Die Mission von Organon besteht darin, geniale Gesundheitslösungen zu liefern, die es Menschen ermöglichen, ihr bestes Leben, auch in Bezug auf die Wahrung der Privatsphäre des Einzelnen und den Schutz von personenbezogenen Daten, zu führen.

Revisionsdatum: 01. Februar 2021
Gültig ab: 01. Juni 2021

Wir sind stets bestrebt, unsere Geschäftstätigkeit in Einklang mit unseren Datenschutzgrundsätzen auszuüben, da wir der festen Überzeugung sind, dass diese Werte unsere unerschütterliche Verpflichtung zu ethischen und verantwortungsvollen Datenverarbeitungspraktiken demonstrieren.

Wir sind uns bewusst, dass Innovation und neue Technologien einen kontinuierlichen Wandel vorantreiben. Daher sind wir bestrebt, die Anwendung unserer Datenschutzgrundsätze als Reaktion auf diese Veränderungen, unverzüglich anzupassen.

  • Diese Richtlinie definiert unsere globalen Standards für den Umgang mit und den Schutz von personenbezogenen Daten, wenn diese im Namen unseres Unternehmens über Ländergrenzen hinweg übertragen werden, unabhängig von dem Land, aus dem sie stammen oder in das die personenbezogenen Daten möglicherweise übertragen werden. Sie beschreibt unsere Kernverpflichtungen, die die Einhaltung unserer Zertifizierung nach den APEC Cross-Border Privacy Rules Certification (Bestimmungen für die grenzüberschreitende Datenübermittlung) unterstützen. Diese Richtlinie gilt auch für alle Personen, über die wir Daten verarbeiten, einschließlich, aber nicht auf beschränkt auf medizinisches Fachpersonal und andere Kunden, potenzielle, derzeitige und frühere Mitarbeiter und ihre Angehörigen, Patienten, Pflegepersonal, Wissenschaftler und Studienteilnehmer, Mitglieder von Wissenschafts- und Ethikkomitees, Geschäftspartner, Investoren und Aktionäre, Regierungs- und Verwaltungsangehörige und sonstige Interessengruppen.

Alle Mitarbeiter und leitenden Führungskräfte des Unternehmens haben eine zentrale Verantwortung für den Datenschutz, die unbedingt einzuhalten ist.

Wir sind uns bewusst, dass unabsichtliche Fehler und Fehleinschätzungen beim Schutz personenbezogener Daten zu möglichen Datenschutzrisiken für Personen führen sowie unsere Reputation, Betriebstätigkeit, Finanzen und Compliance gefährden können. Wir bieten allen Beschäftigten und anderen Mitarbeitern, die ständigen oder regelmäßigen Zugang zu personenbezogenen Daten haben, die in die Datenerfassung einbezogen sind oder bei der Entwicklung von Arbeitsmitteln zur Verarbeitung von personenbezogenen Daten helfen, entsprechende Schulungen zu dieser Richtlinie an. Alle Mitarbeiter unseres Unternehmens und andere, die für unser Unternehmen personenbezogene Daten verarbeiten, müssen ihre Verpflichtungen gemäß der vorliegenden Richtlinie und geltender Gesetze kennen, verstehen und sie einhalten.

Unsere Datenschutzwerte und -standards

Unsere Datenschutzwerte sind die Grundlage all unserer Aktivitäten. Unsere vier Datenschutzwerte sind:

Respekt

Vertrauen

Vermeidung von Schäden

Einhaltung

Wir sind uns bewusst, dass die Einstellung zum Thema Datenschutz häufig im Wesentlichen damit zusammenhängt, wer wir sind, wie wir die Welt betrachten und wie wir uns selbst definieren. Daher sind wir bestrebt, die Perspektiven und Interessen von Einzelpersonen und Gemeinschaften zu respektieren und bei der Verwendung und Weitergabe von Informationen über diese fair und transparent zu sein.

Wir wissen, dass Vertrauen von entscheidender Bedeutung für unseren Erfolg ist. Deshalb bemühen wir uns, das Vertrauen unserer Kunden, Mitarbeiter, Studienteilnehmer und anderer Interessengruppen in die Art und Weise, wie wir die Privatsphäre respektieren und Informationen über Menschen schützen, aufzubauen und zu erhalten.

Wir sind uns bewusst, dass der Missbrauch personenbezogener Daten sowohl zu materiellen als auch zu immateriellen Schäden für Personen führen kann. Daher tun wir alles, um das Risiko physischer, finanzieller, reputationsbezogener und anderer Arten von Schäden für Personen zu vermeiden, die aufgrund von Datenschutzproblemen entstehen könnten.

Wir wissen, dass Gesetze und Vorschriften nicht immer mit den rasanten technologischen Veränderungen, Datenströmen und den einhergehenden Verlagerungen von Datenschutzrisiken und Erwartungen Schritt halten können. Aus diesem Grund tun wir alles, um die Gesetze zum Schutz der Privatsphäre und von personenbezogenen Daten sowohl nach Sinn und Zweck als auch dem Wortlaut nach einzuhalten und hierbei so vorzugehen, dass eine konsistente und effiziente Betriebstätigkeit unserer globalen Geschäftsniederlassungen gefördert wird.

  1. Wir verankern unsere Datenschutzstandards in Aktivitäten, Prozessen, Technologien und Beziehungen mit Dritten, die personenbezogene Daten verwenden. Wir integrieren Datenschutzkontrollen in unsere Prozesse und Technologien, die in Einklang mit unseren Datenschutzwerten und -standards und geltenden Gesetzen stehen. Unsere nachstehend aufgeführten acht (8) Datenschutzprinzipien geben eine Zusammenfassung unserer hohen Datenschutzstandards und der zentralen Anforderungen für Prozesse, Aktivitäten und deren jeweiligen unterstützenden Technologien wieder.

    Datenschutzprinzipien

    Unsere zentralen Verpflichtungen

    1. Notwendigkeit – Vor der Erfassung, Verwendung oder Weitergabe personenbezogener Daten definieren und dokumentieren wir die konkreten und rechtmäßigen Geschäftszwecke, für die diese Daten benötigt werden.

    • Wir ermitteln, welche personenbezogenen Daten wie lange für die jeweils definierten Geschäftszwecke und für die anwendbaren gesetzliche Bestimmungen benötigt werden. Wir dokumentieren unsere Entscheidung.
    • Es erfolgt keine Erfassung, Verwendung und Weitergabe personenbezogener Daten in einem größeren Umfang als erforderlich. Die Daten werden auch nicht länger, als dies für die definierten Geschäftszwecke und für anwendbare gesetzliche Bestimmungen nötig ist, in identifizierbarer Form gespeichert.
    • Wir anonymisieren oder deidentifizieren die personenbezogenen Daten, wenn geschäftliche Notwendigkeiten es erfordern, dass Daten über eine Aktivität oder einen Prozess, der personenbezogene Daten enthält, über einen längeren Zeitraum aufbewahrt werden.
    • Wir stellen sicher, dass diese Erfordernisse in jede unterstützende Technologien integriert sind und, dass sie an Dritte, die die Aktivität oder den Prozess unterstützen, kommuniziert werden.

    2. Fairness – Wir verarbeiten personenbezogene Daten in einer Weise, die gegenüber den Personen, auf die sich diese Daten beziehen, fair ist.

    • Wir ermitteln, ob die beabsichtigte Erfassung, Verwendung oder sonstige Verarbeitung personenbezogener Daten ein relativ wahrscheinliches bzw. ernstes Risiko eines materiellen oder immateriellen Schadens für Personen darstellt und mit unserem Datenschutzwert Schäden zu vermeiden, vereinbar ist.
    • Falls die Art der Daten, die Gruppe von Personen oder die Aktivität das relativ wahrscheinliche bzw. ernste Risiko eines materiellen oder immateriellen Schadens für Personen darstellt, stellen wir sicher, dass der entsprechende Nutzen für die betroffenen Personen oder für unsere Mission, Leben zu retten und zu verbessern, über das Risiko eines Schadens überwiegt, sowie durch Maßnahmen, Sicherheitsmaßnahmen und Verfahren abgeschwächt wird, die wir eingerichtet haben.
    • Wir verarbeiten vertrauliche Daten nur mit der ausdrücklichen Zustimmung der Personen, soweit dies ausdrücklich erforderlich oder nach geltendem Recht zulässig ist.
    • Sofern das Risiko den Nutzen für Personen überwiegt, wenden wir die relevantesten Sicherheits- und Schutzmaßnahmen an, informieren Einzelpersonen über diese Tatsache und suchen, wenn erforderlich, den Rat der zuständigen Aufsichtsbehörde.
    • Sofern das Risiko den Nutzen für Personen überwiegt, dokumentieren wir die Risikoanalyse und implementieren Sicherheitsvorkehrungen, um die Risiken so weit wie möglich zu minimieren.

    3. Transparenz – Wir verarbeiten personenbezogene Daten auf eine Art und Weise oder für Zwecke, die für Personen, auf die sich die Daten beziehen, ohne weiteres transparent sind.

    • Alle Personen, deren personenbezogenen Daten gemäß dieser Richtlinie verarbeitet werden, haben das Recht, eine Kopie dieser Richtlinie zu erhalten. Kopien der Richtlinie sind online unter www.organon.com/privacy verfügbar und wir stellen auf Anfrage elektronische Versionen und/oder Kopien dieser Richtlinie in Papierform zur Verfügung. Die Anfragen sind an die unten aufgeführten Anschriften zu richten.
    • Bei der direkten Erfassung personenbezogener Daten von Personen informieren wir diese vor der Erfassung der Daten und durch einen eindeutigen, klar erkennbaren und leicht zugänglichen Datenschutzhinweis oder vergleichbare Methoden (1) über die für die Verarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) über die Art der erfassten Daten, (4) über den Verwendungszweck, (5) über die rechtliche Grundlage für unsere Verarbeitung der Daten, (6) an wen die Daten weitergegeben werden, einschließlich aller Anforderungen zur Offenlegung personenbezogener Daten aufgrund von rechtlichen Anfragen durch Behörden, (7) ob, und auf welche Weise wir die personenbezogenen Daten in andere Länder, einschließlich relevanter Länder, wo dies zulässig ist, übermitteln, (8) wie lange wir die Daten speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Personen eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die möglicherweise ausgeführt wird, und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen. Die umfangreichen Datenschutzhinweise für viele unserer Stakeholder sind online unter https://www.organon.com/privacy/contact/ verfügbar.
    • Bei der Erfassung personenbezogener Daten durch Beobachtung, Sensoren oder sonstige indirekte Mittel ist es unter Umständen nicht möglich, den betroffenen Personen zum Zeitpunkt der Datenerfassung direkt einen Datenschutzhinweis zur Verfügung zu stellen. In diesen Fällen gewährleisten wir die Transparenz für die Person auf andere Weise, wie etwa durch Posts oder Aufdrucke auf dem Produkt oder in den Materialien zum Produkt, die die entsprechenden Daten enthalten.
    • Bei der Erfassung personenbezogener Daten über eine Website, mobile App oder sonstige Online-Anwendung oder -Ressourcen wenden wir die in unserer Internet-Datenschutzrichtlinie und unserer globalen Online-Tracking-Richtlinie dargelegten technologiespezifischen Standards an, um sicherzustellen, dass die Anforderungen in puncto Transparenz nach Maßgabe dieser Richtlinie erfüllt werden.
    • Bei der Erfassung personenbezogener Daten aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens überprüfen wir vor der Datenerfassung schriftlich, dass der Datenanbieter die betroffenen Personen darüber in Kenntnis gesetzt hat, wie und für welche Zwecke unser Unternehmen die Daten zu verarbeiten plant. Falls vom Datenanbieter keine schriftliche Verifizierung eingeholt werden kann, verwenden wir ausschließlich anonymisierte oder deidentifizierte Daten oder informieren vor der Verwendung personenbezogener Daten die betroffenen Personen mittels Datenschutzhinweis oder vergleichbaren Methoden (1) über die für die Datenverarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) welche Daten unser Unternehmen zu verarbeiten beabsichtigt, (4) über die Zwecke der Datenverwendung durch unser Unternehmen, (5) über die rechtliche Grundlage für unsere Verarbeitung, (6) an wen die Daten von uns weitergegeben werden, (7) ob und auf welche Weise wir die personenbezogenen Daten in andere Länder übermitteln, einschließlich der Identifizierung relevanter Länder, wo dies zulässig ist, (8) wie lange unser Unternehmen beabsichtigt, sie zu speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Betroffene eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die möglicherweise ausgeführt wird und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen.
    • Wir stellen sicher, dass die notwendigen Transparenzmechanismen, einschließlich (sofern möglich) Mechanismen, die individuelle Anfragen hinsichtlich bestehender Rechte ermöglichen, in die unterstützenden Technologien integriert sind und dass Dritte, die die Aktivität oder den Prozess unterstützen, die personenbezogenen Daten nicht auf eine Weise verwenden, die in Widerspruch zu den Angaben stehen, die den betroffenen Personen in einem Datenschutzhinweis oder durch andere verifizierbare Methoden hinsichtlich der durch uns und andere geplanten Verwendungszwecke bereits mitgeteilt wurden.
    • Im Fall einer Einwilligung , holen wir den Nachweis der Einwilligung ein und dokumentieren ihn in unseren unterstützenden Technologien.

    4. Zweckbeschränkung – Wir verwenden personenbezogene Daten ausschließlich nach Maßgabe der Grundsätze von Notwendigkeit und Transparenz.

    • Wenn neue legitime Geschäftszwecke für zuvor erfasste personenbezogene Daten erkannt werden, holen wir entweder die Einwilligung der Person für die neue Verwendung der personenbezogenen Daten ein, oder wir stellen sicher, dass der neue Geschäftszweck mit den Zwecken, die einem Datenschutzhinweis oder einem anderen Transparenzmechanismus, der der Person zuvor zur Verfügung gestellt wurde, beschrieben wurden, vereinbar ist oder diesem im Wesentlichen entspricht. Wir bestimmen die Kompatibilität basierend auf (1) jedweder Verbindung zwischen dem ursprünglichen Zweck und dem vorgeschlagenen neuen Zweck, (2) den berechtigten Erwartungen der Einzelperson, (3) der Art der personenbezogenen Daten, (4) den Folgen der Weiterverarbeitung für die Einzelperson und (5) den von uns vorgesehenen Sicherheitsmaßnahmen.
    • Wir wenden dieses Prinzip nicht bei anonymisierten oder deidentifizierten Daten an oder wenn wir die personenbezogenen Daten ausschließlich für historische oder wissenschaftliche Forschungszwecke verwenden und (1) ein Ethikkomitee oder eine andere zuständige Prüfinstanz festgestellt hat, dass das Risiko einer derartigen Verwendung für den Datenschutz und andere Rechte von Personen akzeptabel ist, (2) wir angemessene Sicherheitsmaßnahmen treffen, um Datensparsamkeit sicherzustellen, (3) die personenbezogenen Daten pseudonymisiert werden. sowie (4) alle anderen anwendbaren Gesetze eingehalten werden.
    • Wir stellen sicher, dass Einschränkungen der Zweckbeschränkung in alle unterstützenden Technologien – einschließlich Berichtsmöglichkeiten und nachgeschaltete Datenweitergabe – integriert werden.

    5. Datenqualität – Wir bemühen uns, personenbezogene Daten korrekt, vollständig und aktuell sowie in Einklang mit der beabsichtigten Verwendung zu speichern.

    • Wir stellen sicher, dass Mechanismen zur regelmäßigen Datenprüfung in unterstützende Technologien integriert werden, um auf diese Weise die Korrektheit der Daten im Vergleich zur Datenquelle und den nachgeschalteten Systemen validieren zu können.
    • Wir stellen die Korrektheit und Aktualität sensibler Daten vor Verwendung, Auswertung, Analyse, Melden oder sonstigen Verwendungsmöglichkeiten sicher, falls durch Verwendung falscher oder überholter Daten das Risiko mangelnder Fairness für die betroffenen Personen bestehen würde.
    • Wenn von unserem Unternehmen oder von Dritten, die für unser Unternehmen tätig sind, die personenbezogenen Daten geändert werden, stellen wir sicher, dass diese Änderungen den Einzelpersonen zeitgerecht mitgeteilt werden, sofern dies möglich ist.

    6. Sicherheit – Wir etablieren Sicherheitsmaßnahmen zum Schutz personenbezogener und sensibler Daten vor Verlust, Missbrauch und unautorisiertem Zugriff sowie vor unautorisierter Veröffentlichung, Veränderung und Vernichtung.

    • Wir haben ein umfangreichendes Programm zur Informationssicherheit aufgesetzt und wenden Sicherheitskontrollen und Sicherheitsvorkehrungen an, die sich nach dem Wesen und der Sensibilität der Daten und der Risikostufe der Aktivität richten. Hierbei berücksichtigen wir die besten Vorgehensweisen auf Basis aktueller Technologien und die Kosten der Implementierung. Unsere funktionalen Sicherheitsrichtlinien umfassen insbesondere Standards zu Geschäftskontinuität und Notfallwiederherstellung, Verschlüsselung, Identitäts- und Zugriffsmanagement, Informationsklassifizierung, Management von Vorfällen in Bezug auf die Informationssicherheit, Kontrolle des Netzwerkzugangs, physische Sicherheit und Risikomanagement.

    7. Datentransfer – Wir sind verantwortlich für die Beachtung der Datenschutzbestimmungen hinsichtlich personenbezogener Daten, wenn diese an andere oder von anderen Unternehmen oder grenzüberschreitend übermittelt werden.

    (1) Wir übermitteln personenbezogene Daten innerhalb unseres Unternehmens, wenn folgende Anforderungen erfüllt sind:

    (a) Die Weitergabe ist notwendig, um den Zweck zu erfüllen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, oder, um ein anderes berechtigtes Interesse des Unternehmens zu erfüllen und (b) der Zweck, für den sie weitergegeben werden sollen, sowie die Tatsache, dass sie gemeinsam genutzt werden, im Einklang mit der Datenschutzrichtlinie oder einem anderen Transparenzverfahren stehen, die der Einzelperson vorab im Zeitpunkt der ursprünglichen Erfassung der personenbezogenen Daten zur Verfügung gestellt wurden und – soweit erforderlich – zu denen die Einzelperson ihre Einwilligung erklärte, (c) wenn eine unserer Tochtergesellschaften bei der Verarbeitung von personenbezogenen Daten ausschließlich im Auftrag einer anderen Tochtergesellschaften unseres Unternehmens handelt und (d) wenn die Tochtergesellschaften unseres Unternehmens eine interne Datenverarbeitungsvereinbarung gemäß Prinzip 8 dieser Richtlinie abschließen, sofern dies gesetzlich vorgeschrieben ist, oder (e) wenn die IT-Infrastruktur eine solche Übertragung erfordert, und vorausgesetzt, dass alle angemessenen Sicherheits- und Organisationsmaßnahmen vorhanden sind, um eine rechtskonforme Übertragung zu gewährleisten.

    (2) Wir übermitteln personenbezogene Daten an Dritte oder gestatten die Verarbeitung durch Dritte nur dann, wenn folgende Anforderungen erfüllt sind und wir bestätigen, dass Dritte diese Anforderungen erfüllen:

    • Wenn die Funktion des Dritten darin besteht, die personenbezogenen Daten für unser Unternehmen oder in dessen Namen zu verarbeiten, so führen wir vor der Bereitstellung der personenbezogenen Daten an den Dritten oder vor dessen Beauftragung (1) eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Beurteilung der Datenschutzpraktiken und der mit den Dritten verbundenen Risiken durch, (2) holen vertragliche Zusicherungen von den Dritten dahingehend ein, (i) dass sie die personenbezogenen Daten ausschließlich nach den Anweisungen unseres Unternehmens und in Einklang mit dieser Richtlinie verarbeiten, insbesondere mit allen acht (8) in dieser Richtlinie dargelegten Datenschutzprinzipien und anderen Standards sowie allen geltenden Gesetzen, und (ii) dass sie unser Unternehmen unverzüglich über jeden Datenschutz- oder Sicherheitsvorfall, einschließlich der Nichteinhaltung der in dieser Richtlinie festgelegten Standards sowie anwendbaren Gesetze benachrichtigen und mit uns zusammen arbeiten, um jeden begründeten Vorfall unverzüglich zu beseitigen und die in Abschnitt 2 aufgeführten persönlichen Rechte zu wahren, (iii) dass sie kein anderes Unternehmen mit der Verarbeitung der personenbezogenen Daten beauftragen, ohne dass wir dies schriftlich genehmigt haben und ohne eine Vereinbarung zu treffen, die gleichwertige Datenschutzverpflichtungen auferlegt, (iv) dass sie alle personenbezogenen Daten sicher löschen oder an uns zurückgeben, nachdem sie die Erbringung der Dienstleistungen für uns abgeschlossen haben, oder auf unsere Anfrage oder Anweisung (v) und es uns gestatten, ihre Vorgehensweise während ihrer Datenverarbeitung zu überprüfen und zu kontrollieren, um für die Dauer der Verarbeitung die Einhaltung dieser Anforderungen sicherzustellen. Wenn der Dritte personenbezogene Daten verarbeitet, die aus einem anderen Land oder Gebiet stammen, in dem die Übermittlung personenbezogener Daten eingeschränkt ist, stellen wir darüber hinaus sicher, dass der Transfer an den Dritten die in Punkt (3) unten dargestellten Anforderungen für die grenzüberschreitende Datenübermittlung erfüllt.
    • Wenn die Funktion des Dritten darin besteht, unserem Unternehmen personenbezogene Daten bereitzustellen, so stellen wir vor dem Erhalt personenbezogener Daten von diesem Dritten sicher, dass die Transparenzanforderungen hinsichtlich personenbezogener Daten, die aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens erfasst werden, erfüllt sind, und holen von dem Dritten vertragliche Zusicherungen ein, dass durch die Bereitstellung personenbezogener Daten an uns nicht gegen Gesetze oder Rechte sonstiger Dritter verstoßen wurde.
    • Wenn die Funktion des Dritten darin besteht, zur Verarbeitung Daten von unserem Unternehmen zu erhalten, die nicht konkret auf Anweisung unseres Unternehmens erfolgt, so stellen wir vor der Bereitstellung der Daten an diesen Dritten sicher, dass die Daten anonymisiert oder deidentifiziert wurden und holen von dem Dritten die schriftliche Zusicherung ein, dass er diese ausschließlich für die spezifischen, vertraglich festgelegten Geschäftszwecke sowie nach Maßgabe geltender Gesetze verwendet und, dass er keinesfalls versucht, die Daten erneut zu identifizieren.
    • Wenn die Weitergabe an Dritte erforderlich ist, um die berechtigten Interessen der Einzelperson oder des Unternehmens zu schützen: können wir die Daten weitergeben: (1) für die Zwecke der Verhinderung von Betrug oder zur Durchsetzung oder zum Schutz der Rechte und des Eigentums des Unternehmens, (2) auf unserem Betriebsgelände für den Schutz der persönlichen Sicherheit unserer Mitarbeiter oder Dritter, und (3) um unsere Vermögenswerte zu schützen, indem wir korrigierende Sicherheitsmaßnahmen ergreifen, wenn wir den begründeten Verdacht haben, dass eine rechtswidrige Handlung oder schweres Fehlverhalten stattgefunden haben.
    • Wenn der Dritte ein mögliches Ziel einer Akquisition oder Mehrheitsbeteiligung durch unser Unternehmen ist, so führen wir (1) vor Abschluss einer Vereinbarung zur Akquisition oder Mehrheitsbeteiligung mit dem Dritten eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Ermittlung der Datenschutzpraktiken und der mit einer Akquisition des oder einer Mehrheitsbeteiligung an dem Dritten verbundenen Risiken durch und (2) schließen eine Vereinbarung zur Datenübermittlung, in der die Konditionen, nach denen personenbezogene Daten offengelegt werden dürfen, sowie die jeweiligen Pflichten unseres Unternehmens und des Dritten genau festgelegt sind.

    Wenn die Funktion des Dritten darin besteht, Geschäftsanteile unseres Unternehmens ganz oder teilweise zu übernehmen, so vereinbaren wir vor der Weitergabe von personenbezogenen Daten in Verbindung mit einer vollständigen oder teilweisen Veräußerung unseres Unternehmens (1) einen Vertrag über die Datenübermittlung, in der die Konditionen festgelegt sind, nach denen personenbezogene Daten dem Käufer offengelegt werden dürfen, einschließlich angemessener Beschränkungen hinsichtlich der zulässigen Verwendung personenbezogener Daten und der Einhaltung des in dieser Richtlinie festgelegten Standards und des geltenden Rechts, (2) die gemeinsame Nutzung von Datenelementen auf das notwendige Maß zu beschränken, (3) die Zustimmung zur gemeinsamen Nutzung von personenbezogenen Daten oder sensiblen Daten in Übereinstimmung mit den Grundsätzen der Transparenz und Zweckbindung dieser Richtlinie einzuholen, und (4) den Dritten zu verpflichten, unser Unternehmen unverzüglich über einen entsprechenden Datenschutzvorfall zu informieren, einschließlich der Nichteinhaltung der in dieser Richtlinie festgelegten Standards oder des geltenden Rechts, und mit uns zusammenzuarbeiten, um alle begründeten Vorfälle unverzüglich zu beseitigen oder die Verarbeitung der betreffenden personenbezogenen Daten einzustellen.

    (3) Die grenzüberschreitende Übermittlung von personenbezogenen Daten durch unser Unternehmen oder in unserem Auftrag – einschließlich der Übermittlung in die Vereinigten Staaten von Amerika (USA), wo sich der Hauptsitz unseres Unternehmens befindet, erfolgt ausschließlich im Einklang mit dieser Richtlinie. Wir wenden diese Richtlinie auch bei der Übermittlung personenbezogener Daten aus einem anderen Land oder Territorium an, in dem die Übermittlung personenbezogener Daten gesetzlich eingeschränkt ist. Darüber hinaus erfüllen wir alle Anforderungen, die durch solche Gesetze auferlegt werden (einschließlich der Verwendung von Mechanismen, die für grenzüberschreitende Übermittlungen in Länder erforderlich sind, die nicht dieselben Datenschutzstandards wie das Herkunftsland haben).

    8. Gesetzlich zulässig – Wir verarbeiten personenbezogene Daten nur, wenn die Anforderungen geltender Gesetze erfüllt werden.

    • Wenngleich die anderen sieben (7) Datenschutzprinzipien sowie die unten aufgeführten Anforderungen an die Rechte des Einzelnen sicherstellen sollen, dass die Vorgaben der allermeisten Gesetze zur Wahrung der Privatsphäre und des Datenschutzes, die für unser Geschäft weltweit gelten, eingehalten werden können, müssen wir dennoch in bestimmten Ländern zusätzliche Anforderungen erfüllen, darunter insbesondere:

      1) Sofern erforderlich, holen wir die konkrete Zustimmung für bestimmte Verarbeitungen personenbezogener Daten ein, darunter insbesondere die Zustimmung zur Verarbeitung durch Betriebsräte und sonstige Mitarbeiter- oder Gewerkschaftsvertretungen.

      2) Sofern erforderlich, melden wir die Verarbeitung personenbezogener Daten bei den für die Wahrung der Privatsphäre und für Datenschutz zuständigen Behörden oder beantragen deren Genehmigung.

      3) Sofern erforderlich, gewähren wir umfassendere Rechte (z B. bezüglich Zugang und Korrektur) als in dieser Richtlinie dargelegt.

      4) Sofern erforderlich, schränken wir die Speicherdauer für personenbezogene Daten weiter ein.

      5) Sofern erforderlich, schließen wir Vereinbarungen, die spezielle Klauseln enthalten, einschließlich Vereinbarungen zur grenzüberschreitenden Datenübermittlung an Dritte.

      6) Sofern erforderlich, werden wir personenbezogene Daten als Reaktion auf rechtmäßige Anfragen von öffentlichen Behörden offenlegen, einschließlich zur Erfüllung nationaler Sicherheits- oder Strafverfolgungsanforderungen.

      Im Falle eines Konflikts zwischen dieser Richtlinie und einem anwendbaren Gesetz hat die Norm Vorrang, die mehr Schutz für den Einzelnen bietet.

  2. Individuelle Anfragen hinsichtlich der Rechte auf Zugriff, Änderung, Korrektur oder Löschung personenbezogener Daten, Widersprüche gegen die Verarbeitung personenbezogener Daten oder Ausübung anderer Rechte hinsichtlich der personenbezogenen Daten werden von uns unverzüglich bearbeitet.
    1. Zugriff, Korrektur, Löschung und andere Rechte – In den meisten Ländern, in denen wir geschäftlich tätig sind, haben Personen das Recht, ihre eigenen personenbezogenen Daten einzusehen, sie zu ändern, zu korrigieren oder die Löschung anzufordern, sofern sie falsch, unvollständig oder überholt sind.
    2. Wir respektieren gemäß nachstehendem Abschnitt 3a und soweit gesetzlich zulässig, alle Anfragen in Bezug auf Zugriff, Korrektur und Löschung personenbezogener Daten von allen Personen. Falls eine Anfrage auf Zugriff, Korrektur oder Löschung einem geltenden Gesetz unterliegt, das einen größeren Schutz für Einzelpersonen vorsieht, stellen wir sicher, dass die zusätzlichen gesetzlichen Vorgaben erfüllt werden.

      In einigen Ländern haben Personen möglicherweise Anspruch auf weitere Rechte in Bezug auf ihre eigenen personenbezogenen Daten, wie das Recht, die Verarbeitung einzuschränken, einer Verarbeitung zu widersprechen (siehe auch nachstehenden Abschnitt 2b), und ihre Daten an einen anderen Dienstleister zu übermitteln. Wir respektieren die Ausübung der Datenrechte im Einklang mit den anwendbaren Gesetzen. Einige Rechte, wie z. B. das Recht auf Löschung, können aufgrund anderer behördlicher oder gesetzlicher Bestimmungen oder der Notwendigkeit der Einhaltung lokaler Compliance-Berichterstattung eingeschränkt sein; in diesem Fall werden wir Sie gegebenenfalls über diese Einschränkungen informieren.

    3. Wahlmöglichkeit – In Einklang mit unseren Datenschutzwerten „Respekt“ und „Vertrauen“ respektieren wir individuelle Anfragen auf Widerspruch gegen die Verarbeitung personenbezogener Daten, insbesondere die Wahlmöglichkeit, die Einwilligung zu einer vorab zugesagten Teilnahme an Programmen oder Aktivitäten zu widerrufen, der Verarbeitung personenbezogener Daten für Direktmarketingzwecke zu widersprechen, zielgerichtete Mitteilungen auf Basis personenbezogener Daten zu stoppen sowie Widerspruch gegen Auswertungen oder Entscheidungen, die automatisiert oder durch Anwendung von Algorithmen erfolgen und für die betroffenen Personen signifikante Auswirkungen haben können, einzulegen. Außer in Fällen, in denen dies gesetzlich verboten ist, können wir die Wahl verweigern, wenn eine spezielle Anfrage unser Unternehmen daran hindern oder beeinträchtigen würde: (1) Gesetze einzuhalten oder ethische Pflichten zu erfüllen, einschließlich Situationen, in denen wir als Reaktion auf gesetzmäßige Anfragen von öffentlichen Behörden personenbezogene Daten offenlegen müssen, unter anderem zum Zwecke der Befolgung nationaler Sicherheits- oder Strafverfolgungsanforderungen, (2) Rechtsansprüche zu untersuchen, geltend zu machen oder abzuwehren und (3) Verträge zu erfüllen, Beziehungen zu verwalten oder andere zulässige Geschäftsaktivitäten durchzuführen , die mit den Grundsätzen der Transparenz und der Zweckbindung übereinstimmen und unter Berufung auf die Daten über die betreffenden Personen eingegangen wurden. Wir dokumentieren eine Entscheidung über die Ablehnung einer Anfrage gemäß dieser Richtlinie und teilen sie dem Antragsteller innerhalb von fünfzehn (15) Werktagen mit, sofern gesetzlich nicht anders vorgeschrieben.
  3. Wir reagieren unverzüglich und sorgen für die umgehende Eskalation aller datenschutzbezogenen Fragen, Beschwerden, Anliegen und aller potenziellen Vorfälle bezüglich Privatsphäre und Datensicherheit.
    1. Jede Person, über die wir personenbezogene Daten innerhalb des Geltungsbereichs dieser Richtlinie verarbeiten, kann sich jederzeit mit Fragen, Beschwerden oder Anliegen an uns wenden, auch mit einer Anfrage nach einer Liste aller Tochtergesellschaften unseres Unternehmens, für die diese Richtlinie Gültigkeit hat. Wir erwarten, dass unsere Mitarbeiter und andere, für unser Unternehmen tätige Personen, uns unverzüglich darüber informieren werden, wenn sie Grund zu der Annahme haben, dass ein anwendbares Gesetz sie möglicherweise an der Einhaltung dieser Richtlinie hindert. Fragen, Beschwerden oder Anliegen von Einzelpersonen oder Hinweise von Mitarbeitern oder anderen, für unser Unternehmen tätigen Personen, sind an das Global Privacy Office zu richten:
      1. Per E-Mail für Personen mit Wohnsitz im Europäischen Wirtschaftsraum (EWR) an: euprivacydpo@organon.com
      2. Ansonsten per E-Mail an: privacyoffice@organon.com
    2. Postalisch an: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302. Angestellte sowie freie Mitarbeiter müssen das Global Privacy Office oder den für ihren Bereich ausgewiesenen Business Practice Manager unverzüglich über alle Fragen, Beschwerden oder Anliegen bezüglich der Datenschutzpraktiken unseres Unternehmens informieren.
    3. Das Global Privacy Office führt Überprüfungen und Untersuchungen durch (bzw. arbeitet hierbei mit Mitarbeitern der Ethik-Abteilung, der Rechts- und Compliance-Abteilung zusammen), um alle Fragen, Beschwerden oder Anliegen in Bezug auf die Datenschutzpraktiken unseres Unternehmens zu untersuchen, gleich, ob diese direkt von den Mitarbeitern oder von anderen Personen oder Dritten eingegangen sind, darunter insbesondere Zulassungsbehörden, Rechenschaftsstellen und sonstige staatliche Stellen. Wir antworten der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb von dreißig (30) Kalendertagen, es sei denn, das Gesetz oder der Antragsteller fordert eine schnellere Antwort oder die Umstände bedingen einen längeren Zeitraum für die Bearbeitung der Antwort, wie etwa bei einer gleichzeitigen staatlichen Untersuchung. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt, sobald das aufgrund der Umstände, die für die Verzögerung verantwortlich sind, möglich ist.
    4. Das Global Privacy Office kooperiert in Absprache mit Mitarbeitern der Rechts- und der Compliance-Abteilung bei Anfragen, Inspektionen oder Untersuchungen seitens einer datenschutzrechtlichen Aufsichtsbehörde.
    5. Für Beschwerden, die nicht zwischen unserem Unternehmen und der beschwerdeführenden Person beigelegt werden können, hat sich unser Unternehmen bereit erklärt, an den folgenden Verfahren zur Beilegung von Streitigkeiten bei der Untersuchung und Klärung von Beschwerden gemäß dieser Richtlinie teilzunehmen; Personen mit Wohnsitz im Europäischen Wirtschaftsraum (EWR) oder Personen, deren personenbezogene Daten dem anwendbaren Datenschutzrecht des EWR unterliegen und die an Länder außerhalb des EWR übermittelt werden, können sich jederzeit auch auf Standard 3.f berufen:

      Bei Streitigkeiten, die die Übermittlung personenbezogener Daten gemäß der Einhaltung der Asia Pacific Economic Cooperation („APEC“) Cross-Border Privacy Rules („CBPRs“) zwischen den APEC-Volkswirtschaften, der Übermittlung personenbezogener Daten im Zusammenhang mit nicht personalbezogenen Aktivitäten über das EU-U.S. und Swiss-US Privacy Shield, hat unser Unternehmen der Streitbeilegung durch unseren in den USA ansässigen Drittanbieter zugestimmt (kostenlos) unterhttps://feedback-form.truste.com/watchdog/request.

    6. Alle Personen mit Wohnsitz im EWR oder Personen, über die personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden, und deren Daten gemäß dieser Richtlinie verarbeitet werden, haben nach der Richtlinie das Recht, sofern die EU-Standardvertragsklauseln verwendet werden, um ihre personenbezogenen Daten zu übermitteln, die Auflagen der Standardvertragsklauseln als Drittbegünstigte jederzeit einzufordern, einschließlich des Rechts auf Einleitung von Verfahren, mit denen Abhilfemaßnahmen für den Verstoß gegen ihre Rechte nach den Standardvertragsklauseln erwirkt werden sollen (wie im vorstehenden Abschnitt 2 dargelegt). Außerdem haben sie das Recht auf Zuerkennung von Schadensersatzansprüchen, die aus einem derartigen Verstoß resultieren. Personen mit Wohnsitz im EWR oder Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden (aus Gründen der Klarheit einschließlich der USA) können gemäß der Standardvertragsklauseln Ansprüche bei den zuständigen Datenschutzbehörden (insbesondere im Mitgliedstaat des gewöhnlichen Wohnsitzes, des Arbeitsortes oder des Ortes des mutmaßlichen Verstoßes) geltend machen oder eine Beschwerde einreichen. Die Kontaktinformationen der Datenschutzbehörde finden Sie hier: Members | European Data Protection Board (europa.eu)
    7. Unser Unternehmen antwortet der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb des gesetzlich geltenden Zeitraums, es sei denn, das Gesetz oder der Dritte fordert eine schnellere Antwort oder die Umstände erfordern einen längeren Zeitraum für die Bearbeitung der Antwort. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt.
  4. Wir sind für die Einhaltung unserer Datenschutzwerte und -standards verantwortlich.
    1. Die Tochtergesellschaft unseres Unternehmens, die für eine Handlung verantwortlich ist, die zu einem nachgewiesenen Datenschutz- oder Sicherheitsvorfall führt, ist finanziell für alle aus diesem Vorfall resultierenden Schadensersatzsummen, Bußgelder und Geldstrafen verantwortlich.
      1. In Absprache mit und auf Anweisung des MSD Global Privacy Office ist der Europäische Datenschutzbeauftragte dafür verantwortlich, sicherzustellen, dass die notwendigen Maßnahmen getroffen werden, um gegen mutmaßliche Verstöße gegen diese Richtlinie durch Tochtergesellschaften unseres Unternehmens außerhalb des EWR vorzugehen, die Personen betreffen, die im EWR ansässig sind, oder Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in ein Land außerhalb des EWR übermittelt wurden.

Aufsicht und Kontrollen

Um gegenüber Aufsichtsbehörden und anderen Stakeholder sicherzustellen, dass unser Unternehmen für seine Verpflichtung zu ethischen und verantwortungsvollen Datenschutzpraktiken verantwortlich ist, unterhält das Unternehmen eine für Aufsicht und Kontrollen zuständige, umfassende Governance-Gruppe, die unter Leitung eines Chief Privacy Officer steht und ein eigenes Global Privacy Office (GPO) mit Aufsicht eines Datenschutzausschusses, einen EU‑Datenschutzbeauftragten (EU DPO), landesspezifische Datenschutzbeauftragte (DPO’s) wo dies gesetzlich oder aufgrund lokaler behördlicher Anordnung vorgeschrieben ist und spezielle Business Practice Managers, die von leitenden Führungskräften ernannt werden und als Kontaktstelle zwischen dem Organon Global Privacy Office und den Organisationsbereichen dienen, in denen sie tätig sind.

Begriffe, die Sie kennen müssen

  • Anonymisiert. Die Abänderung, Kürzung, Unkenntlichmachung oder sonstige Schwärzung oder Modifikation personenbezogener Daten, so dass diese unwiderruflich nicht mehr dazu verwendet werden können, Personen zu identifizieren, zu lokalisieren oder zu kontaktieren, entweder allein oder in Verbindung mit anderen Daten.
  • Datenschutzverletzung. Ein Verstoß gegen die Sicherheitsbestimmungen, der zu einer versehentlichen oder widerrechtlicher Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von personenbezogenen Daten bzw. zum Zugriff auf diese führt bzw. der begründeter Verdacht eines solchen Verstoßes durch unser Unternehmen. Zugriffe auf personenbezogene Daten durch unser Unternehmen oder im Namen unseres Unternehmens stellen keine Datenschutzverletzung dar, wenn nicht die Absicht besteht, gegen diese Richtlinie zu verstoßen und, wenn die erfassten Daten nur nach Maßgabe dieser Richtlinie verwendet und weitergegeben werden.
  • Datenschutzvorfall. Ein Verstoß gegen diese Richtlinie oder ein Datenschutzgesetz und einschließlich eines Sicherheitsvorfalls. Das Global Privacy Office, das Business Technology Risk Management (BTRM) und die Rechtsabteilung entscheiden, ob ein Datenschutzvorfall aufgetreten ist und, ob er zu einer Verletzung personenbezogener Daten hochgestuft werden sollte.
  • Deidentifiziert. Das Entfernen direkter und indirekter persönlicher Identifizierungsmarkmale, wobei die ursprünglichen Identifikationsdaten häufig getrennt aufbewahrt werden.
  • Dritte. Jede juristische Person, Vereinigung oder Person, die nicht im Besitz unseres Unternehmens ist oder an der unser Unternehmen keine Mehrheitsbeteiligung hält oder die nicht bei unserem Unternehmen beschäftigt ist. Kein verbundenes Unternehmen des Unternehmens sollte als Dritter erachtet werden.
  • Gesetz/Recht. Alle anwendbaren Gesetze, Regeln, Bestimmungen und Verordnungen, die in jedem Land, in dem unser Unternehmen geschäftlich tätig ist oder in dem personenbezogene Daten von unserem Unternehmen oder im Namen unseres Unternehmens verarbeitet werden, Rechtskraft haben. Dazu gehören alle Datenschutzrahmenbestimmungen, nach denen unser Unternehmen zugelassen oder zertifiziert ist, einschließlich der Bestimmungen für die grenzüberschreitende Datenübermittlung (Cross-Border Privacy Rules, „CBPR“) der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (Asia Pacific Economic Cooperation, „APEC“).
  • Personenbezogene Daten. Jegliche Daten, die sich auf identifizierte oder identifizierbare Personen beziehen, darunter Daten, anhand derer eine Person direkt identifiziert oder mit deren Hilfe eine Person identifiziert, lokalisiert, verfolgt oder kontaktiert werden kann. Personenbezogene Daten sind sowohl direkt identifizierbare Daten wie Namen, Identifikationsnummern oder individuelle Stellenbezeichnungen als auch indirekt identifizierbare Daten, wie das Geburtsdatum, die eindeutige Kennung eines mobilen und tragbaren Geräts, eine Telefonnummer sowie schlüsselcodierte Daten und Online‑Kennungen wie IP‑Adressen oder jegliche persönliche Aktivitäten, Verhaltensweisen oder Vorlieben, die zur Bereitstellung von Dienstleistungen oder Produkten gesammelt werden können.
  • Sensible Daten. Alle Arten personenbezogener Daten, mit denen das Risiko eines potenziellen Schadens für Personen verbunden ist, darunter Daten, die per Gesetz als sensibel definiert sind. Dazu gehören insbesondere Daten über Gesundheit, genetische und biometrische Daten, Rasse, ethnischen Ursprung, Religion, politische oder ideologische Anschauungen oder Überzeugungen, Vorstrafenregister, präzise Daten zum geographischen Standort, Bankdaten oder sonstige Kontonummern, von staatlichen Stellen ausgegebene Identifikationsnummern, minderjährige Kinder, Sexualleben, sexuelle Orientierung, Gewerkschaftszugehörigkeit, Versicherungen, Sozialversicherung und sonstige vom Arbeitgeber oder staatlichen Stellen zugewiesene Leistungen.
  • Sicherheitsvorfall. Ein Informationssicherheitsvorfall besteht aus einem oder mehreren unerwünschten oder unerwarteten Informationssicherheitsereignissen, die möglicherweise die Sicherheit von Informationen gefährden und den Geschäftsbetrieb schwächen oder beeinträchtigen können.
  • Unternehmen. Organon & Co., seine Nachfolger, Tochterunternehmen und Abteilungen weltweit, ausgenommen Joint Ventures, an denen unser Unternehmen beteiligt ist.
  • Verarbeitung. Durchführung einer Maßnahme oder einer Reihe von Maßnahmen bei personenbezogenen Daten, die auch automatisch erfolgen kann, einschließlich, aber nicht darauf beschränkt auf Erfassung, Speicherung, Ordnung, Aufbewahrung, Zugriff, Anpassung, Abänderung, Abruf, Beratung, Nutzung, Auswertung, Analyse, Melden, Weiterleitung, Offenlegung, Verbreitung, Übertragung, Bereitstellung, Angleichung, Kombination, Blockierung, Löschung, Tilgung oder Vernichtung.

Änderungen dieser Richtlinie

Diese Richtlinie kann in bestimmten Zeitabständen und gemäß den Anforderungen geltender Gesetze geändert werden. Ein Hinweis wird auf der Datenschutzwebseite unseres Unternehmens (https://www.organon.com/privacy) für die Dauer von 60 Tagen veröffentlicht, wenn diese Richtlinie in erheblich Weise geändert wird.