Datenschutzrechtlicher Hinweis
Wer ist die verantwortliche Stelle für Datenverarbeitungsvorgänge?

Die BMW AG (im Folgenden als "BMW" bzw. "Wir" bezeichnet), Petuelring 130, 80788 München ist Verantwortlicher im Sinne der EU-Datenschutzgrundverordnung ("DGSVO") für die Verarbeitung Ihrer personenbezogenen Daten. Die BMW AG hat ihren Sitz in München.

BMW ist Verantwortlicher für Ihre personenbezogenen Daten, die über die Website b2b.bmw.com, b2b.bmwgroup.net verarbeitet werden.

 

Begriffsbestimmung:
Auftraggeber einer vertraglichen Leistung ist die BMW, Auftragnehmer ist ein BMW Group Partner, im folgenden Arbeitgeber genannt.

 

Die Kontaktdaten der BMW Partnerbetreuung der BMW AG und des Konzerndatenschutzes der BMW AG sind:
BMW Group Partner Portal                        BMW AG Konzerndatenschutz
PartnerPortal@bmw.de                              Datenschutz@bmw.de

 

Wann erhebt und verarbeitet BMW personenbezogene Daten?

BMW erhebt und verarbeitet Ihre personenbezogenen Daten unter anderem in den folgenden Fällen:

  • Im Rahmen der Registrierung des BMW Group Partner Portals
  • Im Rahmen der Nutzung des BMW Group Partner Portals

 

Welche Daten können über Sie erhoben werden?

Die folgenden Kategorien von personenbezogenen Daten werden erhoben:

  • Kontaktdaten
    Firmenname, Postadresse und Lieferantennummer des Arbeitgebers
    Name, Stellenbezeichnung, Organisationseinheit, Telefonnummer und
    EMail-Adresse
    Online-Identifikation (Benutzername) und Passwort
  • Applikationsbezogene persönliche Konfigurationseinstellungen und Präferenzen.
    Bitte helfen Sie uns dabei, Ihre Angaben aktuell zu halten, indem Sie uns über Änderungen bei Ihren personenbezogenen Daten ¿ insbesondere zu Ihren Kontaktdaten ¿ informieren bzw. Sie dies im Portal selber ändern.

 

Zu welchen Zwecken werden Ihre Daten verarbeitet?

Die im Zusammenhang mit dem Vertragsabschluss oder der Erbringung der beauftragten Leistung erhobenen Daten werden zu nachfolgend genannten Zwecken verarbeitet.

 

A. Erfüllung der vertraglichen Pflicht im Rahmen der Beauftragung (Art. 6 Abs. 1 lit. b, f) DSGVO)

Bei der Nutzung der über das BMW Group Partner Portal bereitgestellten Dienste werden obig gelistete personenbezogene Daten primär zum Zweck der Authentifizierung, Autorisierung, Ablaufsteuerung und Kontaktaufnahme im Rahmen der Bestimmungen des geltenden Datenschutzrechts erhoben, verarbeitet und genutzt.

 

Die Verarbeitung der Stammdaten eines Sublieferanten erfolgt basierend auf Artikel 6 EU-DSGVO Abs. 1. Lit f), sofern diese Erhebung, Verarbeitung und Speicherung zur Erfüllung des Vertrags zwischen BMW Group und dem unmittelbaren Auftragnehmer von BMW dient.

Der Sublieferant registriert und bewirbt sich initiativ im Auftrag des unmittelbaren Auftragnehmers von BMW für eine BMW Group Lieferantennummer.

Das berechtige Interesse von BMW ergibt sich aus der TISAX Zertifizierung von BMW und den damit einhergehenden Informationssicherheitsauflagen, die besagen, dass BMW alle Personen und Unternehmen identifizieren können muss, die BMW Group IT Systeme nutzen.

 

B. Erfüllung rechtlicher Verpflichtungen, denen BMW unterliegt (Art. 6 Abs. 1 lit. c, f) DSGVO)

Erhobene Daten werden auch im Rahmen der Sicherstellung des Betriebs von IT Systemen verarbeitet. Unter Sicherstellung werden u. a. nachfolgende Tätigkeiten verstanden:

  • Sicherung und Wiederherstellung von in IT Systemen verarbeiteten Daten,
  • Logging und Monitoring von Transaktionen, um korrekte Funktion der IT Systeme zu prüfen,
  • Erkennung und Abwehr von unbefugtem Zugriff auf personenbezogene Daten,
  • Incident und Problem Management zur Behebung von Störungen in IT Systemen.

BMW unterliegt einer Vielzahl an weiteren gesetzlichen Verpflichtungen. Um diesen Verpflichtungen nachzukommen verarbeiten wir Ihre Daten im erforderlichen Umfang und geben diese gegebenenfalls im Rahmen gesetzlicher Meldepflichten an die verantwortlichen Behörden weiter.

Weiterhin verarbeiten wir Ihre Daten gegebenenfalls im Fall eines Rechtsstreits, wenn der Rechtsstreit eine Verarbeitung Ihrer Daten notwendig macht.

 

C. Datenübermittlung innerhalb der BMW Group

Die BMW AG ist Teil der BMW Group. Soweit es erforderlich, um das B2B zu nutzen, übersenden wir nach sorgfältiger Überprüfung Ihre Daten an andere Gesellschaften der BMW Group, die diese als eigene Verantwortliche weiter verarbeiten.

 

D. Wie schützen wir Ihre personenbezogenen Daten?

Wir setzen verschiedene Sicherheitsmaßnahmen wie Verschlüsselungs- und Authentifizierungswerkzeuge nach dem Stand der Technik ein, um die Sicherheit, Integrität und Verfügbarkeit Ihrer Daten zu schützen und aufrechtzuerhalten.

Ihre personenbezogenen Daten werden im Einklang mit den geltenden Datenschutzvorschriften durch physische, elektronische und verfahrensorientierte Sicherheitsvorkehrungen nach dem aktuellen Stand der Technik geschützt. Unter anderem setzen wir folgende Maßnahmen ein:

  • Strenge Kriterien für die Berechtigung zum Zugriff auf Ihre Daten auf "Need-to-Know-Prinzip" (Beschränkung auf möglichst wenige Personen) und ausschließlich für den angegebenen Zweck,
  • Weitergabe erhobener Daten ausschließlich in verschlüsselter Form,
  • Speicherung vertraulicher Daten ausschließlich in verschlüsselter Form,
  • Firewall-Absicherung von IT-Systemen zum Schutz vor unbefugtem Zugriff, z. B. durch Hacker und
  • permanente Überwachung der Zugriffe auf IT-Systeme zur Erkennung und Unterbindung einer missbräuchlichen Verwendung personenbezogener Daten.

 

Wie lange bewahren wir Ihre Daten auf?

Wir werden Ihre Daten nur so lange aufbewahren wie dies für die jeweiligen betreffenden Zwecke, für die wir Ihre Daten verarbeiten, notwendig ist. Falls wir Daten für mehrere Zwecke verarbeiten, werden sie automatisch gelöscht oder in einem Format gespeichert, das keine direkten Rückschlüsse auf Ihre Person zulässt, sobald der letzte spezifische Zweck erfüllt worden ist. Zur Sicherstellung, dass alle Ihre Daten wieder gelöscht werden, hat BMW ein internes Löschkonzept entworfen. Die grundsätzlichen Prinzipien, nach denen dieses Löschkonzept die Löschung Ihrer personenbezogenen Daten vorsieht, sind im Folgenden dargestellt.

 

Verwendung zur Erfüllung eines Vertrags

Zur Erfüllung vertraglicher Verpflichtungen können von Ihnen erhobene Daten so lange aufbewahrt werden, wie der Vertrag in Kraft ist, sowie abhängig vom Charakter und der Tragweite des Vertrages 6 oder 10 Jahre darüber hinaus, um den gesetzlichen Aufbewahrungspflichten zu entsprechen und um eventuellen Anfragen oder Ansprüche nach Vertragsablauf zu klären.

Darüber hinaus gibt es Verträge zur Entwicklung, Produktion oder Lieferung von Produkten und Dienstleistungen, die längere Aufbewahrungsfristen notwendig machen, siehe auch nachfolgend "Verwendung zur Abwägung von Ansprüchen".

 

Verwendung zur Prüfung von Ansprüchen

Daten, die nach unserem Ermessen notwendig sein werden, um Ansprüche an uns zu prüfen, abzuwehren oder um gegen Sie, uns oder Dritte eine strafrechtliche Verfolgung einzuleiten oder Ansprüche vorzubringen, können von uns so lange aufbewahrt werden, wie ein entsprechendes Verfahren angestrengt werden könnte.

 

Wem geben wir international Zugriff auf Ihre Daten und wie schützen wir sie dabei?

BMW ist ein global agierendes Unternehmen. Personenbezogenen Daten werden durch BMW Mitarbeiter, nationale Vertriebsgesellschaften, BMW Partner und von uns beauftragte Dienstleister bevorzugt innerhalb der EU verarbeitet.

Sollten Daten in Ländern außerhalb der EU verarbeitet werden, ist dies zur Abwicklung des mit BMW geschossenen Vertrages erforderlich.  BMW stellt mit geeigneten technischen und organisatorischen Maßnahmen sicher, dass Ihre personenbezogenen Daten innerhalb des Portals entsprechend dem europäischen Datenschutzniveau verarbeitet werden.

Für einige Länder außerhalb der EU, wie z. B. Kanada und Schweiz, hat die EU schon ein vergleichbares Datenschutzniveau festgestellt. Aufgrund des vergleichbaren Datenschutzniveaus bedarf die Datenübermittlung in diese Länder keiner besonderen Genehmigung oder Vereinbarung.

BMW greift zur Unterstützung bei der Bereitstellung der aufgeführten Dienstleistungen und Verwendungszwecken auf eine Reihe von Dienstleistern zurück, die im Rahmen der strengen Auflagen einer datenschutzrechtlichen Datenverarbeitung im Auftrag von der BMW AG beauftragt werden.

 

Wie können Sie Ihre Registrierung online einsehen und diese widerrufen?

Sie können Ihre Registrierung hier einsehen. Ein Widerruf ist mit der Löschung des Accounts im Partner Portal möglich. Die Löschung können Sie im Persönlichen Bereich unter "Eigene Daten" veranlassen.

 

Kontakt mit uns, Ihre Datenschutzrechte und Ihr Recht auf Beschwerde bei der Datenschutzbehörde

Bei Fragen zur Verwendung Ihrer personenbezogenen Daten durch uns wenden Sie sich am besten zuerst an die BMW Hotline per E-Mail unter PartnerPortal@bmw.de.

Darüber hinaus können Sie sich an den zuständigen Datenschutzbeauftragten wenden. Adresse siehe oben.

Als von der Verarbeitung Ihrer Daten betroffene Personen können Sie nach der DSGVO sowie nach anderen einschlägigen Datenschutzbestimmungen bestimmte Rechte bei uns geltend machen. Der folgende Abschnitt enthält Erläuterungen über Ihre Betroffenenrechte nach der DSGVO.

 

Betroffenenrechte

Nach der DSGVO stehen Ihnen gegenüber BMW insbesondere die folgenden Rechte als betroffene Person zu:

 

Recht auf Auskunft (Art. 15 DSGVO):

Sie können von uns jederzeit Informationen über Ihre Daten, die wir über Sie halten, verlangen. Diese Daten sind durch Sie bzw. einem anderen Mitarbeiter Ihres Unternehmens im Partner Portal hinterlegt worden.

 

Recht auf Berichtigung (Art. 16 DSGVO):

Die Daten können ausschließlich durch Sie bzw. einen anderen Mitarbeiter Ihres Unternehmens geändert werden. Für eventuelle erforderliche Berichtigungen sind Sie selbst verantwortlich.

 

Recht auf Löschung (Art. 17 DSGVO):

Die Daten können ausschließlich durch Sie bzw. einen anderen Mitarbeiter Ihres Unternehmens gelöscht werden. Für eine Löschung Ihrer Daten sind Sie selbst verantwortlich.

 

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):

Sie können von uns die Einschränkung der Verarbeitung Ihrer Daten verlangen:

  • Sie die Richtigkeit der Daten bestreiten und zwar für den Zeitraum, den wir benötigen, um die Richtigkeit der Daten zu überprüfen;
  • Die Verarbeitung unrechtmäßig ist und Sie die Löschung Ihrer Daten ablehnen und stattdessen die Einschränkung der Nutzung verlangen;
  • Wir Ihre Daten nicht länger benötigen, Sie diese aber benötigen, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen;
  • Sie Widerspruch gegen die Verarbeitung eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe Ihre überwiegen.

 

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): 

Auf Ihren Antrag hin werden wir Ihre Daten soweit dies technisch möglich ist ¿ an einen anderen Verantwortlichen übertragen. Dieses Recht steht Ihnen allerdings nur zu, sofern die Datenverarbeitung auf Ihrer Einwilligung beruht oder erforderlich ist, um einen Vertrag durchzuführen. Anstatt einer Kopie Ihrer Daten zu erhalten, können Sie uns auch bitten, dass wir die Daten direkt an einen anderen, von Ihnen konkretisierten Verantwortlichen übermitteln.

 

Recht auf Widerspruch (Art. 21 DSGVO):

Sie können der Verarbeitung Ihrer Daten aus Gründen jederzeit widersprechen, die sich aus Ihrer besonderen Situation ergeben, sofern die Datenverarbeitung auf Ihrer Einwilligung oder auf unseren berechtigten Interessen oder denen eines Dritten beruht. In diesem Fall werden wir Ihre Daten nicht länger verarbeiten. Letzteres gilt nicht, sofern wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen überwiegen oder wir Ihre Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.

 

Fristen zur Erfüllung von Betroffenenrechten

Wir bemühen uns grundsätzlich, allen Anfragen innerhalb von 30 Tagen nachzukommen. Diese Frist kann sich jedoch aus Gründen gegebenenfalls verlängern, die sich auf das spezifische Betroffenenrecht oder die Komplexität Ihrer Anfrage beziehen.

 

Auskunftsbeschränkung bei der Erfüllung von Betroffenenrechten

In bestimmten Situationen können wir Ihnen aufgrund gesetzlicher Vorgaben möglicherweise keine Auskunft über sämtliche Ihrer Daten erteilen. Falls wir Ihren Auskunftsantrag in einem solchen Fall ablehnen müssen, werden wir Sie zugleich über die Gründe der Ablehnung informieren.

 

Beschwerde bei Aufsichtsbehörden

Die BMW AG nimmt Ihre Bedenken und Rechte sehr ernst. Sollten Sie aber der Ansicht sein, dass wir Ihren Beschwerden oder Bedenken nicht hinreichend nachgekommen sind, haben Sie das Recht, eine Beschwerde bei einer zuständigen Datenschutzbehörde einzureichen.