfrage zu Verfügung.
4. Datenlöschung, Speicherdauer, Widerruf- und Widerspruchsmöglichkeit Erfolgt die Verarbeitung personenbezogener Daten im Zusammenhang mit einer Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), werden die Daten für die Dauer des jeweiligen Auftrags- oder Vertragsverhältnisses gespeichert und nach Ablauf der jeweiligen Vertragsdauer bzw. Kündigungsfrist unter Berücksichtigung von Ziffer III.8 gelöscht respektive gesperrt. Eine Speicherung oder Verwendung von personenbezogenen Daten zum Zwecke der Werbung erfolgt, abhängig von der jeweiligen Rechtsgrundlage für die Werbemaßnahme (Einwilligung oder berechtigte Interessen) auf unbestimmte Zeit, bis Sie der Verwendung Ihrer Daten zum Zwecke der Werbung widersprochen oder Sie Ihre entsprechende Einwilligung widerrufen haben.
Die Einwilligung in eine Verarbeitung personenbezogener Daten können Sie jederzeit mit Wirkung für die Zukunft widerrufen, einer Verarbeitung auf Basis berechtigter Interessen können Sie jederzeit widersprechen; ein Widerspruchsrecht besteht insbesondere im Fall eines Profiling nach Art. 21 DSGVO. Erfolgt ein Widerruf und/oder ein Widerspruch werden die personenbezogenen Daten nicht mehr für die jeweils betroffenen Zwecke verarbeitet; hiervon ausgenommen ist in jedem Fall eine Verarbeitung von Daten, die noch für den Zweck der Vertragserfüllung (Art. 6 Abs. 1 lit b DSGVO) einschließlich gesetzlicher Aufbewahrungspflichten erforderlich ist.
5. Pflichtangaben von Daten Daten, die für die Aufnahme, den Abschluss oder die Durchführung einer Geschäftsbeziehung einschließlich der Erfüllung damit verbundener vertraglichen Pflichten erforderlich und/oder zu deren Erhebung wir gesetzlich verpflichtet sind, sind Pflichtangaben. Pflichtangaben sind in unseren Formularen mit einem Sternchenhinweis gekennzeichnet. Ohne Angabe dieser Daten kann es dazu kommen, dass wir einen Vertrag und/oder Service nicht oder nur eingeschränkt erbringen können; wir behalten uns daher vor, bei einer Nichtangabe den Vertragsschluss abzulehnen.
6. Automatisierte Entscheidungen Art. 22 Abs. 1 und 4 DSGVO Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, soweit dies gesetzlich vorgeschrieben ist. Eine Profilbildung aufgrund der von uns erhobenen und verarbeiteten Daten findet zu diesem Zweck nicht statt.
VI. BETROFFENENRECHTE Für betroffene Personen besteht ein Auskunftsrecht gemäß Art. 15 DSGVO, ein Recht auf Berichtigung gemäß Art. 16 DSGVO, ein Recht auf Löschung gemäß Art. 17 DSGVO. Die Auskunfts- bzw. Löschungsrechte könnenden Einschränkungen nach dem BDSG (insb. der §§ 32 bis 37 BDSG) unterliegen. Des Weitern steht Ihnen ein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO, ein Recht auf Datenmitnahme gemäß Art. 20 DSGVO und ein Recht auf Widerspruch gemäß Art. 21 DSGVO zu. Im Fall eines Widerspruchs nach Art. 21 DSGVO haben wir jede weitere Verarbeitung Ihrer Daten zu den vorgenannten Zwecken zu unterlassen, es sei denn, (i) es liegen zwingende, schutzwürdige Gründe für eine Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder (ii) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Ihnen steht zudem ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde gemäß Art. 77 DSGVO i. V. m. § 19 BDSG zu.
* * *