Datenschutzrechtlicher Hinweis gültig ab 22.04.2026

Im Rahmen der Erbringung von Aufträgen gegenüber der BMW AG oder gegenüber einem anderen Unternehmen der BMW Group werden Ihre personenbezogenen Daten verarbeitet, wie auch personenbezogene Daten von Ihren Mitarbeitern (inkl. Zeit- und Leiharbeitnehmern) und sonstigen Dritten in Ihrem Auftrag (z. B. Sublieferanten; zusammen: „Betroffene“). 
Im Folgenden finden Sie daher für Sie relevante Informationen über diese Datenverarbeitungen. 
Auftraggeber einer vertraglichen Leistung kann dabei sowohl die BMW AG als auch ein anderes Unternehmen der BMW Group sein (im Folgenden: „Auftraggeber“, „wir“ oder „BMW“ genannt). Auftragnehmer ist ein Partner der BMW AG oder eines anderen Unternehmens der BMW Group (im Folgenden: „Auftragnehmer“ oder „Ihr Arbeitgeber“ genannt); dies umfasst auch Sublieferanten, die im Auftrag eines unmittelbaren Auftragnehmers tätig werden. 
 

Wer ist die verantwortliche Stelle für Datenverarbeitungsvorgänge?

Die BMW AG, Petuelring 130, 80788 München, ist verantwortliche Stelle im Sinne der EU-Datenschutzgrundverordnung („DGSVO“) für die Verarbeitung Ihrer personenbezogenen Daten, die über die Website b2b.bmw.com, b2b.bmwgroup.net verarbeitet werden. Die BMW AG hat ihren Sitz in München.
Sofern Ihre personenbezogenen Daten im Rahmen der Auftragserbringung in den IT-Systemen von BMW verarbeitet werden, ist der jeweilige Auftraggeber als verantwortliche Stelle anzusehen.  
 
Die Kontaktdaten der BMW Partnerbetreuung der BMW AG und des Konzerndatenschutzes bei BMW sind:


BMW Group Partner Portal                                                                BMW AG Konzerndatenschutz
PartnerPortal@bmw.de                                                                      Datenschutz@bmw.de

 

 

Wann erhebt und verarbeitet BMW personenbezogene Daten?

BMW erhebt und verarbeitet Ihre personenbezogenen Daten unter anderem in den folgenden Fällen:

  • Im Rahmen der Registrierung des BMW Group Partner Portals.
  • Im Rahmen der Nutzung des BMW Group Partner Portals.
  • Im Rahmen der Erbringung von Dienstleistungen des Auftragnehmers, bei denen die Nutzung von BMW IT-Systemen vorgesehen ist.
  • Im Rahmen der Durchführung des jeweiligen Auftrags des Auftragnehmers, einschließlich der Anbahnung, Durchführung und Abwicklung des jeweiligen Auftrags.

Verwendung von KI-Systemen

Wir nutzen verschiedene IT-Systeme, die auf künstlicher Intelligenz (KI) basieren, wie beispielsweise Microsoft Copilot. Wir können Ihre Daten bzw. die Daten Ihrer Mitarbeiter und sonstiger Berechtigter von Ihnen mithilfe von KI-Systemen verarbeiten.

 

Welche Daten können über Betroffene erhoben werden?

Die folgenden Kategorien von personenbezogenen Daten werden erhoben:

  • Firmenname, Postadresse und Lieferantennummer des Auftragnehmers.
  • Name, Stellenbezeichnung, Organisationseinheit, Telefonnummer und Email-Adresse von Mitarbeitenden des Auftragnehmers sowie ggf. von Mitarbeitern von Subdienstleistern.
  • Online-Identifikation (Benutzername) und Passwort.
  • Applikationsbezogene persönliche Konfigurationseinstellungen und Präferenzen.

Bitte helfen Sie uns dabei, Ihre Angaben aktuell zu halten, indem Sie uns über Änderungen bei Ihren personenbezogenen Daten (insbesondere zu Ihren Kontaktdaten) informieren bzw. Sie dies im Portal selbst ändern.
 

Zu welchen Zwecken werden Daten von Betroffenen verarbeitet?

Die im Zusammenhang mit dem Vertragsabschluss oder der Erbringung der beauftragten Leistung erhobenen Daten werden zu nachfolgend genannten Zwecken verarbeitet.

 

A. Erfüllung der vertraglichen Pflicht im Rahmen der Beauftragung (Art. 6 Abs. 1 lit. b, f) DSGVO)

Bei der Nutzung der über das BMW Group Partner Portal bereitgestellten Dienste werden obig gelistete personenbezogene Daten primär zum Zweck der Authentifizierung, Autorisierung, Ablaufsteuerung und Kontaktaufnahme im Rahmen der Bestimmungen des geltenden Datenschutzrechts erhoben, verarbeitet und genutzt.

Die Verarbeitung von Stammdaten erfolgt basierend auf Art. 6 Abs. 1 lit b), f) DSGVO, sofern diese Erhebung, Verarbeitung und Speicherung zur Erfüllung des Vertrags zwischen Ihnen bzw. Ihrem Arbeitgeber und BMW erforderlich ist.

Das berechtigte Interesse von BMW ergibt sich neben der vertraglichen Beziehung zwischen Ihrem Arbeitgeber und der BMW AG auch aus der TISAX Zertifizierung von BMW und den damit einhergehenden Informationssicherheitsauflagen, die besagen, dass BMW alle Personen und deren Arbeitgeber identifizieren können muss, die BMW Group IT Systeme nutzen. Insofern ist für jede Nutzung von BMW IT Systemen ein persönlicher Account der Betroffenen erforderlich.

Zusätzlich verarbeiten wir personenbezogene Daten, die Sie in ein IT-System eingeben (u.a. auch IT-Systeme, die eine Künstliche Intelligenz verwenden), sofern dies im Rahmen der jeweiligen Auftragserbringung gegenüber BMW erforderlich ist. BMW stellt sicher, dass personenbezogene Daten von Betroffenen nicht für Trainingszwecke zukünftiger KI-Modelle verwendet werden. Personenbezogene Daten, die von einem KI-System verarbeitet werden, bleiben unter der Kontrolle von BMW.  

 

B. Erfüllung rechtlicher Verpflichtungen, denen BMW unterliegt (Art. 6 Abs. 1 lit. c, f) DSGVO)

Erhobene Daten werden auch im Rahmen der Sicherstellung des Betriebs von IT Systemen verarbeitet. Unter Sicherstellung werden u. a. nachfolgende Tätigkeiten verstanden:
 

  • Sicherung und Wiederherstellung von in IT Systemen verarbeiteten Daten,
  • Logging und Monitoring von Transaktionen, um korrekte Funktion der IT Systeme zu prüfen,
  • Erkennung und Abwehr von unbefugtem Zugriff auf personenbezogene Daten,
  • Incident und Problem Management zur Behebung von Störungen in IT Systemen.

BMW unterliegt einer Vielzahl an weiteren gesetzlichen Verpflichtungen. Um diesen Verpflichtungen nachzukommen verarbeiten wir Ihre Daten im erforderlichen Umfang und geben diese gegebenenfalls im Rahmen gesetzlicher Meldepflichten an die verantwortlichen Behörden weiter.

Weiterhin verarbeiten wir Ihre Daten gegebenenfalls im Fall eines Rechtsstreits, wenn der Rechtsstreit eine Verarbeitung Ihrer Daten notwendig macht.

 

Wie schützen wir personenbezogenen Daten von Betroffenen?

Wir setzen verschiedene Sicherheitsmaßnahmen wie Verschlüsselungs- und Authentifizierungswerkzeuge nach dem Stand der Technik ein, um die Sicherheit, Integrität und Verfügbarkeit der Daten von Betroffenen zu schützen und aufrechtzuerhalten.

Ihre personenbezogenen Daten bzw. die personenbezogenen Daten Ihrer Mitarbeiter und sonstiger Berechtigter werden im Einklang mit den geltenden Datenschutzvorschriften durch physische, elektronische und verfahrensorientierte Sicherheitsvorkehrungen nach dem aktuellen Stand der Technik geschützt. Unter anderem werden folgende Maßnahmen eingesetzt:

  • Strenge Kriterien für die Berechtigung zum Zugriff auf Ihre Daten auf "Need-to-Know-Prinzip" (Beschränkung auf möglichst wenige Personen) und ausschließlich für den angegebenen Zweck,
  • Weitergabe erhobener Daten ausschließlich in verschlüsselter Form,
  • Speicherung vertraulicher Daten ausschließlich in verschlüsselter Form,
  • Firewall-Absicherung von IT-Systemen zum Schutz vor unbefugtem Zugriff, z. B. durch Hacker und
  • permanente Überwachung der Zugriffe auf IT-Systeme zur Erkennung und Unterbindung einer missbräuchlichen Verwendung personenbezogener Daten.

     
Wie lange bewahren wir Daten von Betroffenen auf?

BMW bewahrt Ihre Daten bzw. die Daten Ihrer Mitarbeiter und sonstiger Berechtigter nur so lange auf, wie dies für die jeweiligen betreffenden Zwecke, für die BMW diese Daten erhalten hat, notwendig ist. Falls Daten für mehrere Zwecke verarbeitet werden, werden sie automatisch gelöscht oder in einem Format gespeichert, das keine direkten Rückschlüsse auf Ihre Person zulässt, sobald der letzte spezifische Zweck erfüllt worden ist. Zur Sicherstellung, dass personenbezogene Daten wieder gelöscht werden, hat BMW ein internes Löschkonzept entworfen. Die grundsätzlichen Prinzipien, nach denen dieses Löschkonzept die Löschung Ihrer personenbezogenen Daten vorsieht, sind im Folgenden dargestellt.

Verwendung zur Erfüllung eines Vertrags


Zur Erfüllung vertraglicher Verpflichtungen können wir Daten von Ihnen bzw. Ihren Mitarbeitern und sonstigen Berechtigten so lange aufbewahren, wie der Vertrag in Kraft ist. Zudem, abhängig vom Charakter und der Tragweite des Vertrages, 6 oder 10 Jahre darüber hinaus, um den gesetzlichen Aufbewahrungspflichten zu entsprechen und um eventuelle Anfragen oder Ansprüche nach Vertragsablauf zu klären.

Darüber hinaus gibt es Verträge zur Entwicklung, Produktion oder Lieferung von Produkten und Dienstleistungen, die längere Aufbewahrungsfristen notwendig machen, siehe auch nachfolgend „Verwendung zur Abwägung von Ansprüchen“.

Verwendung zur Prüfung von Ansprüchen

Daten, die nach unserem Ermessen notwendig sein werden, um Ansprüche gegenüber uns zu prüfen, abzuwehren oder um gegen Sie, uns oder Dritte eine strafrechtliche Verfolgung einzuleiten oder Ansprüche vorzubringen, können von uns so lange aufbewahrt werden, wie ein entsprechendes Verfahren angestrengt werden könnte.

 

Wie können Sie Ihre Registrierung online einsehen und diese widerrufen?

Sie können Ihre Registrierung hier einsehen. Ein Widerruf ist mit der Löschung des Accounts im Partner Portal möglich. Die Löschung können Sie im Persönlichen Bereich unter "Eigene Daten" veranlassen.

 

Wem geben wir international Zugriff auf Ihre Daten bzw. die Daten Ihrer Mitarbeiter und sonstiger Berechtigter und wie schützen wir sie dabei?

BMW ist ein global agierendes Unternehmen. Personenbezogene Daten werden durch BMW und von uns beauftragten Dienstleister bevorzugt innerhalb der EU verarbeitet.

Soweit es erforderlich ist, übersenden wir nach sorgfältiger Überprüfung Ihre Daten an andere Gesellschaften der BMW Group, die diese als eigene Verantwortliche weiterverarbeiten. Im Fall der Datenübermittlung an Gesellschaften der BMW Group, die außerhalb der EU / des EWR niedergelassen sind, erfolgt eine solche im Einklang mit Vorgaben der DSGVO an internationale Datenübermittlungen. 

Sollten Daten in Ländern außerhalb der EU verarbeitet werden, ist dies zur Abwicklung des mit BMW geschlossenen Vertrages erforderlich.  BMW stellt mit geeigneten technischen und organisatorischen Maßnahmen sicher, dass Ihre personenbezogenen Daten innerhalb des Portals entsprechend des europäischen Datenschutzniveaus verarbeitet werden.

Für einige Länder außerhalb der EU, wie z. B. Kanada und Schweiz, hat die EU ein vergleichbares Datenschutzniveau festgestellt. Aufgrund des vergleichbaren Datenschutzniveaus bedarf die Datenübermittlung in diese Länder keiner besonderen Genehmigung oder Vereinbarung.

BMW greift zur Unterstützung bei der Bereitstellung der aufgeführten Dienstleistungen und Verwendungszwecke auf eine Reihe von Dienstleistern zurück, die im Rahmen der strengen Auflagen einer datenschutzrechtlichen Auftragsverarbeitung von BMW hierzu beauftragt werden.


 

Kontakt mit uns, Ihre Datenschutzrechte und Recht auf Beschwerde bei der Datenschutzbehörde

Bei Fragen zur Verwendung von personenbezogenen Daten durch uns wenden Sie sich am besten zuerst an die BMW Hotline per E-Mail unter PartnerPortal@bmw.de.

Darüber hinaus können Sie sich an den zuständigen Datenschutzbeauftragten wenden, Adresse siehe oben.

Als von der Verarbeitung Ihrer Daten betroffene Personen können Sie nach der DSGVO sowie nach anderen einschlägigen Datenschutzbestimmungen bestimmte Rechte bei uns geltend machen. Nach der DSGVO stehen Ihnen sowie Ihren Mitarbeitern und sonstigen Berechtigten gegenüber BMW insbesondere die folgenden Rechte als betroffene Person zu:

Recht auf Auskunft (Art. 15 DSGVO):

Sie können von uns jederzeit Informationen über Ihre Daten, die wir über Sie halten, verlangen. Diese Daten sind durch Sie bzw. einem anderen Mitarbeiter Ihres Arbeitgebers im Partner Portal hinterlegt worden.

Recht auf Berichtigung (Art. 16 DSGVO):

Die Daten können ausschließlich durch Sie bzw. einen anderen Mitarbeiter Ihres Arbeitgebers geändert werden. Für eventuelle erforderliche Berichtigungen sind Sie selbst verantwortlich.

Recht auf Löschung (Art. 17 DSGVO):

Die Daten können ausschließlich durch Sie bzw. einen anderen Mitarbeiter Ihres Arbeitgebers gelöscht werden. Für eine Löschung Ihrer Daten sind Sie selbst verantwortlich.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):

Sie können von uns die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn:

  • Sie die Richtigkeit der Daten bestreiten, und zwar für den Zeitraum, den wir benötigen, um die Richtigkeit der Daten zu überprüfen;
  • die Verarbeitung unrechtmäßig ist und Sie die Löschung Ihrer Daten ablehnen und stattdessen die Einschränkung der Nutzung verlangen;
  • wir Ihre Daten nicht länger benötigen, Sie diese aber benötigen, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen;
  • Sie Widerspruch gegen die Verarbeitung eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe Ihre überwiegen.
     

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): 

Auf den Antrag eines Betroffenen hin werden wir die entsprechenden Daten (soweit dies technisch möglich ist) an einen anderen Verantwortlichen übertragen. Dieses Recht steht Ihnen bzw. einem Mitarbeiter oder sonstigen Berechtigten von Ihnen allerdings nur zu, sofern die Datenverarbeitung auf einer entsprechenden Einwilligung beruht oder erforderlich ist, um einen Vertrag durchzuführen. Anstatt einer Kopie der jeweiligen Daten zu erhalten, können Sie bzw. ein Mitarbeiter oder sonstiger Berechtigter uns auch bitten, dass wir die Daten direkt an einen anderen, von Ihnen bzw. einem Mitarbeiter oder sonstigen Berechtigten konkretisierten Verantwortlichen übermitteln.

Recht auf Widerspruch (Art. 21 DSGVO):

Sie, bzw. ein Mitarbeiter oder sonstiger Berechtigter von Ihnen, können der Verarbeitung der entsprechenden Daten aus Gründen jederzeit widersprechen, die sich aus Ihrer besonderen Situation ergeben, sofern die Datenverarbeitung auf Ihrer Einwilligung oder auf unseren berechtigten Interessen oder denen eines Dritten beruht. In diesem Fall werden wir Ihre Daten nicht länger verarbeiten. Letzteres gilt nicht, sofern wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen überwiegen oder wir Ihre Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.

Auskunftsbeschränkung bei der Erfüllung von Betroffenenrechten

In bestimmten Situationen können wir Ihnen aufgrund gesetzlicher Vorgaben möglicherweise keine Auskunft über sämtliche Daten erteilen. Falls wir ein Auskunftsersuchen in einem solchen Fall ablehnen müssen, werden wir Sie bzw. einen Mitarbeiter oder sonstigen Berechtigten von Ihnen zugleich über die Gründe der Ablehnung informieren.

Beschwerde bei Aufsichtsbehörden

BMW nimmt Ihre Bedenken und Rechte sehr ernst. Sollten Sie aber der Ansicht sein, dass wir Ihren Beschwerden oder Bedenken nicht hinreichend nachgekommen sind, haben Sie das Recht, eine Beschwerde bei einer zuständigen Datenschutzbehörde einzureichen. Dies gilt entsprechend für einen Mitarbeiter oder sonstigen Berechtigten von Ihnen.