Datensicherheit

  • Seite drucken
  • Seite teilen

Datenschutzhinweise für Mitarbeiter und vergleichbar Betroffene

Hinweis: Dieses Dokument richtet sich an Mitarbeiter der HSBC Deutschland, an Bewerber sowie an Personen, mit denen ein Dienst-, Werk-, Arbeitnehmerüberlassungs- oder Beratungsvertrag geschlossen wurde

Stand: Mai 2018

Mit den folgenden Informationen möchten wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch uns und Ihre Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich nach den gesetzlichen Vorschriften sowie nach den getroffenen vertraglichen Vereinbarungen. Diese Hinweise richten sich an Personen, mit denen ein Arbeitsvertrag geschlossen wurde (Mitarbeiter), sowie an Bewerber und Personen, mit denen ein Dienst-, Werk-, Arbeitnehmerüberlassungs- oder Beratungsvertrag geschlossen wurde (vergleichbar Betroffene). Es werden daher nicht sämtliche nachstehende Informationen auf Sie zutreffen.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche Stelle ist:

Sie erreichen unseren betrieblichen Datenschutzbeauftragten unter:

2. Welche Quellen und Daten nutzen wir?

Wir verarbeiten personenbezogene Daten, die wir während der Vertragsanbahnung oder später im Rahmen des Beschäftigungsverhältnisses von unseren Mitarbeitern oder vergleichbar Betroffenen erhalten haben. Zudem verarbeiten wir - soweit dies für die Begründung oder Durchführung des Beschäftigungsverhältnis erforderlich ist - personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Presse, Internet, beruflichen Netzwerken) zulässigerweise gewinnen oder die uns von anderen Unternehmen des HSBC-Konzerns berechtigt übermittelt werden. In bestimmten Konstellationen werden aufgrund gesetzlicher Vorschriften Ihre personenbezogenen Daten auch bei anderen Stellen erhoben. Dazu gehören insbesondere anlassbezogene Abfragen von steuerrelevanten Informationen beim zuständigen Finanzamt sowie Informationen über Arbeitsunfähigkeitszeiten bei der jeweiligen Krankenkasse. Daneben können wir Daten von Dritten (z. B. Stellenvermittlung) erhalten haben.

Zu den verarbeiteten Kategorien personenbezogener Daten gehören insbesondere

- Stammdaten (wie Name, Adresse und andere Kontaktdaten, Personalnummer, Geburtstag und -ort sowie Staatsangehörigkeit),
- Legitimationsdaten (z.B. Ausweisdaten),
- familiäre Daten (z.B. Familienstand, Angaben zu Ihren Kindern),
- Religionszugehörigkeit,
- Sozialdaten, Sozialversicherungsnummer, Rentenversicherungsnummer, Steueridentifikationsnummer, Bankverbindung sowie Gehaltsdaten,
- Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z.B. bei einer Schwerbehinderung),
- eventuelle Vorstrafen (polizeiliches Führungszeugnis),
- Informationen über Ihre finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen),
- Angaben zur und Nachweise der Qualifikation sowie Angaben zu früheren Arbeitgebern.

Darüber hinaus verarbeiten wir auch Auftragsdaten (z.B. Beantragung eines Telearbeitsplatzes), die bei der Nutzung der IT-Systeme anfallenden Protokolldaten sowie weitere Daten aus dem Beschäftigungsverhältnis (z.B. Zeiterfassungsdaten, Urlaubszeiten, Arbeitsunfähigkeitszeiten, elektronische Kommunikation, Aufzeichnung von Telefonaten sowie Skill-Daten und tätigkeitsbezogene Leistungsdaten), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Gehaltszahlungen) sowie andere mit den genannten Kategorien vergleichbare Daten.

3. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG):

a. Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)

Die Verarbeitung von Daten dient in erster Linie der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern Sie Zusatzleistungen in Anspruch nehmen (z.B. Nutzung eines subventionierten Kinderbetreuungsplatzes, Inanspruchnahme des pme Familienservices, Teilnahme an den Gesundheitstagen, etc.), werden Ihre Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.

b. Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)

Soweit erforderlich verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten (z.B. Behörden). Beispiele:

- Maßnahmen zur Personalentwicklungsplanung,
- Maßnahmen bei organisatorischen Veränderungen,
- Notfallplanung,
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank,
- Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG),
- Videoüberwachungen und sonstige Maßnahmen zur Wahrung des Hausrechts,
- Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen),
- interne Kommunikation und sonstige Verwaltungszwecke.

c. aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)

Soweit Sie uns eine Einwilligung zur Verarbeitung personenbezogener Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Lichtbilder im Intranet) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.

d. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)

Zudem unterliegen wir als Bank diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. aus dem Sozialversicherungsrecht, Arbeitssicherheitsgesetz, Arbeitszeitgesetz, Teilzeit- und Befristungsgesetz, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetzen) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, die Mitarbeiterzuverlässigkeitsprüfung, die Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll-, Melde- und Dokumentationspflichten sowie die Steuerung von Risiken in der Bank und im HSBC-Konzern.

e. aufgrund arbeitsrechtlicher Kollektivvereinbarungen (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 4 BDSG)

Darüber hinaus verarbeiten wir Ihre Daten, sofern dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Konzern- oder Betriebsvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zum Mitarbeiternamensscreening).

f. besondere Kategorien personenbezogener Daten

Soweit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden, dient dies im Rahmen des Beschäftigungsverhältnisses der Ausübung von Rechten oder der Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und dem Sozialschutz (z. B. Angabe von Gesundheitsdaten gegenüber der Krankenkasse, Erfassung der Schwerbehinderung wegen Zusatzurlaub und Ermittlung der Schwerbehindertenabgabe). Dies erfolgt auf Grundlage von Art. 9 Abs. 2 b DSGVO i. V. m. § 26 Abs. 3 BDSG. Zudem kann die Verarbeitung von Gesundheitsdaten für die Beurteilung Ihrer Arbeitsfähigkeit gem. Art. 9 Abs. 2 h i. V. m. § 22 Abs. 1 b BDSG erforderlich sein.

Daneben kann die Verarbeitung besonderer Kategorien personenbezogener Daten auf einer Einwilligung nach Art. 9 Abs. 2 a DSGVO i. V. m. § 26 Abs. 2 BDSG beruhen (z. B. betriebliches Gesundheitsmanagement).

4. Wer bekommt meine Daten?

Innerhalb der Bank erhalten nur diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen, z.B. Vorgesetzte, Personalabteilung, Betriebsrat, Schwerbehindertenvertretung, Gleichstellungsbeauftragte. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen, die Unterstützung auf den Gebieten Gehaltsabrechnung, Pensionsberechnung, Beratung (z.B. Steuer- und Rechtsberatung) bieten, Wirtschaftsprüfer, Versicherungen, Trainings- und Schulungsdienstleister, IT-Dienstleistung, Logistikunternehmen, Umzugs- und Relocationservice, Druck- und Übersetzungsdienstleistung, Dienstleistungen des betrieblichen Gesundheitsmanagements sowie Telekommunikationsdienstleister.

Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unserer Bank ist zunächst zu beachten, dass wir als Arbeitgeber Informationen über unsere Beschäftigten grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, der Beschäftigte eingewilligt hat oder wir zur Weitergabe anderweitig befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:

- andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen),
- Berufsgenossenschaften,
- Sozialversicherungsträger,
- Krankenkassen,
- Versorgungswerke,
- Steuerbehörden,
- Stellen, um Ansprüche aus der betrieblichen Altersversorgung gewährleisten zu können,
- Stellen, um die vermögenswirksamen Leistungen ausbezahlen zu können,
- öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung, Wirtschafts- und Lohnsteuerprüfer,
- Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.

Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre Einwilligung zur Datenübermittlung erteilt haben oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.

5. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union und außerhalb des Europäischen Wirtschaftsraums (sogenannte Drittstaaten) findet statt, soweit

- es gesetzlich vorgeschrieben ist (z.B. steuerrechtliche Meldepflichten),
- Sie uns Ihre Einwilligung erteilt haben,
- im Rahmen einer Auftragsverarbeitung oder
- soweit mit dem Empfänger Standarddatenschutzklauseln vereinbart wurden.

Bei einer Auftragsverarbeitung sind die Dienstleister vertraglich an unsere Weisungen gebunden und unterliegen strengen technischen und organisatorischen Sicherheitsmaßnahmen. Die Zweckbindung sowie der Ausschluss, die Daten zu eigenen Zwecken verarbeiten zu dürfen, sind ausdrücklich vereinbart.

Die eingesetzten Auftragsverarbeiter sowie einige Datenempfänger sind sowohl in Ländern ansässig, die Gegenstand eines Angemessenheitsbeschlusses der EU-Kommission sind, als auch in Ländern die kein mit der EU vergleichbares Datenschutzniveau aufweisen. Werden Daten an Empfänger in Drittstaaten übermittelt, für die kein Angemessenheitsbeschluss vorliegt, hat die Bank diese (im Hinblick auf die Dienstleiter zusätzlich zu den schriftlichen Weisungen) durch die Vereinbarung der EU-Standarddatenschutzklauseln zur Einhaltung des europäischen Datenschutzniveaus verpflichtet. Die "Standardvertragsklauseln (Auftragsverarbeiter)" sind unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF (Anhang zum Beschluss der Kommission vom 5. Februar 2010, Aktenzeichen K(2010) 593) abrufbar.

6. Wie lange werden meine Daten gespeichert?

Wir verarbeiten und speichern Ihre personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist.

Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese gelöscht, es sei denn, deren - befristete - Weiterverarbeitung ist erforderlich zu folgenden Zwecken:

- Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Arbeitszeitgesetz (ArbZG), Betriebsverfassungsgesetz (BetrVG), Entgelttransparenzgesetz (EntgTranspG), Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Geldwäschegesetz (GwG), Kreditwesengesetz (KWG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel fünf bis zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.

Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch Sie widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn, es besteht eine der genannten Ausnahmen.

7. Welche Datenschutzrechte habe ich?

Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Betroffene Personen können den Datenschutzbeauftragten der Bank zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Zusammenhang stehenden Fragen zu Rate ziehen (Artikel 38 Absatz 4 DSGVO).

Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG).

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

8. Gibt es für mich eine Pflicht zur Bereitstellung von Daten?

Im Rahmen unseres Beschäftigungsverhältnisses müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit Ihnen zu schließen oder weiterzuführen.

In einigen Situationen können Ihnen Nachteile entstehen, wenn Sie bestimmte personenbezogene Daten nicht bereitstellen, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit.

Sollten Sie uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und einer Fortführung des Beschäftigungsverhältnisses entgegenstehen.

9. Inwieweit gibt es eine automatisierte Entscheidungsfindung? Findet Profiling statt?

Wir nutzen keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO; auch ein Profiling findet nicht statt.






Information über Ihr Widerspruchsrecht nach Artikel 21 Datenschutz-Grundverordnung (DSGVO)

Die nachfolgenden Hinweise sind gesetzlich vorgeschrieben. Wie Sie unseren Datenschutzhinweisen entnehmen können, nehmen wir einige der genannten Verarbeitungen nicht vor. Mithin sind die folgenden Bestimmungen für das zwischen uns bestehende Vertragsverhältnis ggf. nicht relevant.

1. Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

2. Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung

In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:

  • HSBC Trinkaus & Burkhardt AG
  • Datenschutzbeauftragter
  • Königsallee 21/23
  • 40212 Düsseldorf
  • Telefon: +49 211 910-3225
  • Fax: +49 211 910-9-2125
  • E-Mail: datenschutz@hsbc.de

Data protection information for staff and similar data subjects

Note: This documents is intended for employees of HSBC Deutschland, for applicants and individuals with whom we have entered into a service contract, a contract for works, an agreement for the supply of contract labour, or a consultancy agreement

As at May 2018

The following information is intended to provide you with an overview of the way in which we process your personal data and of your rights under data protection law. The specific data processed, and the uses to which that data is put, is determined by statutory provisions and the contractual agreements between you and us. This information is intended for individuals with whom we have concluded an employment contract (employee), and for applicants and individuals with whom we have entered into a service contract, a contract for works, an agreement for the supply of contract labour, or a consultancy agreement (similar data subjects). It may therefore be that not all the information below relates to you.

1. Who is responsible for data processing and who can I contact?

The data controller is:

  • HSBC Trinkaus & Burkhardt AG
  • Königsallee 21/23
  • 40212 Düsseldorf, Germany
  • Tel: +49 (0)211 9100
  • Fax: +49 (0)211 910 616
  • Email address: info@hsbc.de

Our data protection officer can be reached at the following address

  • HSBC Trinkaus & Burkhardt AG
  • Data Protection Officer
  • Königsallee 21/23
  • 40212 Düsseldorf, Germany
  • Tel: +49 (0)211 910 3225
  • Fax: +49 (0)211 9109 2125
  • Email address: datenschutz@hsbc.de

2. Which sources and data do we use?

We process personal data that we obtain from our employees and similar data subjects during the initiation of employment relationships or in the course of such relationships. Where it is necessary in order for us to establish or conduct an employment relationship, we also process personal data that we lawfully obtain from publicly available sources (e.g. press, internet, professional networks) or that is legitimately provided to us by other companies within the HSBC Group. In certain circumstances, your personal data is also collected by other organisations on the basis of statutory provisions. This includes, in particular, ad hoc requests for tax-relevant information by the competent tax authority and information concerning periods of incapacity for work collected by the relevant health insurance company. We may also have received data from third parties (e.g. an employment agency).

The categories of personal data processed include, in particular,

- core data (such as name, address and other contact details, personnel number, date and place of birth and nationality),
- credentials (e.g. ID data),
- family information (e.g. marital status, information about your children),
- religious affiliation,
- social data, social insurance number, pension insurance number, tax identification number, bank account details and salary data,
- health data (so far as this is relevant to the employment relationship, e.g. if severely disabled),
- any previous convictions (police certificate of good conduct),
- information about your financial situation (e.g. borrowings, garnishment of salary),
- information about and evidence of qualifications and details of previous employers.

We also process order-related information (e.g. if a remote workstation has been requested), the log files created when IT systems are used, and other data arising from the employment relationship (e.g. time records, holiday periods, periods of incapacity, electronic communication, recording of telephone calls, as well as skills data and activity-related performance data), data from the fulfilment of our contractual obligations (e.g. salary payments) and other data comparable to the above categories.

3. Why do we process your data (purpose of data processing) and what is the legal basis for this?

We process personal data in accordance with the provisions of the EU General Data Protection Regulation (GDPR) and the German Data Protection Act (BDSG):

a. For the fulfilment of contractual duties (Art. 6 (1) b GDPR in conjunction with Art. 88 GDPR and section 26 (1) sentence 1 BDSG)

The primary purpose of processing data is to establish, carry out, or terminate employment relationships or to take steps, upon request, prior to entering into a contract. If you make use of additional benefits (e.g. subsidised childcare places, use of the pme family service, participation in healthcare days, etc.), your data will be processed to the extent necessary for us to provide these additional benefits.

b. As part of the balancing of interests (Art. 6 (1) f GDPR in conjunction with Art. 88 GDPR and section 26 (1) BDSG)

If necessary, we will process data that goes beyond what is necessary simply for the fulfilment of the contract, in order to safeguard our own legitimate interests or those of a third party (e.g. public authorities). Examples:

- Personal development planning measures
- Organisational change measures
- Contingency planning
- Assertion of legal claims and defence in the event of legal disputes
- Assurance of IT security and the Bank's IT operations
- Prevention and investigation of crimes or serious breaches of duty (cf. also section 26 (1) BDSG)
- Video surveillance and other measures to guarantee undisturbed possession of our premises
- Building and site security measures (e.g. access controls)
- Internal communication and other administrative measures

c. On the basis of your consent (Art. 6 (1) a GDPR in conjunction with Art. 88 GDPR and section 26 (2) BDSG)

If you have given us your consent to process personal data for specific purposes (e.g. storing application details for an extended period, photographs on the intranet), the processing of this data is lawful on the basis of your consent. Consent can be withdrawn at any time. This also applies to the withdrawal of declarations of consent granted to us before the entry into force of the General Data Protection Regulation, i.e. before 25 May 2018. Withdrawal of consent only has future effect and will not affect the lawfulness of the data processed before consent was withdrawn.

d. On the basis of statutory or other legal provisions (Art. 6 (1) c GDPR and Art. 88 GDPR and section 26 BDSG) or in the public interest (Art. 6 (1) e GDPR)

As a bank, we are also subject to a range of legal obligations, i.e. statutory requirements (under German social security law, the German Health and Safety at Work Act (ASiG), the German Working Hours Act (ArbZG), the German Part-Time and Fixed Term Employment Act (TzBfG) the German Banking Act (KWG), the German Anti-Money Laundering Act (GwG), the German Securities Trading Act (WpHG), and German tax legislation, for example) and regulatory requirements (imposed by institutions such as the European Central Bank, the European Banking Authority, Deutsche Bundesbank and the German Federal Financial Supervisory Authority). Data is also processed for verifying identity, checking employee reliability, preventing fraud and money laundering, fulfilling monitoring, reporting and documentation obligations under social insurance and tax law, and managing risks within the Bank and the HSBC Group.

e. On the basis of collective agreements (Art. 6 (1) b GDPR in conjunction with Art. 88 GDPR and section 26 (4) BDSG

We also process your data so far as this is necessary to exercise rights or fulfil obligations arising from a collective agreement or an agreement between management and the Group works council or an individual company works council (e.g. company agreement on employee name screening).

f. Special categories of personal data

If special categories of personal data pursuant to Art. 9 (1) GDPR are processed, the purpose of such processing within the context of the employment relationship is to exercise rights or fulfil legal duties under employment law, social security law, and social protection (e.g. provision of medical data to the health insurance company, documentation of severe disability for extra vacation and for calculation of the levy payable by employers failing to employ a sufficient proportion of disabled workers as required by law). Such data is processed on the basis of Art. 9 (2) b GDPR in conjunction with section 26 (3) BDSG. The processing of medical data may also be necessary for the assessment of fitness to work pursuant to Art. 9 (2) h in conjunction with section 22 (1) b BDSG.

The processing of special categories of personal data may also be based on consent pursuant to Art. 9 (2) a GDPR in conjunction with section 26 (2) BDSG (e.g. occupational health management).

4. Who will receive my data?

Access to your data is provided only to those individuals and departments within the Bank that need this data in order to meet our contractual and legal obligations, e.g. line managers, HR, the works council, the representative committee for the severely disabled, and the equal opportunities representative. Service providers and agents used by us may also be provided with data for these purposes. These are companies that provide support in the areas of payroll, pensions, consultancy (e.g. tax and legal advisors), auditors, insurance companies, training providers, IT services, logistics companies, removal companies and relocation services, printing and translation service providers, providers of occupational health management services, and telecommunications service providers.

With regard to the sharing of data with recipients outside our Bank, please note that as an employer, we disclose the data of our employees only if we are required to do so by law, if the data subject has given their consent, or if we are otherwise authorised to do so. Subject to these conditions, recipients of personal data could include the following:

- Other banks and financial service institutions or similar bodies to which we provide personal data in order to perform our contractual relationship with you (e.g. for salary payments) - Professional associations - Social security providers - Health insurance providers - Pension funds - Tax authorities - Organizations to which data must be provided in order to ensure that entitlements under company pension plans are received - Organizations to which data must be provided in order to ensure that benefits under employer-funded capital-formation scheme are paid out - Public bodies and institutions (e.g. the European Central Bank, the European Banking Authority, Deutsche Bundesbank, the German Federal Financial Supervisory Authority, fiscal authorities, and law enforcement authorities) if a legal or official obligation exists, auditors and wage tax auditors - Service providers to which we outsource data processing services.

Other data recipients could include bodies to which we are entitled to provide information based on the consent you have given us or to which we are entitled to transfer personal information, based on a balancing of interests.

5. Will data be transferred to a third country or an international organisation?

Data is transferred to bodies in countries outside the European Union and outside the European Economic Area ('third countries') if

- prescribed by law (e.g. reporting obligations under tax law), - you have given us your consent, - it forms part of commissioned data processing activities, - standard data protection clauses have been agreed with the recipient.

In the case of commissioned data processing activities, service providers are contractually bound by our instructions and have to adhere to strict technical and organisational security requirements. Explicit agreements are made to limit the use of data to specific circumstances and to prohibit the use of data for the service provider's own purposes.

The processors used and other recipients of data may be based in countries for which an adequacy decision has been issued by the European Commission as well as in countries that do not offer comparable data protection standards to those of the EU. If data is transferred to recipients in third countries for which no adequacy decision has been issued, the Bank requires such recipients to comply with European data protection standards by agreeing to use of the EU standard contractual clauses for data protection. In the case of service providers, this requirement is in addition to the written instructions. The 'standard contractual clauses (processors)' can be accessed at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32010D0087&from=EN (attachment to the Commission Decision of 5 February 2010, document C(2010) 593).

6. How long is my data stored?

We process and store your personal data for as long as is required in order to fulfil our contractual and statutory duties. It should be noted that the employment relationship is a contract for the performance of continuing obligation that is intended to run for a long period.

If the data is no longer required for the fulfilment of contractual or statutory duties, it is erased unless its continued processing - for a limited time - is necessary for the following purposes:

- Compliance with statutory retention periods that could arise, for example under the German Working Hours Act (ArbZG), the German Works Constitution Act (BetrVG), the German Transparency of Pay Act (EntgTranspG), the German Social Security Code (SGB IV), the German Commercial Code (HGB), the German Tax Code (AO), the German Anti-Money Laundering Act (GwG), the German Banking Act (KWG), and the German Securities Trading Act (WpHG). The time periods specified in these laws for the retention of records and/or documentation generally range from five to ten years. - Preservation of evidence in line with the statutory limitation periods. In accordance with section 195 et seq. of the German Civil Code (BGB), these may last up to 30 years although the standard limitation period is three years.

If the data processing is in our legitimate interest or the legitimate interest of a third party, the personal data will be erased as soon as this interest ceases to apply. The exceptions referred to above apply.

The same applies to the processing of data on the basis of consent. As soon as you withdraw your consent with future effect, the personal data will be erased, unless one of the aforementioned exceptions applies.

7. What data protection rights do I have?

Each data subject has the right of access under Article 15 GDPR, the right to rectification under Article 16 GDPR, the right to erasure under Article 17 GDPR, the right to restriction of processing under Article 18 GDPR, the right to object under Article 21 GDPR, and the right to data portability under Article 20 GDPR. The right of access and the right to erasure are subject to limitations under sections 34 and 35 BDSG.

Data subjects may consult the Bank's data protection officer for any matters in relation to the processing of their personal data and the exercise of their rights in this regard (Article 38 (4) GDPR).

There is also a right to lodge a complaint with a supervisory authority (Article 77 GDPR in conjunction with section 19 BDSG).

You can withdraw any consent given to us for the processing of personal data at any time. This also applies to the withdrawal of declarations of consent granted to us before the entry into force of the General Data Protection Regulation, i.e. before 25 May 2018. Please note that this withdrawal of consent is not retroactive. Data processing that took place before consent was withdrawn is not affected.

8. Do I have a duty to provide data?

Within the scope of the employment relationship, you must provide any personal data that is necessary for the commencement, performance, and termination of the employment relationship and the fulfilment of the associated contractual duties, and any information that we are obliged to collect by law or on the basis of a collective agreement. Without this data, we will generally be unable to conclude a contract with you or to continue performing the contract.

In some situations, you may suffer a disadvantage if you do not provide certain personal data, e.g. lack of equipment to make work easier for severely disabled people, or additional nursing care insurance contributions for childless employees.

If you do not provide us with the necessary information and documents, it may be difficult for us to commence or continue the employment relationship.

9. To what extent is automated decision-making used? Is profiling used?

We do not use fully automated decision-making processes within the meaning of Article 22 GDPR. Nor do we use profiling.






Information regarding your right to object pursuant to Article 21 of the General Data Protection Regulation (GDPR)

The following information is prescribed by law. As you can see from our data protection information, we do not undertake some of the specified types of processing. In particular, the following provisions may not be relevant to our relationship with you.

1. Right to object on a case-by-case basis

You have the right to object, on grounds relating to your particular situation, at any time to the processing of personal data concerning you that is based on Article 6 (1) e GDPR (data processing in the public interest) or Article 6 (1) f GDPR (data processing on the basis of a balancing of interests); this also applies to any profiling based on this provision within the meaning of Article 4 no. 4 GDPR.

If you object, we will no longer process your personal data unless we can demonstrate compelling legitimate grounds for processing the data which override your interests, rights and freedoms, or for the establishment, exercise, or defence of legal rights.

2. Objection to the processing of data for direct marketing

In individual cases, we use your personal data for direct marketing purposes. You have the right to object at any time to the processing of personal data concerning you for such marketing; this also applies to profiling, to the extent that it is related to such direct marketing.

If you object to processing for direct marketing purposes, we will no longer process your personal data for this purpose.

The objection is not subject to any particular requirements of form and should, if possible, be addressed to:

  • HSBC Trinkaus & Burkhardt AG
  • Data Protection Officer
  • Königsallee 21/23
  • 40212 Düsseldorf, Germany
  • Tel: +49 (0)211 910 3225
  • Fax: +49 (0)211 9109 2125
  • Email: datenschutz@hsbc.de

English Version

Please find an English version at the end of this page.