EXXONMOBIL Datenschutz-Verhaltenskodex¹

1.1 ExxonMobil verpflichtet sich zum Schutz personenbezogener Daten, einschließlich:

i. der rechtmäßigen Verarbeitung der ihr anvertrauten personenbezogenen Daten und

ii. einem im Einklang mit den geschäftlichen Erfordernissen stehenden, angemessenen Management der mit der Verarbeitung personenbezogener Daten verbundenen Datenschutzrisiken.

1.2 ExxonMobil und ihre Mitarbeiter halten sich bei der Verarbeitung personenbezogener Daten an diesen Kodex.

1.3 ExxonMobil überwacht die Einhaltung dieses Kodex sowie der Programme, Instrumente und Verfahren zur Umsetzung des Kodex durch ein globales Datenschutzgremium.

1.4 Das verbundene Unternehmen ExxonMobil Petroleum & Chemical BV mit Sitz in Polderdijkweg, 2030 Antwerpen, Belgien, ist Teil des globalen Datenschutzgremiums von ExxonMobil und nimmt eine führende Rolle beim Schutz europäischer personenbezogener Daten ein. Einzelheiten zu dieser Rolle und spezifischen Rechten in Bezug auf europäische personenbezogene Daten sind in Abschnitt 19 beschrieben.

1.5 Dieser Kodex fungiert für ExxonMobil als verbindliche interne Datenschutzvorschriften ("Binding Corporate Rules") nach europäischem Datenschutzrecht.

2.1 Dieser Kodex hat in jedem Land Gültigkeit, in dem ExxonMobil personenbezogene Daten verarbeitet.

2.2 Der Kodex gilt für personenbezogene Daten natürlicher Personen ("betroffene Personen"). Zu diesen zählen aktuelle und ehemalige Mitarbeiter, Bewerber, Auftragnehmer, Vertreter von Kunden und anderen Geschäftspartnern sowie Verbraucher.

2.3 Der Kodex gilt nicht für anonymisierte Informationen oder andere Informationen, die keine personenbezogenen Daten sind.

2.4 ExxonMobil verarbeitet personenbezogene Daten für geschäftliche Zwecke,  einschließlich 

i. Personalverwaltung und Personalwesen, wie Gehaltsabrechnung und Karriereentwicklung betroffener Personen,

ii. Überprüfungen der Compliance von betroffenen Personen mit Unternehmensrichtlinien, 

iii. Sicherheit und Zugang von betroffenen Personen zu Gebäuden und Betriebsstätten, 

iv. Informationstechnologie-Management im Zusammenhang mit der Nutzung von IT-Systemen des Unternehmens durch betroffene Personen,

v. Verwaltung der Geschäftsbeziehungen zu unseren Kunden und anderen Geschäftspartnern, einschließlich der Verarbeitung von Kontakt- und Transaktionsdaten zur Annahme von Aufträgen, Lieferungen, Abrechnung und Geschäftsentwicklung, 

vi. Kommunikation mit Behörden und staatlichen Stellen zur Erfüllung regulatorischer Anforderungen,

vii. Kommunikation mit externen Stakeholdern zu Angelegenheiten im Zusammenhang mit Geschäftsaktivitäten von ExxonMobil.

3.1 Die Verarbeitung personenbezogener Daten erfolgt im Rahmen der geltenden Gesetze. 

3.2 Dieser Kodex legt einen Mindeststandard für den Datenschutz fest. Wenn das geltende Recht ein höheres Schutzniveau für personenbezogene Daten als das im Kodex festgelegte verlangt, wird ExxonMobil ein höheres Schutzniveau sicherstellen. Sollte beispielsweise die Verarbeitung nur aus einem oder mehreren gesetzlich festgelegten Gründen zulässig sein, wird Exxonmobil diesen Anforderungen nachkommen.

3.3 Wenn ExxonMobil Grund zu der Annahme hat, dass ein Gesetz die Einhaltung des Kodex verhindert, wird ExxonMobil eine verantwortungsvolle Entscheidung darüber treffen, welche Maßnahmen in Absprache mit dem ExxonMobil-Datenschutzgremium zu ergreifen sind und eine zuständige Datenschutzbehörde konsultieren, wenn ExxonMobil dies für erforderlich hält.

Soweit dies nach geltendem Recht erforderlich ist, werden personenbezogene Daten für bestimmte und rechtmäßige Zwecke verarbeitet; eine darüberhinausgehende Verarbeitung, die nicht mit diesen Zwecken vereinbar ist, findet nicht statt. Die Weiterverarbeitung wird nicht als unvereinbar mit diesen Zwecken angesehen, wenn sie beispielsweise (i.) mit der Einwilligung oder Genehmigung der betroffenen Person für einen oder mehrere bestimmte Zwecke erfolgt, (ii.) erforderlich ist, um lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder (iii.) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erfolgt.

5.1 ExxonMobil verpflichtet sich, ausschließlich personenbezogene Daten zu verarbeiten, die für einen legitimen Geschäftszweck relevant sind. 

5.2 Personenbezogene Daten werden nur so lange aufbewahrt, wie es zur Erfüllung der Zwecke, für die sie verarbeitet werden, oder, falls länger, zur Einhaltung des geltenden Rechts oder zum Schutz berechtigter Unternehmensinteressen erforderlich ist. 

5.3 Wo dies nach geltendem Recht erforderlich ist, wird ExxonMobil Maßnahmen ergreifen, um die Verarbeitung personenbezogener Daten zu minimieren, einschließlich des Datenschutzes durch Technikgestaltung ("privacy by design").

Unter Berücksichtigung des Zwecks, zu dem personenbezogene Daten verarbeitet werden, wird ExxonMobil angemessene Maßnahmen ergreifen, um (i) die Richtigkeit der personenbezogenen Daten zu gewährleisten und (ii) die personenbezogenen Daten zu aktualisieren, wenn sie durch die Person oder eine vertrauenswürdige Quelle von Änderungen an den personenbezogenen Daten informiert wird.

ExxonMobil wird in transparenter und gesetzeskonformer Weise über die Verarbeitung personenbezogener Daten informieren.

8.1 Auf Grundlage einer Bewertung der damit verbundenen Risiken wird ExxonMobil angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor versehentlichem oder rechtswidrigem Verlust, Missbrauch und unbefugtem Zugriff, Offenlegung, Veränderung und Vernichtung ergreifen.

8.2 Im Falle einer Verletzung des Schutzes personenbezogener Daten wird ExxonMobil (i.) das ExxonMobil Data Privacy Office konsultieren, das ein Verzeichnis derartiger Vorfälle führt, und (ii.) betroffene Personen im Einklang mit dem geltenden Recht über die Verletzung informieren. 

9.1 Soweit dies nach geltendem Recht erforderlich ist, wird ExxonMobil Anfragen von natürlichen Personen hinsichtlich: (i) der Frage, ob und welche Kategorien von personenbezogenen Daten in Bezug auf sie von ExxonMobil verarbeitet werden, (ii) einer Kopie ihrer persönlichen Daten, (iii) der Löschung, Einschränkung, Vernichtung oder Unterbrechung der Verarbeitung der Daten der anfragenden Person und (iv) der Datenübertragbarkeit beantworten. 

9.2 Betroffene Personen können von ExxonMobil in Übereinstimmung mit Abschnitt 6 die Berichtigung auf sie bezogener unrichtiger personenbezogener Daten verlangen. 

9.3 Um von diesen Rechten Gebrauch zu machen oder um Bedenken äußern oder Beschwerden zu erheben, dass ExxonMobil diesen Kodex nicht einhält, können sich betroffene Personen an das ExxonMobil Data Privacy Office wenden, um weitere Informationen über das von ihm angewendete Beschwerdeverfahren zu erhalten.

Per email: data.privacy.office@exxonmobil.com
Per Post: Data Privacy Office, c/o ExxonMobil Hungary Limited Liability Company, Registered seat: H-1134 Budapest, Dózsa György út 61-63, Budapest, H-1134, Hungary

Wenn ExxonMobil personenbezogene Daten zwischen verbundenen Unternehmen übermittelt, wird ExxonMobil die personenbezogenen Daten in Übereinstimmung mit diesem Code behandeln und schützen. 

Darüber hinaus werden Konzerngesellschaften/ verbundene Unternehmen, die personenbezogene Daten im Namen anderer Konzerngesellschaften verarbeiten, alle relevanten konzerninternen Vereinbarungen einhalten, die Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten enthalten.

Personenbezogene Daten werden nur an Dritte weitergegeben (einschließlich der grenzüberschreitenden Übermittlung ), wenn geeignete Maßnahmen zum angemessenen Schutz der personenbezogenen Daten bei der Übertragung ergriffen worden sind.

ExxonMobil verpflichtet sich in Bezug auf die im Kodex festgelegten Verpflichtungen zu einer angemessen Schulung der Mitarbeiter, die: (i) personenbezogene Daten verarbeiten oder (ii) an der Pflege oder Entwicklung von Tools zur Verarbeitung personenbezogener Daten beteiligt sind.

13.1 ExxonMobil wendet Programme zur regelmäßigen Überprüfung der Umsetzung und Einhaltung des Kodex an. 

13.2 Die Programme zur Überprüfung der Einhaltung der Vorschriften umfassen 

i. ein Auditprogramm, das regelmäßige Audits durch die interne Revisionsabteilung und die Nachverfolgung aller erforderlichen Korrekturmaßnahmen beinhaltet, sowie die Aufsicht über das Auditprogramm und die Auditergebnisse durch den Vorstand der ExxonMobil (Board of Directors), 

ii. eine Datenschutzorganisation bestehend aus:

1. benannten Ansprechpartnern zum Datenschutz, 

2. dem ExxonMobil Data Privacy Office, das risikobasierte Datenschutzfolgenabschätzungen vornimmt und für die in den Ziffern 3.3, 8.2, 9.3, 17, 19.2.ix, 19.3 und 19.4.i des Kodex zugewiesenen Aufgaben verantwortlich ist, 

3. einem globalen Gremium für den Datenschutz, bestehend aus ExxonMobil Führungskräften , das für die Compliance mit dem Kodex zuständig ist und diese sowie die Tätigkeiten des ExxonMobil Data Privacy Office überwacht.

14.1 ExxonMobil wird mit den zuständigen Datenschutzbehörden bei Anfragen zur Anwendung dieses Kodex zusammenarbeiten und deren Ratschläge sorgfältig prüfen.

14.2 ExxonMobil wird allen förmlichen und rechtmäßigen finalen und nicht mehr anfechtbaren Entscheidungen der zuständigen Datenschutzbehörden nachkommen. 

14.3 Bei der Übermittlung personenbezogener Daten zwischen verbundenen Unternehmen arbeiten diese zusammen und unterstützen sich gegenseitig – falls erforderlich – bei der Beantwortung von Anfragen der zuständigen Datenschutzbehörden.

15.1 Der Kodex kann von ExxonMobil nach Bedarf geändert werden, z.B. um die Einhaltung geltender Gesetze zu gewährleisten oder um Änderungen in der internen Organisation und den damit einhergehenden Prozessen abzubilden.

15.2 ExxonMobil wird der belgischen Datenschutzbehörde Änderungen dieses Kodex wie folgt mitteilen:

• Wesentliche Änderungen des Kodex und der konzerninternen Vereinbarung (Intragroup Agreement) werden unverzüglich mitgeteilt; und
• Veränderungen hinsichtlich der durch den Kodex gebundenen verbundenen Unternehmen sowie hinsichtlich unwesentlicher Änderungen des Kodex und der konzerninternen Vereinbarung (Intragroup Agreement), die europäische personenbezogene Daten betreffen, wird ExxonMobil auf jährlicher Basis mitteilen.

15.3 ExxonMobil macht den Kodex und die Änderungen des Kodex öffentlich zugänglich:

• Extern auf Our privacy policies | ExxonMobil
• Auf Verlangen der betroffene Person gemäß Ziffer 9.3.
• Intern im ExxonMobil-Intranet

Der Kodex gilt ab dem 17. Dezember 2020.

Für weitere Informationen zu diesem Verhaltenskodex wenden Sie sich bitte an das ExxonMobil Data Privacy Office: data.privacy.office@exxonmobil.com.

"Verbundene Unternehmen" meint jedes Unternehmen oder jede Gesellschaft, das/ die den Kodex übernommen hat und an dem/ der die Exxon Mobil Corporation oder ein Mutterunternehmen der Exxon Mobil Corporation direkt oder indirekt mehr als 50 Prozent der Anteile besitzt oder kontrolliert und in Folge dessen das Recht hat, ihre Direktoren oder funktionalen Äquivalente zu wählen oder zu ernennen, sowie jeden Rechtsnachfolger eines solchen Unternehmens/ einer solchen Gesellschaft.

"Anonymisierte Informationen" sind Informationen, die anonymisiert wurden. 

"Datenübertragbarkeit" bedeutet das Recht, die personenbezogenen Daten in einem Format zu erhalten, das gemäß geltendem Recht an Dritte weitergegeben werden kann.

"EWR" bezeichnet den durch das EWR-Abkommen vom 1. Januar 1994 geschaffenen europäischen Wirtschaftsraum, der den freien Personen-, Waren-, Dienstleistungs- und Kapitalverkehr innerhalb des europäischen Binnenmarktes vorsieht.

"Europäische Datenschutzgesetze" sind die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("EU Datenschutz-Grundverordnung") (wie in nationales Recht der EWR-Mitgliedstaaten umgesetzt und von Zeit zu Zeit geändert) oder das Schweizer Bundesgesetz über den Datenschutz.

"Europäische personenbezogene Daten" sind personenbezogene Daten, die den europäischen Datenschutzgesetzen unterliegen oder unterlagen.

"Europäische Region" bezeichnet die Länder des europäischen Wirtschaftsraums (EWR) einschließlich der Schweiz.

"Betroffene Person" ist jede identifizierte oder identifizierbare natürliche Person, deren Daten von oder im Auftrag von ExxonMobil verarbeitet werden; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; betroffene Personen können derzeitige und ehemalige Mitarbeiter, Stellenbewerber, Auftragnehmer, Vertreter von Kunden und anderen Geschäftspartnern sowie Verbraucher sein.

"Konzerninterne Vereinbarung" bezeichnet die ExxonMobil-interne Vereinbarung, mit der die verbundenen Unternehmen den Kodex übernehmen.

"Wesentliche Änderungen" sind Änderungen des Kodex, die sich nachteilig auf den Datenschutzstandard für europäische personenbezogene Daten auswirken oder den Umfang oder die Struktur des Kodex in Bezug auf europäische personenbezogene Daten erheblich beeinflussen.

"Personenbezogene Daten" sind alle Informationen, die sich auf eine betroffene Person beziehen.

"Verarbeitung", "Verarbeitet", "Verarbeitet", "Verarbeiten" meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie den Zugang zu, das Erheben, Speichern, Erfassen, Organisieren, Verändern, die Verbreitung, Offenlegung, Übermittlung, das Auslesen, die Zerstörung oder sonstige Nutzung personenbezogener Daten. 

"Vertrauenswürdige Quelle" bezeichnet eine natürliche oder juristische Person, die befugt ist, die betroffene Person zu vertreten, oder eine natürliche oder juristische Person, die nach den Feststellungen von ExxonMobil offensichtlich befugt ist, die betroffene Person zu vertreten.

19.1 In Bezug auf europäische personenbezogene Daten ist ExxonMobil verantwortlich und wird alle im Kodex eingegangenen Verpflichtungen erfüllen, und wenn strengere europäische Datenschutzgesetze ein höheres Schutzniveau vorschreiben, wird ExxonMobil dieses höhere Schutzniveau zur Anwendung bringen.

19.2 Für den Fall, dass europäische personenbezogene Daten an verbundene Unternehmen außerhalb der europäischen Region übermittelt werden, stellt ExxonMobil ein Schutzniveau sicher, welches nicht unter dem Schutzniveau der europäischen Datenschutzgesetze liegt. ExxonMobil wird dies auch dann tun, wenn dieser Schutz nicht durch das geltende Recht in den Ländern der verbundenen Unternehmen außerhalb der europäischen Region gewährleistet ist, in der die europäischen personenbezogenen Daten empfangen werden.

Dies bedeutet insbesondere in Bezug auf die in den Abschnitten 3, 4, 5, 7, 8, 9 und 11 geregelten  Datenschutzstandards und -maßnahmen, dass ExxonMobil 

i. keine europäischen personenbezogenen Daten verarbeiten wird, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit hervorgehen, die die Gesundheit, das Sexualleben oder die sexuelle Orientierung offenbaren, sowie keine genetischen Daten oder biometrischen Daten zum Zwecke der eindeutigen Identifizierung einer betroffenen Person, es sei denn, eine solche Verarbeitung ist gemäß Artikel 9 Abs. 2 der EU Datenschutz-Grundverordnung zulässig,

ii. eine Abschätzung der Folgen von Verarbeitungen mit hohem Risiko gemäß Artikel 35 der EU Datenschutz-Grundverordnung durchführen wird, und, wenn die Risiken nach der Durchführung der in der Datenschutz-Folgenabschätzung genannten Minderungsmaßnahmen weiterhin hoch sind, die zuständige Datenschutzbehörde gemäß Artikel 36 der EU Datenschutz-Grundverordnung konsultieren wird,

iii. europäische personenbezogene Daten für festgelegte und legitime Geschäftszwecke verarbeitet, 

iv. europäische personenbezogene Daten verarbeitet, die in Bezug auf den rechtmäßigen Geschäftszweck angemessen, erheblich sowie auf das notwendige Maß beschränkt sind, 

v. Datenschutz durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) zur Anwendung bringt,

vi. ein Verarbeitungsverzeichnis führt, 

vii. betroffene Personen gemäß Art. 13 und 14 der EU Datenschutz-Grundverordnung auf die Verwendung und den Zweck der Verarbeitung europäischer personenbezogener Daten hinweist und diesbezüglich Transparenz herstellt,

viii. das gleiche Maß an Sicherheitsmaßnahmen zum Schutz europäischer personenbezogener Daten anwendet, wie es in den europäischen Datenschutzgesetzen vorgesehen ist,

ix. im Falle einer Verletzung des Schutzes europäischer personenbezogener Daten: 

1. das ExxonMobil Data Privacy Office konsultieren wird, das die Verletzung in einer Liste dokumentiert und die relevante Dokumentation auf Anfrage der zuständigen Datenschutzbehörde zur Verfügung stellt, und

2. unverzüglich ExxonMobil Petroleum & Chemical BV informieren wird, die, falls die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten betroffener Personen führt, ihrerseits die zuständige Datenschutzbehörde unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme von der Verletzung informieren wird,

3. betroffene Personen unverzüglich benachrichtigen wird, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat,

x. Anfragen und Beschwerden von betroffenen Personen in Bezug auf die Verarbeitung europäischer personenbezogenen Daten gemäß Ziffer 19.7 beantwortet,

xi. es betroffenen Personen ermöglicht, einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zu widersprechen, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, es sei denn, die Entscheidung ist gemäß Art. 22 EU Datenschutz-Grundverordnung zulässig, und

xii. europäische personenbezogene Daten an Dritte außerhalb der europäischen Region übermittelt, sofern angemessene Schutzmaßnahmen gemäß Art. 28 Abs. 3 und Art. 45 bis 48 ergriffen werden oder eine Ausnahme nach Art. 49 EU Datenschutz-Grundverordnung eingreift.

19.3 Die zuständigen Datenschutzbehörden in der europäischen Region können die Einhaltung des Kodex überprüfen, einschließlich der Durchführung von Audits bei ExxonMobil in Übereinstimmung mit den geltenden Gesetzen. 

Verbundene Unternehmen außerhalb der europäischen Region werden bei Bedarf mit ExxonMobil Petroleum & Chemical BV zusammenarbeiten, um auf Anfragen von Datenschutzbehörden in der europäischen Region zu reagieren und um relevante Auditergebnisse in Bezug auf den Kodex vorzulegen.

ExxonMobil wird dem ExxonMobil Data Privacy Office die Ergebnisse der Audits in Bezug auf europäische personenbezogene Daten, die gemäß dieses Kodex an verbundene Unternehmen außerhalb der europäischen Region übermittelt werden, mitteilen.

ExxonMobil wird den Empfehlungen der zuständigen Datenschutzbehörde in der europäischen Region in Bezug auf europäische personenbezogene Daten nachkommen, vorbehaltlich der Ausschöpfung aller Rechtsmittel, die ExxonMobil für angemessen hält.

19.4 Eine betroffene Person, deren europäische personenbezogene Daten direkt oder indirekt an ein verbundenes Unternehmen außerhalb der europäischen Region übermittelt werden, kann ihre Rechte wie folgt geltend machen und die Ziffern 15.3 und 19.2.i., iii., iv., v., vii., viii., ix.3, x., xi., xii., 19.3 bis 19.8 des Kodex direkt durchsetzen:

i. Kontaktaufnahme mit dem ExxonMobil Data Privacy Office gemäß Ziffer 9.3 oder

ii. Einreichen einer Beschwerde bei einer nationalen Datenschutzbehörde, die zuständig ist für das Land der europäischen Region, in dem (i.) die betroffene Person (a.) ihren Wohnsitz hat, (b.) ihren Arbeitsplatz hat oder (ii.) die behauptete Verletzung des Kodex stattgefunden hat, oder

iii. die Einleitung eines Verfahrens gegen ein in der europäischen Region ansässiges verbundenes Unternehmen vor einem zuständigen Gericht in der europäischen Region oder

iv. ein Verfahren gegen ExxonMobil Petroleum & Chemical BV mit Sitz in Polderdijkweg, 2030 Antwerpen, Belgien, vor der belgischen Datenschutzbehörde oder den Gerichten in Brüssel oder anderen zuständigen Gerichten gemäß Artikel 79 Absatz 2 der EU Datenschutz-Grundverordnung.

19.5 Wird ein begründeter Anspruch oder eine Beschwerde gemäß Ziffer 19.4.geltend gemacht, übernimmt ExxonMobil Petroleum & Chemical BV die Verantwortung für jede Verletzung des Kodex durch eine außerhalb der europäischen Region ansässige Tochtergesellschaft und verpflichtet sich, die erforderlichen Maßnahmen zu ergreifen, um die Verletzung zu beheben und gegebenenfalls Schadenersatz für Schäden zu leisten, die aus einer solchen Verletzung resultieren und die gemäß einer rechtskräftigen Entscheidung eines Gerichts oder einer Aufsichtsbehörde festgestellt wurden, gegen die keine weiteren Rechtsmittel eingelegt werden können.

19.6 Wird ein Anspruch, eine Beschwerde oder ein Verfahren gem. Ziffer 19.4 geltend gemacht, vorgebracht bzw. angestoßen, muss die betroffene Person keine tatsächliche Verletzung dieses Kodex durch das verbundene Unternehmen außerhalb der europäischen Region nachweisen; es genügt, dass die betroffene Person nachweist, dass ihm ein Schaden entstanden ist und dass ein solcher Schaden wahrscheinlich infolge einer Verletzung dieses Kodex durch ein verbundenes Unternehmen außerhalb der europäischen Region entstanden ist. Die Beweislast, dass das außerhalb der europäischen Region ansässige verbundene Unternehmen diesen Kodex nicht verletzt hat, trägt ExxonMobil Petroleum & Chemical BV. Wenn ExxonMobil Petroleum & Chemical BV nachweisen kann, dass das außerhalb der europäischen Region ansässige verbundene Unternehmen nicht für den Verstoß verantwortlich ist, kann ExxonMobil Petroleum & Chemical BV sich von jeder Verantwortung entlasten.

19.7 ExxonMobil wird Anfragen und Beschwerden von betroffenen Personen im Hinblick auf europäische personenbezogene Daten unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang der Anfrage oder Beschwerde beantworten. Die Frist kann falls erforderlich um zwei weitere Monate verlängert werden.

Betroffene Personen können Anfragen und Beschwerden per E-Mail oder schriftlich an ExxonMobil gemäß Ziffer 9.3 des Kodex senden.

Erachtet ExxonMobil eine Anfrage oder eine Beschwerde als gerechtfertigt, beantwortet sie die Anfrage bzw. informiert sie die betroffene Person darüber, wie der Beschwerde abgeholfen wird. Wird die Beschwerde zurückgewiesen oder ist die betroffene Person mit der Antwort von ExxonMobil nicht zufrieden, kann die betroffene Person gemäß Ziffer 19.4 ii. und iii. Beschwerde erheben oder ein Verfahren einleiten. Falls die Beschwerde sich auf die Verarbeitung von europäischen personenbezogenen Daten durch ein außerhalb der europäischen Region niedergelassenes verbundenes Unternehmen bezieht, kann die betroffene Person außerdem gemäß Ziffer 19.4 iv. Beschwerde erheben oder ein Verfahren einleiten.

19.8 Im Falle eines Widerspruchs zwischen dem Kodex und einer gesetzlichen Anforderung in einem Land außerhalb der europäischen Region gemäß Ziffer 3.3 wird ExxonMobil die zuständige Datenschutzbehörde in der europäischen Region benachrichtigen, wenn eine solche gesetzliche Anforderung, einschließlich einer rechtsverbindlichen Anfrage auf Übermittlung europäischer personenbezogener Daten durch eine Strafverfolgungsbehörde oder eine staatliche Sicherheitsbehörde eines Landes außerhalb der europäischen Region, erhebliche nachteilige Auswirkungen auf die im Kodex vorgesehenen Garantien in Bezug auf europäische personenbezogene Daten haben könnte.

Um dieser Verpflichtung nachzukommen, verpflichtet sich ExxonMobil, eine Abschätzung durchzuführen, die Folgendes gebührend berücksichtigt: (i) die besonderen Umstände der Übermittlungen; (ii) die Gesetze und Praktiken der Bestimmungsdrittländer (angesichts der besonderen Umstände der Übermittlungen und der anwendbaren Beschränkungen und Garantien relevant); und (iii) die relevanten vertraglichen, technischen und organisatorischen Sicherheitsmaßnahmen, die gemäß dem Kodex eingeführt wurden. Verbundene Unternehmen außerhalb der europäischen Region, die europäische personenbezogene Daten erhalten, werden nach besten Kräften relevante Informationen bereitstellen, um bei dieser Abschätzung zu unterstützen, welche ExxonMobil dokumentieren und der zuständigen Datenschutzbehörde auf Anfrage zur Verfügung stellen wird. Wenn ExxonMobil feststellt, dass ein verbundenes Unternehmen außerhalb der europäischen Region seinen Verpflichtungen aus dem Kodex nicht mehr nachkommen kann, wird ExxonMobil umgehend geeignete ergänzende Maßnahmen ermitteln, die von dem/den betreffenden verbundenen Unternehmen ergriffen werden müssen, um der Situation zu begegnen. Die betreffenden verbundenen Unternehmen werden die Übermittlung aussetzen, wenn ExxonMobil der Ansicht ist, dass keine angemessenen Garantien für eine solche Übertragung gewährleistet werden können, oder wenn die zuständige Datenschutzbehörde dies anweist.

Ist die Benachrichtigung der zuständigen Datenschutzbehörde in der europäischen Region untersagt, wird ExxonMobil sich nach besten Kräften bemühen, das Recht einer Ausnahme von diesem Verbot zu erlangen, und wird dokumentieren, dies getan zu haben. Falls ExxonMobil trotz solcher Bemühungen die zuständige Datenschutzbehörde in der europäischen Region nicht über die erhaltenen Anfragen informieren kann, wird ExxonMobil jährlich allgemeine Informationen zu den Anfragen bereitstellen. 

ExxonMobil wird die Rechtmäßigkeit eines Offenlegungsantrages wie oben beschrieben prüfen – insbesondere, ob es im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse liegt – und den Antrag anfechten, wenn es nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe dafür gibt, anzunehmen, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den einschlägigen Verpflichtungen nach internationalem Recht und/oder den völkerrechtlichen Grundsätzen des entgegenkommenden Verhaltens („Comity“) rechtswidrig ist. ExxonMobil wird unter den gleichen Bedingungen mögliche Rechtsmittel einlegen. Bei Anfechtung eines Antrags ersucht ExxonMobil um einstweilige Maßnahmen, um die Wirkung des Antrags auszusetzen, bis die zuständige juristische Instanz über den Sachverhalt entschieden hat. ExxonMobil dokumentiert seine rechtliche Beurteilung und jede Anfechtung des Antrags auf Offenlegung und stellt die Dokumentation, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, der zuständigen Datenschutzbehörde auf Anfrage zur Verfügung. ExxonMobil wird die angeforderten personenbezogenen Daten nicht offenlegen, bis dies gemäß der einschlägigen Verfahrensregeln erforderlich ist, und stellt bei der Beantwortung auf der Grundlage einer angemessenen Auslegung des Antrags die minimal zulässige Menge an Informationen bereit.

ExxonMobil wird Maßnahmen ergreifen, um Übermittlungen europäischer personenbezogener Daten an eine Behörde zu verhindern (sowie jeden direkten Zugriff durch diese Behörden auf personenbezogene Daten, die gemäß dem Kodex übermittelt werden), die schwerwiegend, unverhältnismäßig und unterschiedslos sind, und zwar in einer Weise, die über das hinausgeht, was in einer demokratischen Gesellschaft erforderlich ist.

19.9 Verbundene Unternehmen werden keine europäischen personenbezogenen Daten auf Grundlage des Kodex an andere verbundene Unternehmen weitergeben, es sei denn, diese sind ebenfalls an diesen Kodex gebunden.