Datenschutzhinweise und gemeinsame Verantwortung

Datenschutzhinweise für Mitarbeitende und vergleichbar Betroffene

Stand: Juli 2023

Datenschutzhinweise für Mitarbeitende und vergleichbar Betroffene

Mit den folgenden Informationen möchten wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch uns und Ihre Rechte aus dem Datenschutzrecht geben. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich nach den gesetzlichen Vorschriften sowie nach den getroffenen vertraglichen Vereinbarungen. Diese Hinweise richten sich an Personen, mit denen ein Arbeitsvertrag geschlossen wurde (Mitarbeitende), sowie an Bewerber und Personen, mit denen ein Dienst-, Werk-, Arbeitnehmerüberlassungs- oder Beratungsvertrag geschlossen wurde (vergleichbar Betroffene). Es werden daher nicht sämtliche nachstehende Informationen auf Sie zutreffen.

  1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche Stelle ist:
 

HSBC Continental Europe S.A., Germany

Hansaallee 3

40549 Düsseldorf

Telefon: 0211 910-0

Fax: 0211 910-616

E-Mail-Adresse: info@hsbc.de
 

Sie erreichen unsere/n Datenschutzbeauftragte/n unter:

HSBC Continental Europe S.A., Germany

Datenschutzbeauftragte/r

Hansaallee 3

40549 Düsseldorf

Telefon: 0211 910-2006

Fax: 0211 910-9-2125

E-Mail-Adresse: datenschutz@hsbc.de
 

  1. Welche Quellen und Daten nutzen wir?

Wir verarbeiten personenbezogene Daten, die wir während der Vertragsanbahnung oder später im Rahmen des Beschäftigungsverhältnisses von unseren Mitarbeitenden oder vergleichbar Betroffenen erhalten haben. Zudem verarbeiten wir – soweit dies für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlich ist – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z. B. Presse, Internet, beruflichen Netzwerken) zulässigerweise gewinnen oder die uns von anderen Unternehmen des HSBC-Konzerns berechtigt übermittelt werden. In bestimmten Konstellationen werden aufgrund gesetzlicher Vorschriften Ihre personenbezogenen Daten auch bei anderen Stellen erhoben. Dazu gehören insbesondere anlassbezogene Abfragen von steuerrelevanten Informationen beim zuständigen Finanzamt sowie Informationen über Arbeitsunfähigkeitszeiten bei der jeweiligen Krankenkasse. Daneben können wir Daten von Dritten (z. B. Stellenvermittlung) erhalten haben.

Zu den verarbeiteten Kategorien personenbezogener Daten gehören insbesondere

 

 

 

  • Stammdaten (wie Name, Adresse und andere Kontaktdaten, Personalnummer, Geburtstag und -ort sowie Staatsangehörigkeit, Status als Material Risk Taker, relevante Person nach MaComp, Individual Accountability Regime, WpHG-MaAnzV, Vergütungsinformationen),
  • Abwesenheiten (z.B. Core Leave Status, An- und Abwesenheitszeiten)
  • Legitimationsdaten (z. B. Ausweisdaten),
  • familiäre Daten (z. B. Familienstand, Angaben zu Ihren Kindern),
  • Notfallkontakte
  • Religionszugehörigkeit,
  • Sozialdaten, Sozialversicherungsnummer, Rentenversicherungsnummer, Steueridentifikationsnummer, Bankverbindung sowie Gehaltsdaten,
  • Gesundheitsdaten (sofern für das Beschäftigungsverhältnis relevant, z. B. bei einer Schwerbehinderung),
  • Eventuelle Vorstrafen (polizeiliches Führungszeugnis),
  • Informationen über Ihre finanzielle Situation (z.B. Kreditverbindlichkeiten, Gehaltspfändungen),
  • Performance Bewertungen und Feedback innerhalb der HSBC-Gruppe
  • Teilnahme an Trainings und Weiterbildungen
  • Daten relevant für das Talent und Nachfolgermanagement
  • Angaben zur und Nachweise der Qualifikation sowie Angaben zu früheren Arbeitgebern.

Darüber hinaus verarbeiten wir auch Auftragsdaten (z. B. Beantragung eines Telearbeitsplatzes), die bei der Nutzung der IT-Systeme anfallenden Protokolldaten sowie weitere Daten aus dem Beschäftigungsverhältnis (z. B. Zeiterfassungsdaten, Urlaubszeiten, Arbeitsunfähigkeitszeiten, elektronische Kommunikation, Aufzeichnung von Telefonaten sowie Skill-Daten und tätigkeitsbezogene Leistungsdaten), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z. B. Gehaltszahlungen) sowie andere mit den genannten Kategorien vergleichbare Daten.

  1. Gemeinsame Verantwortlichkeit von HSBC Continental Europe S.A., Germany und HSBC Group Management Services Ltd.

HSBC Continental Europe S.A., Germany („die Gesellschaft“) und die Konzerngesellschaft HSBC Group Management Services Ltd. („HGMS“) arbeiten eng zusammen. Dies betrifft im Besonderen die Verarbeitung Ihrer persönlichen Daten im Personalbereich (HR). Beide Parteien haben gemeinsam HR Services festgelegt, im Rahmen derer sie gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO) sind.

Für welche Services besteht eine gemeinsame Verantwortlichkeit?

Die Personalverwaltung der Gesellschaft wird in gemeinsamer Verantwortung mit der HGMS durchgeführt. Beide Parteien nutzen ein gemeinsames Personalverwaltungssystem und ein gemeinsames HR Ticket System zur effizienten Erledigung von Aufgaben oder Anfragen der Mitarbeitenden. Beide Parteien sind befugt, über die operative Datenverarbeitungen im Rahmen der ihnen obliegenden Dienstleistungen zu entscheiden.

Was haben die Parteien vereinbart?

Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben die Gesellschaft und HGMS vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Diese Vereinbarung ist notwendig, da in den beiden von der gemeinsamen Verantwortlichkeit betroffenen HR Systemen durch die Gesellschaft und durch HGMS jeweils unterschiedliche HR Services erbracht werden.

Im Rahmen der gemeinsamen Personalverwaltung obliegen den Parteien die folgenden Verantwortlichkeiten:

  • Die Gesellschaft ist zuständig für die Festlegung und Umsetzung adäquater Berechtigungen für beide HR Systeme hinsichtlich der Gesellschaft und ihre Auftragsverarbeiter. Sie bestimmt dadurch, welche Services von der Gesellschaft erbracht werden, welche personenbezogenen Daten in diesem Rahmen durch die Gesellschaft oder ihre Auftragsverarbeiter verarbeitet werden und wer innerhalb der Gesellschaft auf personenbezogene Daten zugreifen darf. Darüber hinaus ist die Gesellschaft zuständig für die Datenerhebung, -bereitstellung, -pflege und -korrekturen im Personalverwaltungssystem sowie für die Kategorisierung der im HR Ticketsystem zu bearbeitenden Anfragen und Aufgaben und in diesem Rahmen auch die Zuweisung zur weiteren Bearbeitung an die jeweiligen Bearbeiter bei der Gesellschaft oder der HGMS.
  • HGMS ist zuständig für die Festlegung und Umsetzung adäquater Berechtigungs- und Rollenkonzepte für beide HR Systeme und hinsichtlich der HGMS und deren Auftragsverarbeiter für die Rechtevergabe. HGMS bestimmt dadurch, welche Services von der HGMS oder ihren Auftragsverarbeitern erbracht werden, welche personenbezogenen Daten in diesem Rahmen durch die Gesellschaft oder ihre Auftragsverarbeiter verarbeitet werden und wer innerhalb von HGMS oder ihren Auftragsverarbeitern auf personenbezogene Daten der Gesellschaft zugreifen darf. Darüber hinaus ist HGMS zuständig für die im Rahmen der Erbringung zentraler HR Support und Oversight Services erforderlichen Datenverarbeitungen, welche die Themen Datenqualität, Schulungen, Talentförderung, Auslandseinsätze, Personalbetreuung und Berichtswesen betreffen. Diese Dienstleistungen werden sowohl zur Unterstützung der Personalverwaltung der Gesellschaft als auch zur Erreichung konzernweiter Ziele wie beispielsweise die Durchführung von Talentprogrammen erbracht. Zur Erbringung dieser Services werden sowohl Daten des Personalverwaltungssystems verwendet als auch die Daten im HR Ticketsystem bearbeitet und ausgewertet.

Was bedeutet das für Sie?

Die Parteien erfüllen die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Services wie folgt:

  • Im Rahmen der gemeinsamen Verantwortlichkeit sind beide Parteien für die die Verarbeitung der personenbezogenen Daten im Rahmen der ihnen jeweils obliegenden vereinbarten HR Services zuständig.
  • Die Gesellschaft und HGMS machen den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen.

 

Informationsanfragen zu Services, die durch die HGMS erbracht werden, richten Sie bitte an:

 

 

 

HSBC Global Services (UK) Limited

ROI Fulfilment Team

Banking Operations

2, Grosvenor House, 1 Wellington Street, Sheffield, S1 4NB

E-Mail-Adresse (HSBC-intern): gdpr.rightsuk@hsbc.com

 

  • Die Parteien informieren sich unverzüglich gegenseitig über von Betroffenen geltend gemachte Rechtspositionen. Sie stellen einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung.
  • Datenschutzrechte können sowohl bei der Gesellschaft als auch bei HGMS geltend gemacht werden. Betroffene erhalten die Auskunft grundsätzlich von der Stelle, die für den betroffenen Service verantwortlich ist.
  1. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG):

  1. Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG)

Die Verarbeitung von Daten dient in erster Linie der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Zur Durchführung des Vertrages ist unter anderem die Aufnahme der dienstlichen Kontaktdaten aller Mitarbeitenden in das HSBC-weite Adressbuch (Group Directory) erforderlich. Zudem wird jeder Mitarbeitende in das Active Directory aufgenommen, um soweit möglich zentral Systemzugriffe zu administrieren. Darüber hinaus kann es auch Teil der Tätigkeit eines Mitarbeiternden sein, sich selbstständig mit dienstlicher E-Mail-Adresse und Passwort bei einem externen oder HSBC-internen System zu registrieren. Sowohl HSBC-interne als auch externe Systeme und Webseiten können mit Cookies arbeiten. Cookies sind kleine Dateien, die im Browser oder auf der VDI des Nutzers gespeichert werden.

Bei Cookies ist zwischen notwenigen und optionalen Cookies zu unterscheiden. Die notwendigen Cookies, stellen sicher, dass die angebotenen Dienste ordnungsgemäß funktionieren. Hierunter fallen zum Beispiel Sicherheits-, Anti-Betrugs-, Authentifikations- und technische Cookies. Diese Cookies sind unbedingt erforderlich und werden daher automatisch eingesetzt.

Darüber hinaus verwenden einige Applikation optionale Cookies, wie Marketing-, Analyse- oder Personalisierungscookies. Diese Cookies bedürfen der Akzeptanz durch den Beschäftigten. 

Ebenfalls zur Durchführung des Vertrages erforderlich ist u.a., dass die Personalabteilung für jeden Mitarbeitenden eine elektronische Personalakte führt, die Gehaltsabrechnung vornimmt und Pensionsansprüche berechnet.

Sofern Sie Zusatzleistungen in Anspruch nehmen (z.B. Nutzung eines subventionierten Kinderbetreuungsplatzes, Inanspruchnahme des pme Familienservices, Teilnahme an den Gesundheitstagen etc.), werden Ihre Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.

  1. Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 1 BDSG)

Soweit erforderlich verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten (z.B. Behörden). Beispiele:

  • Maßnahmen zur Personalentwicklungsplanung
  • Maßnahmen bei organisatorischen Veränderungen
  • Notfallplanung
  • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
  • Gewährleistung der IT-Sicherheit und des IT-Betriebs der Gesellschaft
  • Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen (vgl. auch § 26 Abs. 1 BDSG)
  • Videoüberwachungen und sonstige Maßnahmen zur Wahrung des Hausrechts
  • Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen)
  • interne Kommunikation und sonstige Verwaltungszwecke.
  1. aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG)

Soweit Sie uns eine Einwilligung zur Verarbeitung personenbezogener Daten für bestimmte Zwecke (z.B. verlängerte Speicherung von Bewerbungsunterlagen, Lichtbilder im Intranet) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf einer Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.

  1. aufgrund gesetzlicher oder rechtlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG) oder im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO)

Zudem unterliegen wir diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. aus dem Sozialversicherungsrecht, Arbeitssicherheitsgesetz, Arbeitszeitgesetz, Teilzeit- und Befristungsgesetz, Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetzen) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, die Mitarbeiterzuverlässigkeitsprüfung, die Betrugs- und Geldwäscheprävention, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll-, Melde- und Dokumentationspflichten sowie die Steuerung von Risiken in der Gesellschaft und im HSBC-Konzern.

  1. aufgrund arbeitsrechtlicher Kollektivvereinbarungen (Art. 6 Abs. 1 b DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 4 BDSG)

Darüber hinaus verarbeiten wir Ihre Daten, sofern dies zur Ausübung oder Erfüllung der sich aus einem Tarifvertrag oder einer Konzern- oder Betriebsvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (z.B. Betriebsvereinbarung zum Mitarbeiternamensscreening).

  1. besondere Kategorien personenbezogener Daten

Soweit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden, dient dies im Rahmen des Beschäftigungsverhältnisses der Ausübung von Rechten oder der Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und dem Sozialschutz (z. B. Angabe von Gesundheitsdaten gegenüber der Krankenkasse, Erfassung der Schwerbehinderung wegen Zusatzurlaub und Ermittlung der Schwerbehindertenabgabe). Dies erfolgt auf Grundlage von Art. 9 Abs. 2 b DSGVO i. V. m. § 26 Abs. 3 BDSG. Zudem kann die Verarbeitung von Gesundheitsdaten für die Beurteilung Ihrer Arbeitsfähigkeit gem. Art. 9 Abs. 2 h i. V. m. § 22 Abs. 1 b BDSG erforderlich sein.

Daneben kann die Verarbeitung besonderer Kategorien personenbezogener Daten auf einer Einwilligung nach Art. 9 Abs. 2 a DSGVO i. V. m. § 26 Abs. 2 BDSG beruhen (z. B. betriebliches Gesundheitsmanagement).

  1. Wer bekommt meine Daten?

Innerhalb der Gesellschaft erhalten nur diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vorvertraglichen, vertraglichen und gesetzlichen Pflichten benötigen, z.B. Führungskräfte, Personalabteilung, Compliance, Betriebsrat, Schwerbehindertenvertretung, Gleichstellungsbeauftragte.

Darüber hinaus werden die Daten im Rahmen der vereinbarten gemeinsamen Verantwortung für HR Services der Konzerngesellschaft HGMS zur Verfügung gestellt (wie unter 2. beschrieben).

An weitere Dritte übermitteln wir Ihre personenbezogenen Daten nur, soweit dies rechtlich zulässig ist, vgl. Art. 6 DSGVO.

So können Ihre personenbezogenen Daten, soweit für die unter Ziffer 3 dieser Datenschutzhinweise genannten Zwecke erforderlich, an Dienstleister weitergegeben werden. Unsere Dienstleister sind Unternehmen (extern sowie HSBC Konzern-intern), die Unterstützung auf den Gebieten Gehaltsabrechnung, Pensionsberechnung, Beratung (z.B. Steuer- und Rechtsberatung), Umzugs- und Relocationservice, Datenbereitstellung und -pflege, Personal-Rekrutierung, Dienstfahrzeuge, betriebliches Gesundheitsmanagement und sonstige Benefits bieten, Wirtschaftsprüfer, Versicherungen, Trainings- und Schulungsdienstleister, IT-Dienstleister, Logistikunternehmen, Druck- und Übersetzungsdienstleister sowie Telekommunikationsdienstleister. Wir haben mit allen Dienstleistern detaillierte vertragliche Regelungen zum Schutz der zu verarbeitenden Daten getroffen. Darüber hinaus sind unsere Dienstleister zur Verschwiegenheit verpflichtet.

Weiterhin erfolgt eine Datenweitergabe an Dritte, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Unter dieser Voraussetzung können Empfänger personenbezogener Daten z.B. sein:

  • andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen)
  • Berufsgenossenschaften
  • Sozialversicherungsträger
  • Krankenkassen
  • Versorgungswerke
  • Steuerbehörden
  • Stellen, um Ansprüche aus der betrieblichen Altersversorgung gewährleisten zu können
  • Stellen, um die vermögenswirksamen Leistungen ausbezahlen zu können
  • öffentliche Stellen und Institutionen (z.B. Europäische Zentralbank, Europäische Bankenaufsicht, Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, registerführende Stellen (z.B. Handelsregister), Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung, Wirtschafts- und Lohnsteuerprüfer.

Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre Einwilligung zur Datenübermittlung erteilt haben.

  1. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Die unter Ziffer 4 genannten Datenempfänger haben ihren Sitz sowohl innerhalb als auch außerhalb des Europäischen Wirtschaftsraumes. Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union und außerhalb des Europäischen Wirtschaftsraums (sogenannte Drittstaaten) findet nur statt, soweit:

  • die Europäische Kommission beschlossen hat, dass das betreffende Drittland oder ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland ein angemessenes Schutzniveau bieten
  • wir, bei Ländern, die nicht Gegenstand eines solchen Angemessenheitsbeschlusses sind, geeignete Vorkehrungen im Sinne der DSGVO zum Schutz Ihrer personenbezogenen Daten getroffen haben (z.B. indem beide an der Übermittlung beteiligten Parteien Standardvertragsklauseln, die von der Europäischen Kommission erlassen wurden, vereinbart und zusätzlich angemessene Sicherheitsmaßnahmen (wie z. B. Datenverschlüsselung, Pseudonymisierung) getroffen haben); oder
  • Vorstehendes nicht gilt, wir aber dennoch in rechtlich zulässiger Weise die Daten übermitteln dürfen, zum Beispiel, wenn die Übermittlung für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, die Übermittlung gesetzlich vorgeschrieben ist (z.B. bei steuerrechtlichen Meldepflichten), Sie uns Ihre Einwilligung erteilt haben oder das berechtigte Interesse der Gesellschaft an der Übermittlung der Daten die Interessen der Mitarbeitenden überwiegt.

Angaben zu den im Einzelfall vorhandenen Schutzmaßnahmen, die wir in Bezug auf die Übermittlung personenbezogener Daten an Drittstaaten getroffen haben, sowie ggf. eine Kopie der von uns vereinbarten Standarddatenschutzklauseln, können Sie anfordern über: datenschutz@hsbc.de.

  1. Wie lange werden meine Daten gespeichert?

Wir verarbeiten und speichern Ihre personenbezogenen Daten solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist.

Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:

  • Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Arbeitszeitgesetz (ArbZG), Betriebsverfassungsgesetz (BetrVG), Entgelttransparenzgesetz (EntgTranspG), Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB), Abgabenordnung (AO), Geldwäschegesetz (GwG), Kreditwesengesetz (KWG) und Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel fünf bis zehn Jahre.
  • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen.

Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch Sie widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn, es besteht eine der genannten Ausnahmen.

  1. Welche Datenschutzrechte habe ich?

Jede betroffene Person hat das Recht auf Auskunft nach Artikel 15 DSGVO, das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Löschung nach Artikel 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO, das Recht auf Widerspruch aus Artikel 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Betroffene Personen können den Datenschutzbeauftragten der Gesellschaft zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Zusammenhang stehenden Fragen zu Rate ziehen (Artikel 38 Absatz 4 DSGVO).

Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG).

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

  1. Gibt es für mich eine Pflicht zur Bereitstellung von Daten?

Im Rahmen unseres Beschäftigungsverhältnisses müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich oder aufgrund einer Kollektivvereinbarung verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit Ihnen zu schließen oder weiterzuführen.

In einigen Situationen können Ihnen Nachteile entstehen, wenn Sie bestimmte personenbezogene Daten nicht bereitstellen, z.B. fehlende erleichternde Arbeitsmittel für Schwerbehinderte, zusätzlicher Beitrag in die Pflegeversicherung bei Kinderlosigkeit.

Sollten Sie uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, kann dies der Aufnahme und einer Fortführung des Beschäftigungsverhältnisses entgegenstehen.

  1. Inwieweit gibt es eine automatisierte Entscheidungsfindung? Findet Profiling statt?

Wir nutzen keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO; auch ein Profiling findet nicht statt.

 

Information über Ihr Widerspruchsrecht nach Artikel 21 Datenschutz-Grundverordnung (DSGVO)

Die nachfolgenden Hinweise sind gesetzlich vorgeschrieben. Wie Sie unseren Datenschutzhinweisen entnehmen können, nehmen wir einige der genannten Verarbeitungen nicht vor. Mithin sind die folgenden Bestimmungen für das zwischen uns bestehende Vertragsverhältnis ggf. nicht relevant.

  1. Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

  1. Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung

In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:

HSBC Continental Europe S.A., Germany

Datenschutzbeauftragte/r

Hansaallee 3

40549 Düsseldorf

Telefon: +49 211 910-2006

Fax: +49 211 910-9-2125

E-Mail: datenschutz@hsbc.de
 

Hinsichtlich Services, die nicht durch HSBC Continental Europe S.A., Germany selbst, sondern durch die Konzern-Gesellschaft HSBC Group Management Services Ltd. erbracht werden, kann der Widerspruch alternativ auch an folgende verantwortliche Stelle gerichtet werden:

HSBC Global Services (UK) Limited

ROI Fulfilment Team

Banking Operations

2, Grosvenor House, 1 Wellington Street, Sheffield, S1 4NB

E-Mail-Adresse (HSBC-intern): gdpr.rightsuk@hsbc.com

English Version

Please find an English version here.