worldwide

worldwide

Bei Merck & Co., Inc., Rahway, N.J., USA, mit dem Handelsnamen „MSD“ außerhalb der USA und Kanada, erstreckt sich unsere Mission, Leben zu retten und zu verbessern, auch auf die Wahrung der Privatsphäre und den Schutz personenbezogener Daten.

Datum der Überprüfung: 1. September 2023
Gültig ab: 1. September 2023

Wir sind stets bestrebt, unsere Geschäftstätigkeit in Einklang mit unseren Datenschutzwerten auszuüben, da wir der festen Überzeugung sind, dass diese Werte unsere unbeirrbare Verpflichtung zu ethischen und verantwortungsvollen Geschäftspraktiken demonstrieren. Wir sind uns bewusst, dass Innovation und neue Technologien fortlaufend Veränderungen hinsichtlich der Risiken, Erwartungen und Gesetze forcieren. Daher folgen wir den Standards in Bezug auf unternehmerische Verantwortung für den Datenschutz und bemühen uns, bei deren Umsetzung prompt auf alle Veränderungen zu reagieren und unser Verhalten entsprechend anzupassen.

Diese Richtlinie legt unsere globalen Standards für den Umgang mit und den Schutz von personenbezogenen Daten durch unser Unternehmen oder in dessen Namen fest, unabhängig von dem Land, aus dem sie stammen oder in das die persönlichen Daten übertragen werden können.. Sie beschreibt unser Kernengagement zur Unterstützung unserer APEC-Zertifizierung (Cross-Border Privacy Rules Certification; Bestimmungen für die grenzübeschreitende Datenübermittlung), unserer BCR-Bestimmungen (Binding Corporate Rules), die in der Europäischen Union genehmigt wurden, und unserer Selbstzertifizierung zum EU-U.S. Data Privacy Framework (DPF)-Programm, zur Erweiterung des DPF auf das Vereinigte Königreich und zum Schweiz-USA- Data Privacy Framework-Programm.

Unser Unternehmen hält sich an das EU-USA- Data Privacy Framework-Programm (EU-USA- DPF), die Erweiterung des EU-USA- DPF auf das Vereinigte Königreich und das Schweiz-USA Data Privacy Framework-Programm (Schweiz-USA- DPF), wie vom US-Handelsministerium festgelegt. Wir haben dem US-Handelsministerium bescheinigt, dass wir uns an die EU-USA- Data Privacy Framework-Prinzipien (EU-USA- DPF-Prinzipien) in Bezug auf die Verarbeitung personenbezogener Daten, die aus der Europäischen Union im Vertrauen auf das EU-USA- DPF und aus dem Vereinigten Königreich (und Gibraltar) im Vertrauen auf die Erweiterung EU-USA- DPF auf das Vereinigte Königreich erhalten werden. Wir haben dem US-Handelsministerium bescheinigt, dass wir uns an die Schweiz-USA- Data Privacy Framework-Prinzipien (Schweiz-USA- DPF-Prinzipien) in Bezug auf die Verarbeitung personenbezogener Daten aus der Schweiz im Vertrauen auf das Schweiz-USA- DPF erhalten werden. Wenn es einen Konflikt zwischen den Bedingungen dieser Richtlinie und den Bedingungen der EU-USA- DPF-Prinzipien und/oder der Schweiz-USA- DPF-Prinzipien gibt, gelten die Prinzipien. Um mehr über das Data Privacy Framework (DPF)-Programm zu erfahren und unsere Zertifizierung einzusehen, besuchen Sie bitte https://www.dataprivacyframework.gov/.

Diese Richtlinie gilt für unsere Betriebe in allen Ländern, für alle Aktivitäten unter Einbeziehung personenbezogener Daten, die wir in allen Niederlassungen und in allen Geschäftsbereichen (auch inklusive aller Geschäftsnachfolger) durchführen, insbesondere Forschung, Produktion, kommerzielle Tätigkeiten, Aktivitäten im Rahmen von Unterstützungsprogrammen und die notwendigen Datenübermittlungen zur Ausführung dieser Aktivitäten, darunter insbesondere:

  • Forschung und Produktion: Beurteilung von Bedarf und Chancen für medizinische und gesundheitsbezogene Innovation; Einleitung, Management und Finanzierung von Forschungsstudien; Beurteilung und Beauftragung von Wissenschaftlern, Mitgliedern von Wissenschafts- und Ethikkomitees und Geschäftspartnern für die Durchführung unserer Forschungsstudien und die Entwicklung unserer Produkte; Rekrutierung für Forschungsstudien; Untersuchung der Sicherheit, Wirksamkeit und Qualität unserer Prüfprodukte und auf dem Markt befindlichen Produkte; Einhaltung unserer Pflichten bei Produktsicherheit und Produktqualität, einschließlich Umgang mit und Melden von unerwünschten Ereignissen und Produktreklamationen; Einreichen von Anträgen für die Zulassung unserer Produkte bei Aufsichts- bzw. Zulassungsbehörden sowie Einhaltung aller geltenden gesetzlichen, behördlichen und ethischen Anforderungen;
  • Kommerzielle Tätigkeiten: Beurteilung der Märkte in Bezug auf unsere Produkte; Verkaufsförderung, Marketing, Verkauf, Vertrieb und Lieferung unserer Produkte; Kommunikation und Interaktionen mit Kunden aus dem medizinischen Fachbereich, Kostenträgern im Gesundheitswesen, Patienten und anderen Endnutzern unserer Produkte sowie mit Betreuern von Personen, die unsere Produkte anwenden; Sponsoring und Durchführung von Veranstaltungen; Bewertung und Beauftragung von Geschäftspartnern zur Unterstützung unserer kommerziellen Aktivitäten sowie Einhaltung aller geltenden gesetzlichen, behördlichen und ethischen Anforderungen;
  • Unterstützungsprogramme: mitarbeiterbezogene Rekrutierung, Einstellung, Management, Entwicklung, Kommunikation und Vergütung; Zuteilung von Leistungen für Mitarbeiter und deren Angehörige; Durchführung von mitarbeiterspezifischen Leistungs- und Talentprüfungen; Bereitstellung von Schulungen und sonstigen Fortbildungs- und Entwicklungsprogrammen; Durchführung mitarbeiterbezogener Disziplinar- und Beschwerdeverfahren; Bearbeitung von Ethik- und Datenschutzanliegen und Durchführung von Untersuchungen; Management und Sicherung unserer physischen und virtuellen Aktiva und Infrastruktur; Einkauf und Bezahlung von Waren und Leistungen; Erfüllung unserer Pflichten bezüglich Umwelt, Gesundheit und Sicherheit und sonstiger Pflichten im Rahmen der unternehmerischen Selbstverantwortung; Umgang mit den Medien und Einhaltung aller geltenden gesetzlichen, behördlichen und ethischen Anforderungen.

Die Richtlinie gilt ebenfalls für alle Personen, deren Daten wir verarbeiten, einschließlich, aber nicht darauf beschränkt, unsere Kunden aus dem Gesundheitswesen und sonstige Kunden; potenzielle, bestehende und frühere Mitarbeiter und ihre Angehörigen, Patienten, Betreuer, Wissenschaftler und Studienteilnehmer, Mitglieder von Wissenschafts- und Ethikkomitees, Geschäftspartner, Investoren und Aktionäre, Regierungs- und Verwaltungsangehörige und sonstige Stakeholder.

Für alle Mitarbeiter und leitenden Führungskräfte des Unternehmens gelten zentrale Datenschutzverpflichtungen, die unbedingt einzuhalten sind.

Wir sind uns bewusst, dass unabsichtliche Fehler und Falscheinschätzungen beim Schutz perWir sind uns bewusst, dass unabsichtliche Fehler und Falscheinschätzungen beim Schutz personenbezogener Daten zu Datenschutzrisiken für Personen führen sowie unsere Reputation, Betriebstätigkeit, Finanzen und Compliance gefährden können. Wir bieten allen Beschäftigten und anderen Mitarbeitern, die ständigen oder regelmäßigen Zugang zu personenbezogenen Daten haben, die in die Datenerfassung einbezogen sind oder bei der Entwicklung von Arbeitsmitteln zur Verarbeitung von personenbezogenen Daten eingesetzt sind, entsprechende Schulungen zu dieser Richtlinie an. Alle Mitarbeiter unseres Unternehmens und andere, die für unser Unternehmen personenbezogene Daten verarbeiten, müssen ihre Verpflichtungen gemäß der vorliegenden Richtlinie und geltender Gesetze kennen, verstehen und sie einhalten.

Unsere Datenschutzwerte und -standards

Unsere Datenschutzwerte sind die Grundlage all unserer Aktivitäten unter Beteiligung personenbezogener Daten und maßgeblich für die Anwendung unserer Datenschutzstandards. Unsere vier Datenschutzwerte sind:

Respekt

Vertrauen

Vermeidung von Schäden

Einhaltung von Gesetzen

Wir sind uns bewusst, dass es bei Bedenken hinsichtlich des Datenschutzes häufig im Wesentlichen darum geht, wer wir sind, wie wir die Welt betrachten und wie wir uns selbst definieren. Daher sind wir bestrebt, die Blickwinkel und Interessen von Personen und Gemeinschaften zu respektieren und bei der Anwendung und Weitergabe ihrer personenbezogenen Daten auf angemessene und transparente Weise vorzugehen.

Wir wissen, dass Vertrauen von entscheidender Bedeutung für unseren Erfolg ist. Daher wollen wir mit Blick auf die Wahrung der Privatsphäre und den Schutz personenbezogener Daten das Vertrauen unserer Kunden, Mitarbeiter, Patienten und anderer Stakeholder ausbauen und sichern.

Wir sind uns bewusst, dass der Missbrauch personenbezogener Daten sowohl zu materiellen als auch zu immateriellen Schäden für Personen führen kann. Daher wollen wir mit Blick auf die Wahrung der Privatsphäre und den Schutz personenbezogener Daten das Vertrauen unserer Kunden, Mitarbeitenden, Patienten und anderer Stakeholder ausbauen und sichern.

Wir wissen, dass Gesetze und Vorschriften nicht immer mit den rasanten technologischen Veränderungen, Datenströmen und den einhergehenden Verlagerungen von Datenschutzrisiken und den damit verbundenen Erwartungen Schritt halten können. Aus diesem Grund tun wir alles, um die Gesetze zum Schutz der Privatsphäre und persönlicher Daten sowohl dem Sinn als auch dem Wortlaut nach einzuhalten und hierbei so vorzugehen, dass eine konsistente und effiziente Betriebstätigkeit unserer globalen Geschäftsniederlassungen gefördert wird.

  1. Wir verankern unsere Datenschutzstandards in allen Aktivitäten, Prozessen, Technologien und Beziehungen mit Dritten, die personenbezogene Daten verwenden. Wir integrieren Datenschutzkontrollen in unsere Prozesse und Technologien, die in Einklang mit unseren Datenschutzwerten und -standards und geltenden Gesetzen stehen. Unsere nachstehend aufgeführten acht Datenschutzprinzipien geben eine Zusammenfassung unserer hohen Datenschutzstandards und der zentralen Anforderungen für Prozesse, Aktivitäten und deren jeweiligen unterstützenden Technologien wieder.

    Datenschutzprinzipien

    Unsere zentralen Verpflichtungen

    1. Notwendigkeit – Vor der Erfassung, Verwendung oder Weitergabe personenbezogener Daten definieren und dokumentieren wir die konkreten und rechtmäßigen Geschäftszwecke, für die diese InformationenDaten benötigt werden.

    • Wir ermitteln und dokumentieren, wie lange personenbezogene InformationenDaten für die jeweils definierten Geschäftszwecke und für anwendbare gesetzliche Bestimmungen benötigt werden.
    • Es erfolgt keine Erfassung, Verwendung und Weitergabe personenbezogener InformationenDaten in einem größeren Umfang als erforderlich. Die Daten werden auch nicht länger, als dies für die definierten Geschäftszwecke und für anwendbare gesetzliche Bestimmungen nötig ist, in identifizierbarer Form gespeichert.
    • Wir anonymisieren die Daten, wenn die Geschäftsanforderungen eine Speicherung der jeweiligen Daten bezüglich der Aktivität oder des Prozesses über einen längeren Zeitraum hinweg bedingen.
    • Wir stellen sicher, dass diese Notwendigkeitsanforderungen in sämtliche unterstützenden Technologien integriert und Dritten mitgeteilt werden, die die Aktivität oder den Prozess unterstützen.

    2. Fairness – Wir verarbeiten personenbezogene Daten auf keinerlei Weise, die gegenüber den Personen, auf die sich diese Daten beziehen, unfair ist.

    • Wir ermitteln, ob die beabsichtigte Erfassung, Verwendung oder sonstige Verarbeitung personenbezogener Daten das voraussichtliche bzw. ernste Risiko eines materiellen oder immateriellen Schadens für Personen gemäß unseres Datenschutzwertes darstellt, Schäden zu vermeiden.
    • Falls das Wesen der Daten, die Arten von Personen oder die Aktivität das voraussichtliche bzw. ernste Risiko eines materiellen oder immateriellen Schadens für Personen darstellt, stellen wir sicher, dass das Risiko des Schadens durch einen entsprechenden Nutzen für die betroffenen Personen oder für unsere Mission, Leben zu retten und zu verbessern, aufgewogen, sowie durch Maßnahmen, Sicherheitsmaßnahmen und Verfahren, die wir eingerichtet haben, abgeschwächt wird.
    • Sofern das Risiko den Nutzen für Personen aufzuwiegen scheint, wenden wir die relevantesten Sicherheits- und Schutzmaßnahmen an, informieren Einzelpersonen über diese Tatsache und suchen, wenn möglich, den Rat der zuständigen Aufsichtsbehörde.
    • Wir verarbeiten vertrauliche Daten nur mit der ausdrücklichen Zustimmung der Personen, soweit dies ausdrücklich erforderlich oder nach geltendem Recht zulässig ist.
    • Sofern das Risiko den Anschein erweckt, den Nutzen für Personen aufzuwiegen, dokumentieren wir die Risikoanalyse und entwerfen alle erforderlichen Mechanismen, um die Risiken so weit wie möglich zu minimieren.
    • Sofern das Risiko den Anschein erweckt, den Nutzen für Personen aufzuwiegen, dokumentieren wir die Risikoanalyse und entwerfen alle erforderlichen Mechanismen, um die Risiken so weit wie möglich zu minimieren.

    3. Transparenz – Wir verarbeiten personenbezogene Daten auf keinerlei Weise und für keinerlei Zwecke, die nicht transparent sind.

    • Alle Personen, deren personenbezogene Daten gemäß dieser Richtlinie verarbeitet werden, haben das Recht, eine Kopie dieser Richtlinie zu erhalten. Kopien der Richtlinie sind online unter https://www.msdprivacy.com/index.html zur Verfügung. Das Global Privacy Office stellt auf Anfrage elektronische Versionen und/oder Kopien dieser Richtlinie in Papierform zur Verfügung.
    • Bei der direkten Erfassung personenbezogener Daten von Personen informieren wir diese vor der Erfassung der Daten und durch einen eindeutigen, klar erkennbaren und leicht zugänglichen Datenschutzhinweis oder vergleichbare Methoden (1) über die für die Verarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) über die Art der erfassten Daten, (4) über den Verwendungszweck, (5) über die rechtliche Grundlage für unsere Verarbeitung, (6) an wen die Daten weitergegeben werden, einschließlich aller Anforderungen zur Offenlegung personenbezogener Daten als Antwort auf rechtmäßige Anfragen durch Behörden, (7) ob und auf welche Weise wir die personenbezogenen Daten in andere Länder, einschließlich relevanter Länder, wo dies zulässig ist, übermitteln, (8) wie lange wir sie speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Betroffene eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die wir ausführen und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen. Die umfangreichen Datenschutzhinweise für viele unserer Stakeholder sind online unter http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html verfügbar.
    • Bei der Erfassung personenbezogener Daten durch Beobachtung, Sensoren oder sonstige indirekte Mittel ist es unter Umständen nicht möglich, den betroffenen Personen zum Zeitpunkt der Datenserfassung direkt einen Datenschutzhinweis zur Verfügung zu stellen. In diesen Fällen gewährleisten wir die Transparenz für die Person auf andere Weise, wie etwa durch Posts oder Aufdrucke auf dem Produkt oder in den Materialien zum Produkt, die die entsprechenden Daten enthalten.
    • Bei der Erfassung personenbezogener Daten über eine Website, mobile App oder sonstige Online-Anwendung oder -Ressource wenden wir die in unserer Internet-Datenschutzrichtlinie und unserer Globale richtlinie zum online-tracking dargelegten technologiespezifischen Standards an, um sicherzustellen, dass die Anforderungen in puncto Transparenz nach Maßgabe dieser Richtlinie erfüllt werden.
    • Bei der Erfassung personenbezogener Daten aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens überprüfen wir vor der Datenerfassung schriftlich, dass der Datenanbieter die betroffenen Personen darüber in Kenntnis gesetzt hat, wie und für welche Zwecke unser Unternehmen die Daten zu verarbeiten plant. Falls vom Datenanbieter keine schriftliche Verifizierung eingeholt werden kann, verwenden wir ausschließlich anonymisierte Daten oder informieren vor der Verwendung personenbezogener Daten die betroffenen Personen mittels Datenschutzhinweis oder vergleichbare Methoden (1) über die für die Datenverarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) welche Daten unser Unternehmen zu verarbeiten beabsichtigt, (4) über die Zwecke der Datenverwendung durch unser Unternehmen, (5) über die rechtliche Grundlage für unsere Verarbeitung, (6) an wen die Daten von uns weitergegeben werden, (7) ob und auf welche Weise wir die personenbezogenen Daten in andere Länder, einschließlich relevanter Länder, wo dies zulässig ist, übermitteln, (8) wie lange unser Unternehmen beabsichtigt, sie zu speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Betroffene eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die wir ausführen und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen.
    • Wir stellen sicher, dass die notwendigen Transparenzmechanismen, einschließlich (sofern möglich) Mechanismen, die individuelle Anfragen hinsichtlich bestehender Rechte ermöglichen, in die unterstützenden Technologien integriert sind und dass Dritte, die die Aktivität oder den Prozess unterstützen, die personenbezogenen Daten nicht auf eine Weise verwenden, die in Widerspruch stehen zu den Angaben, die den betroffenen Personen in einem Datenschutzhinweis oder durch andere verifizierbare Methoden hinsichtlich der durch uns und andere geplanten Verwendungszwecke bereits mitgeteilt wurden.
    • Wenn wir eine Einwilligung einholen, holen wir den Nachweis der Einwilligung ein und dokumentieren ihn in unseren unterstützenden Technologien.

    4. Zweckbeschränkung – Wir verwenden personenbezogene Daten ausschließlich nach Maßgabe der Grundsätze von Notwendigkeit und Transparenz.

    • Wenn neue legitime Geschäftszwecke für personenbezogene Daten erkannt werden, die zuvor erfasst worden sind, holen wir entweder die Einwilligung für die neue Verwendung der personenbezogenen Daten ein, oder wir stellen sicher, dass der neue Geschäftszweck mit bereits in einem der betroffenen Person mitgeteilten Datenschutzhinweis oder anderem Transparenzmechanismus dargelegten Geschäftszwecken kompatibel ist. Wir bestimmen die Kompatibilität basierend auf (1) jedweder Verbindung zwischen dem ursprünglichen Zweck und dem vorgeschlagenen neuen Zweck, (2) den berechtigten Erwartungen der Einzelperson, (3) der Art der personenbezogenen Daten, (4) den Folgen der Weiterverarbeitung für die Einzelperson und (5) den von uns vorgesehenen Sicherheitsmaßnahmen.
    • Wir wenden dieses Prinzip nicht an bei anonymisierten Daten oder wenn wir die personenbezogenen Daten ausschließlich für historische oder wissenschaftliche Forschungszwecke verwenden und (1) ein Ethikkomitee oder eine andere zuständige Prüfinstanz festgestellt hat, dass das Risiko einer derartigen Verwendung für den Datenschutz und andere Rechte von Personen akzeptabel ist, (2) wir angemessene Sicherheitsmaßnahmen treffen, um Datensparsamkeit sicherzustellen, (3) die personenbezogenen Daten pseudoanonymisiert werden. sowie (4) alle anderen anwendbaren Gesetze eingehalten werden.
    • Wir stellen sicher, dass Einschränkungen der Zweckbeschränkung in alle unterstützenden Technologien – einschließlich Berichtsmöglichkeiten und nachgeschaltete Datenweitergabe – integriert werden.

    5. Datenqualität – Wir speichern personenbezogene Daten korrekt, vollständig und aktuell sowie in Einklang mit der beabsichtigten Verwendung.

    • Wir stellen sicher, dass regelmäßige Datenüberprüfungsmechanismen in unterstützende Technologien integriert werden, um die Datengenauigkeit gegenüber Quell- und nachgelagerten Systemen zu validieren.
    • Wir stellen sicher, dass sensible Daten vor ihrer Verwendung, Auswertung, Analyse, Berichterstattung oder anderen Verarbeitungen, bei denen das Risiko besteht, dass Menschen ungerecht behandelt werden, wenn ungenaue oder veraltete Daten verwendet werden, auf ihre Richtigkeit und Aktualität überprüft werden.
    • Wenn von unserem Unternehmen oder von Dritten, die für unser Unternehmen tätig sind, die personenbezogenen Daten geändert werden, stellen wir sicher, dass diese Änderungen den Einzelpersonen zeitgerecht mitgeteilt werden, sofern dies möglich ist.

    6. Sicherheit – Wir etablieren Sicherheitsmaßnahmen zum Schutz personenbezogener und sensibler Daten vor Verlust, Missbrauch und unautorisiertem Zugriff sowie vor unautorisierter Veröffentlichung, Veränderung und Vernichtung.

    • Wir haben ein umfangreichendes Programm zur Informationssicherheit aufgesetzt und wenden Sicherheitskontrollen an, die sich nach der Sensibilität der Daten und der Risikostufe der Aktivität richten und berücksichtigen hierbei die besten Vorgehensweisen auf Basis aktueller Technologien und die Kosten der Implementierung. Unsere funktionalen Sicherheitsrichtlinien umfassen insbesondere Standards zu Geschäftskontinuität und Notfallwiederherstellung, Verschlüsselung, Identitäts- und Zugriffsmanagement, Informationsklassifizierung, Management von Vorfällen in Bezug auf die Informationssicherheit, Kontrolle des Netzwerkzugangs, physische Sicherheit und Risikomanagement.

    7. Datentransfer – Wir sind verantwortlich für und beachten die Datenschutzbestimmungen hinsichtlich personenbezogener Daten, wenn diese an andere oder von anderen Unternehmen oder grenzüberschreitend übermittelt werden.

    (1) Wir übermitteln personenbezogene Daten innerhalb unseres Unternehmens, wenn folgende Anforderungen erfüllt sind:

    • (1) Die gemeinsame Nutzung ist notwendig, um den Zweck zu erfüllen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, oder um ein anderes berechtigtes Interesse des Unternehmens zu erfüllen und (2) der Zweck, für den sie gemeinsam genutzt werden sollen, sowie die Tatsache, dass sie gemeinsam genutzt werden, im Einklang mit der Datenschutzrichtlinie oder einem anderen Transparenzverfahren stehen, die der Einzelperson vorab zu dem Zeitpunkt der ursprünglichen Erfassung der personenbezogenen Daten zur Verfügung gestellt wurden und zu denen die Einzelperson ihre Einwilligung soweit erforderlich erklärte, (3) wenn eine unserer Tochtergesellschaften ausschließlich im Namen einer anderen unserer Tochtergesellschaften bei der Verarbeitung von personenbezogenen Daten fungiert, und (4) sofern gesetzlich vorgeschrieben, diese Tochtergesellschaften des Unternehmens eine interne Datenverarbeitungsvereinbarung gemäß Prinzip 8 dieser Richtlinie ausführen, (5) wenn die IT-Infrastruktur eine solche Übertragung erfordert, vorausgesetzt, dass alle angemessenen Sicherheits- und Organisationsmaßnahmen vorhanden sind, um eine solche Übertragung konform zu machen.

    (2) Wir übermitteln personenbezogene Daten an Dritte oder gestatten deren Verarbeitung nur dann, wenn folgende Anforderungen erfüllt sind und wir sind verantwortlich sicherzustellen, dass von uns beauftragte Dritte diese Anforderungen erfüllen:

    • Wenn die Funktion des Dritten darin besteht, die personenbezogenen Daten für unser Unternehmen oder in dessen Namen zu verarbeiten, so führen wir vor der Bereitstellung der personenbezogenen Daten an den Dritten oder vor dessen Beauftragung (1) eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Beurteilung der Datenschutzpraktiken und der mit den Dritten verbundenen Risiken durch, (2) holen vertragliche Zusicherungen von den Dritten dahingehend ein, dass sie die personenbezogenen Daten ausschließlich nach den Anweisungen unseres Unternehmens und in Einklang mit dieser Richtlinie verarbeiten, insbesondere mit allen acht in dieser Richtlinie dargelegten Datenschutzprinzipien und anderen Standards sowie allen geltenden Gesetze, und dass sie unser Unternehmen unverzüglich von jedem Datenschutz- oder Sicherheitsvorfall, einschließlich der Unfähigkeit, die in dieser Richtlinie festgelegten Standards sowie anwendbare Gesetze einzuhalten, in Kenntnis setzen und bei der unverzüglichen Behebung von belegten Vorfällen sowie bei der Thematisierung der in Abschnitt 2 festgelegten persönlichen Rechte kooperieren, dass sie ohne unsere schriftliche Genehmigung und ohne eine Vereinbarung, die gleichwertige Datenschutzverpflichtungen auferlegt, kein anderes Unternehmen zur Verarbeitung von personenbezogenen Daten verpflichten, dass sie alle personenbezogenen Daten löschen oder auf unser Verlangen hin an uns zurückgeben, nachdem sie die Erbringung der Dienstleistungen für uns abgeschlossen haben, und es uns gestatten, ihre Vorgehensweise während ihrer Datenverarbeitung zu überprüfen und zu kontrollieren, um die Einhaltung dieser Anforderungen sicherzustellen. Wenn der Dritte personenbezogene Daten verarbeitet, die aus einem anderen Land oder Gebiet stammen, in dem die Übermittlung personenbezogener Daten eingeschränkt ist, stellen wir darüber hinaus sicher, dass der Transfer an den Dritten die Anforderungen für die grenzüberschreitende Datenübermittlung erfüllt, wie in Punkt (3) unten dargelegt.
    • Wenn die Funktion des Dritten darin besteht, unserem Unternehmen personenbezogene Daten bereitzustellen, so stellen wir vor dem Erhalt personenbezogener Daten von diesem Dritten sicher, dass die Transparenzanforderungen hinsichtlich personenbezogener Daten, die aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens erfasst werden, erfüllt sind, und holen von dem Dritten vertragliche Zusicherungen ein, dass er durch die Bereitstellung personenbezogener Daten an uns nicht gegen Gesetze oder Rechte sonstiger Dritter verstößt.
    • Wenn die Funktion des Dritten darin besteht, Daten von unserem Unternehmen zur Bearbeitung zu erhalten, die nicht konkret auf Anweisung unseres Unternehmens erfolgt, so stellen wir vor der Bereitstellung der Daten an diesen Dritten sicher, dass die Daten anonymisiert wurden und holen von dem Dritten die schriftliche Zusicherung ein, dass er diese ausschließlich für die vertraglich festgelegten Geschäftszwecke sowie nach Maßgabe geltender Gesetze verwendet und dass er keinesfalls versucht, die Anonymisierung der Daten rückgängig zu machen.
    • Wenn die Weitergabe an Dritte erforderlich ist, um die berechtigten Interessen oder Interessen der Einzelperson oder des Unternehmens zu schützen, können wir die Daten weitergeben: (1) für die Zwecke der Verhinderung von Betrug oder zur Durchsetzung oder zum Schutz der Rechte und des Eigentums des Unternehmens, (2) für den Schutz der persönlichen Sicherheit unserer Beschäftigten oder Dritter auf unserem Grundeigentum, und (3) zum Schutz unserer Vermögenswerte durch die Ergreifung korrigierender Sicherheitsmaßnahmen, wenn wir auf angemessene Weise vermuten, dass eine rechtswidrige Handlung oder eine schwere Verfehlung stattgefunden hat.
    • Wenn der Dritte ein mögliches Ziel einer Akquisition oder Mehrheitsbeteiligung durch unser Unternehmen ist, (1) führen wir vor Abschluss einer Vereinbarung zur Akquisition oder Mehrheitsbeteiligung mit dem Dritten eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Ermittlung der Datenschutzpraktiken und der mit einer Akquisition des oder einer Mehrheitsbeteiligung an dem Dritten verbundenen Risiken durch und (2) schließen eine Vereinbarung zur Datenübermittlung, in der die Konditionen, nach denen personenbezogene Daten offengelegt werden dürfen, sowie die jeweiligen Pflichten unseres Unternehmens und des Dritten genau festgelegt sind.
    • Wenn die Funktion des Dritten darin besteht, Geschäftsanteile unseres Unternehmens ganz oder teilweise zu übernehmen, so (1) schließen wir vor der Weitergabe jedweder personenbezogener Daten in Zusammenhang mit einer vollständigen oder teilweisen Veräußerung unseres Unternehmens eine Vereinbarung über die Datenübermittlung, in der die Konditionen, nach denen personenbezogene Daten dem Käufer offengelegt werden dürfen, genau festgelegt sind, einschließlich der entsprechenden Beschränkungen gemäß der zugelassenen Verwendung personenbezogener Daten und Konformität mit dem Standard gemäß dieser Richtlinie und des anwendbaren Gesetzes, (2) überprüfen wir vor der Weitergabe alle personenbezogenen Datenelemente, um die Anforderungen hinsichtlich einer Weitergabe beurteilen zu können, (3) holen wir die Einwilligung zur Weitergabe personenbezogener oder sensibler Informationen gemäß den Grundsätzen der Transparenz und der Zweckbeschränkung dieser Richtlinie und (4) verlangen wir, dass der Dritte unser Unternehmen umgehend über jeden einschlägigen Datenschutzvorfall informiert, einschließlich der Unfähigkeit, die in dieser Richtlinie und den geltenden Gesetzen festgelegten Standards einzuhalten, und zusammenarbeitet, um einen begründeten Vorfall umgehend zu beheben oder die Verarbeitung einschlägiger personenbezogener Daten einzustellen.

    (3)Wir übermitteln gemäß dieser Richtlinie Daten über Landesgrenzen hinweg, einschließlich in die Vereinigten Staaten von Amerika. Wir wenden diese Richtlinie auch bei der Übermittlung personenbezogener Daten aus einem anderen Land oder Territorium an, in dem die Übermittlung personenbezogener Daten gesetzlich eingeschränkt ist. Darüber hinaus erfüllen wir alle Anforderungen, die durch solche Gesetze auferlegt werden (einschließlich der Verwendung von Mechanismen, die für grenzüberschreitende Übermittlungen in Länder erforderlich sind, die nicht dieselben Datenschutzstandards wie das Herkunftsland haben).

    8. Gesetzlich zulässig – Wir verarbeiten personenbezogene Daten nur, wenn die Anforderungen geltender Gesetze erfüllt werden.

    • Wenngleich die anderen sieben Datenschutzprinzipien sowie die unten aufgeführten Anforderungen hinsichtlich individueller Rechte darauf abzielen, dass die Vorgaben der allermeisten Gesetze zur Wahrung der Privatsphäre und zum Datenschutz mit Relevanz für unser Unternehmen weltweit eingehalten werden können, müssen wir dennoch in bestimmten Ländern zusätzliche Anforderungen erfüllen, darunter insbesondere:
      • 1) Sofern erforderlich, holen wir die konkrete Zustimmung für bestimmte Verarbeitungen personenbezogener Daten ein, darunter insbesondere die Zustimmung zur Verarbeitung durch Betriebsräte und sonstige Mitarbeiter- oder Gewerkschaftsvertretungen.
      • 2) Sofern erforderlich, melden wir die Verarbeitung personenbezogener Daten bei den für die Wahrung der Privatsphäre und für Datenschutz zuständigen Behörden oder beantragen deren Genehmigung.
      • 3) Sofern erforderlich, gewähren wir umfassendere Rechte (z B. bezüglich Zugang und Korrektur) als in dieser Richtlinie dargelegt.
      • 4) Sofern erforderlich, schränken wir die Speicherdauer für personenbezogene Daten weiter ein.
      • 5) Sofern erforderlich, schließen wir Vereinbarungen, die spezielle Klauseln enthalten, einschließlich Vereinbarungen zur grenzüberschreitenden Datenübermittlung an Dritte.
      • 6)Sofern erforderlich, legen wir als Reaktion auf gesetzmäßige Anfragen von öffentlichen Behörden personenbezogene Daten offen, unter anderem zum Zwecke der Befolgung nationaler Sicherheitsanforderungen oder Anforderungen in Verbindung mit der Strafverfolgung.

      Bei Unstimmigkeiten zwischen dieser Richtlinie und geltendem Gesetz, hat die Bestimmung mit dem größeren personenbezogenen Schutzumfang Vorrang.

  2. Individuelle Anfragen hinsichtlich der Rechte auf Zugriff, Änderung, Korrektur oder Löschung personenbezogener Daten, Widersprüche gegen die Verarbeitung personenbezogener Daten oder Ausübung anderer Rechte hinsichtlich der personenbezogenen Daten werden von uns unverzüglich bearbeitet.
    1. Zugriff, Korrektur, Löschung und andere Rechte – In den meisten Ländern, in denen wir geschäftlich tätig sind, haben Personen das Recht, ihre eigenen personenbezogenen Daten einzusehen, sie zu ändern, zu korrigieren oder zu löschen, sofern sie falsch, unvollständig oder überholt sind. Wir respektieren gemäß nachstehendem Abschnitt 3a alle Anfragen bezüglich Zugriff, Korrektur und Löschung personenbezogener Daten von allen Personen. Falls eine Anfrage auf Zugriff, Korrektur oder Löschung einem geltenden Gesetz unterliegt, das einen größeren Schutz für Personen vorsieht, stellen wir sicher, dass die zusätzlichen gesetzlichen Vorgaben erfüllt werden. In einigen Ländern haben Personen möglicherweise Anspruch auf weitere Rechte in Bezug auf ihre eigenen personenbezogenen Daten, wie das Recht, die Verarbeitung einzuschränken, einer Verarbeitung zu widersprechen (siehe auch nachstehenden Abschnitt 2b), und ihre Daten an einen anderen Dienstleister zu übermitteln. Wir respektieren die Ausübung der Datenrechte im Einklang mit den anwendbaren Gesetzen. Einige Rechte, wie z. B. das Recht auf Löschung, können aufgrund anderer gesetzlicher Bestimmungen oder der Notwendigkeit der Einhaltung lokaler Compliance-Berichterstattung eingeschränkt sein; in diesem Fall werden wir Sie gegebenenfalls über diese Einschränkungen informieren.
    2. Wahlmöglichkeit – In Einklang mit unseren Datenschutzwerten „Respekt“ und „Vertrauen“ respektieren wir individuelle Anfragen auf Widerspruch gegen die Verarbeitung personenbezogener Daten, insbesondere die Wahlmöglichkeit, die Einwilligung zur vorab zugesagten Teilnahme an Programmen oder Aktivitäten zu widerrufen, der Verarbeitung personenbezogener Daten für Direktmarketingzwecke zu widersprechen, zielgerichtete Mitteilungen auf Basis personenbezogener Daten zu stoppen sowie ebenso Widerspruch einzulegen gegen Auswertungen oder Entscheidungen, die automatisiert oder durch Anwendung von Algorithmen erfolgen und für die betroffenen Personen signifikante Auswirkungen haben können.
      1. Sofern nicht gesetzlich untersagt, können wir die Wahlmöglichkeit auch unterbinden, wenn eine spezielle Anfrage unser Unternehmen daran hindern oder beeinträchtigen würde: (1) Gesetze einzuhalten oder ethische Pflichten zu erfüllen, einschließlich Situationen, in denen wir als Reaktion auf gesetzmäßige Anfragen von öffentlichen Behörden personenbezogene Daten offenlegen müssen, unter anderem zum Zwecke der Befolgung nationaler Sicherheitsanforderungen oder Anforderungen in Verbindung mit der Strafverfolgung, (2) Rechtsansprüche zu untersuchen, geltend zu machen oder abzuwehren und (3) Verträge zu erfüllen, Beziehungen zu pflegen oder anderen geschäftlichen Aktivitäten nachzugehen, die mit den Grundsätzen der Transparenz und der Zweckbeschränkung übereinstimmen und unter Berufung auf die Daten über die betreffenden Personen eingegangen wurden. Wir dokumentieren eine Entscheidung über die Ablehnung einer Anfrage gemäß dieser Richtlinie und teilen sie dem Antragsteller innerhalb von fünfzehn Werktagen mit.
  3. Wir reagieren unverzüglich und sorgen für die prompte Eskalation aller datenschutzbezogenen Fragen, Beschwerden, Anliegen und aller potenziellen Vorfälle bezüglich Privatsphäre und Datensicherheit.
    1. Jede Person, über die wir personenbezogene Daten innerhalb des Geltungsbereichs dieser Richtlinie verarbeiten, kann sich jederzeit mit Fragen, Beschwerden oder Anliegen an uns wenden, auch mit Anfragen nach einer Liste aller Niederlassungen unseres Unternehmens, für die diese Richtlinie Gültigkeit hat. Wir erwarten, dass unsere Mitarbeiter und andere, für unser Unternehmen tätige Personen, uns unverzüglich in Kenntnis setzen, wenn sie Grund zu der Annahme haben, dass ein geltendes Gesetz sie möglicherweise daran hindert, diese Richtlinie zu befolgen. Fragen, Beschwerden oder Anliegen seitens einer Person oder Hinweise von Mitarbeitern oder anderen, für unser Unternehmen tätige Personen, sind an das Global Privacy Office zu richten:
      1. Per E-Mail für Personen mit Wohnsitz im Europäischen Wirtschaftsraum (EWR) an: euprivacydpo@msd.com
      2. Ansonsten per E-Mail an: msd_privacy_office@msd.com
      3. Postalisch an: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. Angestellte sowie freie Mitarbeiter müssen das MSD Global Privacy Office oder den für ihren Bereich ausgewiesenen Datenschutzbeauftragten unverzüglich über alle Fragen, Beschwerden oder Anliegen bezüglich der Datenschutzpraktiken unseres Unternehmens informieren.
    3. Das MSD Global Privacy Office führt Überprüfungen und Untersuchungen durch (bzw. arbeitet hierbei mit der Ethik-Abteilung, der Rechts- und/oder Compliance-Abteilung zusammen), um alle Fragen, Beschwerden oder Anliegen in Bezug auf die Datenschutzpraktiken unseres Unternehmens zu untersuchen, gleich, ob diese direkt von den Mitarbeitern oder von anderen Personen oder Dritten eingegangen sind, darunter insbesondere Zulassungsbehörden, Rechenschaftsstellen und sonstige staatliche Stellen. Wir antworten der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb von dreißig (30) Kalendertagen, es sei denn, das Gesetz oder der Antragsteller fordert eine raschere Antwort oder die Umstände bedingen einen längeren Zeitraum für die Antwort, wie etwa bei einer gleichzeitigen staatlichen Untersuchung. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt, sobald das aufgrund der generellen Art der Umstände, die für die Verzögerung verantwortlich sind, möglich ist.
    4. Das MSD Global Privacy Office kooperiert in Absprache mit der Rechts- und der Compliance-Abteilung bei Anfragen, Inspektionen oder Untersuchungen seitens einer datenschutzrechtlichen Aufsichtsbehörde.
    5. Bei Beschwerden, die nicht zwischen unserem Unternehmen und der beschwerdeführenden Person beigelegt werden können, nimmt unser Unternehmen vereinbarungsgemäß an folgenden Streitschlichtungsverfahren zur Untersuchung und Klärung von Beschwerden teil, um Streitigkeiten gemäß dieser Richtlinie beizulegen. Allerdings können sich Personen mit Wohnsitz im EWR oder Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die an Länder außerhalb des EWR übermittelt werden, jederzeit auch auf Standard 3.f berufen:
      1. Bei Streitigkeiten, die die Übertragung von personenbezogenen Daten im Zusammenhang mit Personalaktivitäten im Rahmen eines Arbeitsverhältnisses aus der EWR und dem Vereinigten Königreich in die USA betreffen, verpflichtet sich unser Unternehmen zur Zusammenarbeit mit der entsprechenden Datenschutzbehörde der EU und des Vereinigten Königreichs.
      2. Bei Streitigkeiten, die die Übertragung von persönlichen Daten im Zusammenhang mit Personalaktivitäten im Rahmen eines Arbeitsverhältnisses von der Schweiz in die USA betreffen, verpflichtet sich unser Unternehmen zur Zusammenarbeit mit dem Schweizer EDÖB
      3. Für Streitigkeiten im Zusammenhang mit der Übermittlung personenbezogener Daten im Rahmen der Einhaltung der APEC (Asia Pacific Economic Cooperation) Cross-Border Privacy Rules (CBPR) zwischen den APEC-Ländern hat unser Unternehmen der Streitbeilegung durch unseren Accountability Agent, BBB National Programs, zugestimmt. Für weitere Informationen über den Umfang unserer Teilnahme oder um eine Anfrage zum Datenschutz über BBB National Programs einzureichen, klicken Sie bitte auf das amtliche Siegel am Ende dieser Seite.
      4. Für Streitigkeiten im Zusammenhang mit der Übermittlung personenbezogener Daten im Zusammenhang mit nicht personalbezogenen Aktivitäten über das EU-USA Data Privacy Framework (DPF)-Programm, die Erweiterung des DPF-Programms auf das Vereinigte Königreichs und das Schweiz-USA- Data Privacy Framework-Programm, hat sich unser Unternehmen bereit erklärt, Streitfälle (kostenlos) durch einen unabhängigen Rechtsmittelmechanismus, Data Privacy Framework Services, der von BBB National Programs betrieben wird, beizulegen. Wenn Sie keine rechtzeitige Bestätigung Ihrer Beschwerde erhalten oder wenn Ihre Beschwerde nicht zufriedenstellend behandelt wird, wenden Sie sich bitte an https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers für weitere Informationen und zum Einreichen einer Beschwerde.
      5. Für alle Streitigkeiten, die sich aus dem EU-USA Data Privacy Framework (DPF)-Programm, die Erweiterung des DPF-Programms auf das Vereinigte Königreich und das Schweiz-USA- Data Privacy Framework-Programm ergeben, die durch die in diesem Abschnitt beschriebenen Schritte nicht gelöst werden können, können Einzelpersonen unter bestimmten Bedingungen für einige verbleibende Ansprüche, die nicht durch andere Rechtsbehelfsmechanismen geklärt werden, ein verbindliches Schiedsverfahren in Anspruch nehmen. Siehe https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
    6. Alle Personen mit Wohnsitz im EWR oder Personen, über die personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden, und deren Daten gemäß diesen Richtlinie verarbeitet werden, können als Drittbegünstigte die Rechte aus dieser Richtlinie jederzeit einfordern, einschließlich des Rechts auf Einleitung von Verfahren, mit denen Abhilfemaßnahmen für den Verstoß gegen ihre Rechte nach dieser Richtlinie erwirkt werden sollen (wie im vorstehenden Abschnitt 2 dargelegt). Außerdem haben sie das Recht auf Zuerkennung von Schadensersatzansprüchen, die aus einem derartigen Verstoß resultieren. Personen mit Wohnsitz im EWR oder Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden (aus Gründen der Klarheit einschließlich der USA) können gemäß dieser Richtlinie Ansprüche gegen die Tochtergesellschaft des Unternehmens, die für den Export der persönlichen Daten aus dem EWR verantwortlich ist, erheben bei:
      1. Der Gerichtsbarkeit des Datenexporteurs, der sich im EWR befindet, oder
      2. Die Gerichtsbarkeit des Landes, in dem sich unser europäischer Datenschutzbeauftragter befindet, oder
      3. Die zuständigen Datenschutzbehörden (insbesondere im Mitgliedstaat des gewöhnlichen Wohnsitzes, des Arbeitsortes oder des Ortes des mutmaßlichen Verstoßes), oder
      4. Unsere federführenden Datenschutzbehörden, die unsere BCR angewiesen hat: die französische CNIL
    7. Unser Unternehmen antwortet der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb von dreißig (30) Kalendertagen, es sei denn, das Gesetz oder der Dritte fordert eine raschere Antwort oder die Umstände erfordern einen längeren Zeitraum für die Antwort. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt.
  4. Wir sind für die Einhaltung unserer Datenschutzwerte und -standards verantwortlich.
    1. Die Niederlassung unseres Unternehmens, die für eine Handlung verantwortlich ist, die ihrerseits einen nachgewiesenen Datenschutz- oder Sicherheitsvorfall nach sich zieht, ist finanziell verantwortlich für alle aus diesem Vorfall resultierenden Schadensersatzsummen, Bußgelder und Geldstrafen.
      1. In Absprache mit und auf Anweisung des MSD Global Privacy Office muss der Europäische Datenschutzbeauftragte sicherstellen, dass die notwendigen Maßnahmen getroffen werden für den Umgang mit sämtlichen mutmaßlichen Verstößen gegen diese Richtlinie durch Niederlassungen unseres Unternehmens außerhalb des EWR, die sich auf Personen mit Wohnsitz im EWR auswirken oder auf Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in ein Land außerhalb des EWR übermittelt wurden. Wo erforderlich, muss Merck, Sharp & Dohme (Europe) Inc. mit Sitz in den USA – Niederlassung Belgien (“MSD Europe”) verantwortlich gegebenenfalls sicherstellen, dass Geldstrafen, Bußgelder oder zugesprochene Schadensersatzleistungen bezüglich der Richtlinienverstöße bezahlt werden, die Personen mit Wohnsitz im EWR betreffen oder Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in ein Land außerhalb des EWR übermittelt werden. Mit Unterstützung des MSD Global Privacy Office und der Niederlassung unseres Unternehmens außerhalb des EWR, die für den mutmaßlichen Verstoß verantwortlich ist, muss der Europäische Datenschutzbeauftragte nachweisen, dass unser Unternehmen nicht für den mutmaßlichen Verstoß haftbar ist. Sofern eine andere Niederlassung unseres Unternehmens für die Handlung verantwortlich ist, die zu der Geldstrafe, dem Bußgeld oder den zugesprochenen Schadensersatzleistungen geführt hat, kann von dieser Niederlassung die unverzügliche Erstattung jedes von MSD Europe bezahlten Betrages gefordert werden. Verletzt eine Tochtergesellschaft unseres Unternehmens außerhalb des EWR diese Richtlinie, sind die Gerichte oder die Datenschutzbehörden im EWR zuständig und die betroffene Person muss die Rechte und Rechtsmittel gegenüber der Tochtergesellschaft des Unternehmens, die für den Export der persönlichen Daten aus dem EWR verantwortlich ist geltend machen, wie im vorstehenden Abschnitt 3.f. dargelegt.
      2. In Absprache mit und auf Anweisung des MSD Global Privacy Office muss Merck Sharp & Dome LLC., Rahway, N.J., USA sicherstellen, dass die notwendigen Maßnahmen getroffen werden für den Umgang mit sämtlichen mutmaßlichen Verstößen gegen diese Richtlinie, die sich auf Personen mit Wohnsitz außerhalb des EWR auswirken, und muss gegebenenfalls sicherstellen, dass Geldstrafen, Bußgelder oder zugesprochene Schadensersatzleistungen bezüglich der Richtlinienverstöße bezahlt werden, die Personen mit Wohnsitz außerhalb des EWR betreffen oder Personen, deren personenbezogene Daten nicht dem Datenschutzrecht des EWR unterliegen. Sofern eine andere Niederlassung unseres Unternehmens für die Handlung verantwortlich ist, die zu der Geldstrafe, dem Bußgeld oder den zugesprochenen Schadensersatzleistungen geführt hat, kann von dieser Niederlassung die unverzügliche Erstattung jedes von Merck Sharp & Dome LLC., Rahway, N.J., USA bezahlten Betrages gefordert werden.

Aufsicht und Kontrollen

Zur Sicherheit für zuständige Behörden und andere Stakeholder, denen unser Unternehmen Rechenschaft ablegen muss über seine Verpflichtung zu ethischen und verantwortungsvollen Datenschutzpraktiken, unterhält das Unternehmen eine für Aufsicht und Kontrollen zuständige, umfassende Governance-Gruppe, die unter Leitung eines Chief Privacy Officer steht und ein eigenes Global Privacy Office (GPO), ein EU-Datenschutzbeauftragter (EU DPO), sowie wo durch die Gesetzgebung oder örtliche Behörden vorgeschrieben, landesspezifische Datenschutzbeauftragte (DPO) und Datenschutz-Stewards beinhaltet, die von leitenden Führungskräften ernannt werden und als Kontaktstelle zwischen dem MSD Global Privacy Office und den Organisationsbereichen dienen, in denen sie tätig sind.

Unser Unternehmen stützt sich darauf, dass die für den Datenschutz verantwortlichen Rechenschaftsinstanzen, denen gegenüber es nach geltendem Recht regelmäßig rechenschaftspflichtig ist, die Einhaltung der in dieser Richtlinie formulierten Anforderungen und den geltenden Gesetzen, einschließlich APEC CBPR, überprüfen.

Neben der durch das MSD Global Privacy Office verwalteten Überprüfungen der Qualitätssicherung führen interne und externe Teams zur Prüfung und Qualitätssicherung die Compliance Bewertungen durch, um sicherzustellen, dass das Unternehmen diese Richtlinie einhält, einschließlich jedweder dieser Richtlinie untergeordneten Strategien, Verfahren, Normen und Anleitungen. Korrektive und präventive Aktionspläne werden entwickelt und umgesetzt, um Diskrepanzen, die von den Teams zur Prüfung und Qualitätssicherung bemerkt wurden, zu behandeln. Die Ergebnisse des Prüfungsprogramms werden dem Chief Privacy Officer, dem zuständigen Datenschutzbeauftragten und dem Datenschutzausschuss mitgeteilt, die für deren Berichterstattung zuständig sind, wie in dieser Richtlinie beschrieben.

Die für die Wahrung der Privatsphäre und den Datenschutz verantwortlichen Behörden, die diese Richtlinie genehmigt haben oder rechtlich für unsere Unternehmenspraktiken nach dieser Richtlinie zuständig sind, haben das Recht, deren Einhaltung unsererseits zu überprüfen. Wir befolgen die Hinweise der zuständigen Behörden in Bezug auf die Auslegung und Anwendung der Richtlinie.

Begriffe, die Sie kennen müssen

  • Anonymisiert. Die Abänderung, Kürzung, Verschleierung oder sonstige Änderung personenbezogener Daten, damit diese unabänderlich nicht dazu verwendet werden können, Personen zu identifizieren, zu lokalisieren oder zu kontaktieren, sei es isoliert oder in Verbindung mit anderen Daten.
  • Gesetz/Recht. Alle geltenden Gesetze, Regeln, Bestimmungen und Verordnungen mit Rechtskraft in einem Land, in dem unser Unternehmen geschäftlich tätig ist oder in dem personenbezogene Daten von unserem Unternehmen oder im Namen unseres Unternehmens verarbeitet werden. Dazu gehören alle Datenschutzrahmenwerke, nach denen unser Unternehmen zugelassen oder zertifiziert wurde, einschließlich der EU Binding Corporate Rules („BCR“), der Grenzüberschreitenden Datenschutzbestimmungen der Asia Pacific Economic Cooperation („APEC“) („CBPRs“), des EU-USA Data Privacy Framework (DPF)-Programm, die Erweiterung des DPF-Programms auf das Vereinigte Königreich und das Schweiz-USA- Data Privacy Framework-Programm – unter den Ermittlungs- und Durchsetzungsbefugnissen der US Federal Trade Commission.
  • Unser Unternehmen. Merck & Co., Inc., Rahway, NJ, USA, seine Nachfolger, Tochtergesellschaften und Abteilungen weltweit, mit Ausnahme von Joint Ventures, an denen unser Unternehmen beteiligt ist.
  • Personenbezogene Daten. Alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen, einschließlich Daten, die eine Person identifizieren oder die verwendet werden könnten, um eine Person zu identifizieren, zu lokalisieren, zu verfolgen oder zu kontaktieren. Personenbezogene Daten umfassen sowohl direkt identifizierbare Informationen wie Name, Identifikationsnummer oder eindeutige Berufsbezeichnung als auch indirekt identifizierbare Informationen wie Geburtsdatum, eindeutige Kennung eines mobilen oder tragbaren Geräts, Telefonnummer sowie verschlüsselte Daten, Online-Kennungen wie IP-Adressen oder persönliche Aktivitäten, Verhaltensweisen oder Vorlieben, die zur Bereitstellung von Dienstleistungen oder Produkten erfasst werden können.
  • Datenschutzvorfall. Eine Verletzung dieser Richtlinie oder eines Gesetzes zur Wahrung der Privatsphäre oder zum Datenschutz, der auch einen Sicherheitsvorfall beinhaltet. Ob es sich um einen Datenschutzvorfall handelt und ob dieser zu einem Datenschutzverstoß erklärt werden sollte, sollte von dem Global Privacy Office, dem Sicherheits- und Risikomanagement für Informationstechnik (Information Technology Risk Management and Security, ITRMS) und der Rechtsabteilung bzw. dem Justiziar entschieden werden.
  • Verarbeitung. Jeder Vorgang oder eine Reihe von Vorgängen, in denen personenbezogene Informationen eine Rolle spielen, – unabhängig davon, ob sie automatisch durchgeführt werden oder nicht, einschließlich, aber nicht beschränkt auf, das Erfassen, Aufzeichnen, Organisieren, Speichern, Zugreifen, Anpassen, Ändern, Abrufen, Konsultieren, Verwenden, Auswerten, Analysieren, Berichten, Weitergeben, Offenlegen, Verbreiten, Übermitteln, Verfügbarmachen, Abgleichen, Kombinieren, Sperren, Löschen, Überschreiben oder Zerstören.
  • Datenschutzverletzung. Ein Verstoß gegen die Sicherheitsbestimmungen, der zu unabsichtlicher oder widerrechtlicher Zerstörung, Verlust, Änderung oder unbefugter Offenlegung von personenbezogenen Daten bzw. Zugriff auf diese führt, bzw. ein begründeter Verdacht dessen seitens unseres Unternehmens. Zugriffe auf personenbezogene Daten durch unser Unternehmen oder im Namen unseres Unternehmens stellen keine Datenschutzverletzung dar, wenn nicht die Absicht besteht, gegen diese Richtlinie zu verstoßen und wenn die erfassten Daten nur nach Maßgabe dieser Richtlinie verwendet und weitergegeben werden.
  • Sensible Daten. Jegliche Art von Informationen über Personen, die ein inhärentes Risiko eines potenziellen Schadens für den Einzelnen mit sich bringen, einschließlich Informationen, die gesetzlich als vertraulich definiert sind, einschließlich, aber nicht beschränkt auf, Informationen in Bezug auf Gesundheit, Genetik, biometrische Daten, ethnische Zugehörigkeit, ethnische Herkunft, Religion, politische oder philosophische Meinungen oder Überzeugungen, Vorstrafen, genaue geografische Standortinformationen, Bank- oder andere Finanzkontonummern, von der Regierung ausgestellte Identifikationsnummern, minderjährige Kinder, Sexualleben, sexuelle Orientierung, Gewerkschaftszugehörigkeit, Versicherungen, Sozialversicherung und andere von Arbeitgebern oder Regierungen ausgestellte Leistungen.
  • Dritter. Eine juristische Person, Vereinigung oder Person, die nicht zu unserem Unternehmen gehört oder ihm untersteht oder an der unser Unternehmen keine Mehrheitsbeteiligung hält bzw. die nicht bei unserem Unternehmen angestellt ist. Sofern nicht ausdrücklich in dieser Richtlinie festgelegt, ist keine Niederlassung und kein Geschäftsbereich unseres Unternehmens dazu verpflichtet, die Vorgaben eines Dritten zu erfüllen, da für sämtliche Niederlassungen und Geschäftsbereiche bezüglich personenbezogener Daten diese Richtlinie maßgeblich ist. Dies beinhaltet auch Fälle, in denen eine Niederlassung unseres Unternehmens eine oder mehrere Niederlassungen bei der Verarbeitung von Daten unterstützt.

Änderungen dieser Richtlinie

Diese Richtlinie kann in bestimmten Zeitabständen gemäß den Anforderungen geltender Gesetze geändert werden. Auf der Datenschutz-Webseite unseres Unternehmens wird für 60 Tage ein Hinweis veröffentlicht (https://www.msdprivacy.com), wenn diese Richtlinie wesentlich geändert wird.