Datenschutz-Verhaltenskodex

1.1 ExxonMobil verpflichtet sich zum Schutz personenbezogener Daten, insbesondere durch:

i. rechtmäßige Verarbeitung der ihr anvertrauten personenbezogenen Daten und

ii. angemessenes Management von Datenschutzrisiken im Zusammenhang mit der Verarbeitung personenbezogener Daten im Einklang mit geschäftlichen Erfordernissen.

1.2 ExxonMobil und ihre Mitarbeitenden müssen bei der Verarbeitung personenbezogener Daten den Kodex einhalten. Der Kodex ist Bestandteil der Compliance-Verpflichtungen gemäß der Corporate Asset Policy. Alle Richtlinien müssen im Rahmen der vertraglichen und/oder arbeitsrechtlichen Verpflichtungen der Mitarbeitenden gelesen, verstanden und befolgt werden. Unsere Richtlinienübersicht ist verfügbar unter: Code of Ethics | ExxonMobil.

1.3 ExxonMobil überwacht die Einhaltung dieses Kodex sowie der Programme, Werkzeuge und Verfahren zu dessen Umsetzung durch:

i. ein Netzwerk benannter Datenschutzkontakte;

ii. das ExxonMobil Data Privacy Office, bestehend aus Datenschutzfachleuten, das Beratung zur Risikominderung im Rahmen von Datenschutz-Folgenabschätzungen durch die Geschäftsbereiche gemäß interner Datenschutzrichtlinien leistet und das für die in den Abschnitten 3.3, 8.2, 9.3, 15.1 und 18.2.x des Kodex zugewiesenen Aufgaben verantwortlich ist;

Datenschutzbeauftragte der verbundenen Unternehmen (sofern benannt), die die Einhaltung geltender Gesetze und des Kodex überwachen. Alle Datenschutzbeauftragten beraten, berichten und eskalieren gegebenenfalls Themen an leitende ExxonMobil-Manager, einschließlich Vorstandsebene und European General Counsel, und dienen als Ansprechpartner für betroffene Personen und zuständige Aufsichtsbehörden;

iii. eine globale Unternehmensstruktur aus leitenden ExxonMobil-Managern, die für die Überwachung der Aktivitäten des ExxonMobil Data Privacy Office verantwortlich sind.

1.4 Das verbundene Unternehmen ExxonMobil Petroleum & Chemical BV mit Sitz in Polderdijkweg, 2030 Antwerpen, Belgien, ist Teil der globalen Datenschutz-Governance von ExxonMobil und übernimmt eine führende Rolle beim Schutz europäischer personenbezogener Daten. Einzelheiten zu dieser Rolle und spezifische Rechte in Bezug auf europäische personenbezogene Daten sind in Abschnitt 18 beschrieben.

1.5 Der Kodex stellt die verbindlichen unternehmensinternen Datenschutzvorschriften („Binding Corporate Rules“) von ExxonMobil nach europäischem Datenschutzrecht dar.

2.1 ExxonMobil wird den Kodex in jedem Land anwenden, in dem personenbezogene Daten verarbeitet werden.

2.2 Der Kodex gilt für personenbezogene Daten natürlicher Personen („betroffene Personen“).  Betroffene Personen umfassen aktuelle und ehemalige Mitarbeitende, Bewerber, Auftragnehmer, Vertreter von Kunden und anderen Geschäftspartnern sowie Verbraucher. Alle  betroffenen Personen haben Zugang zu Datenschutzhinweisen, die den europäischen Datenschutzgesetzen entsprechen, die Kategorien und Arten personenbezogener Daten auflisten und auf den internen und externen Webseiten von ExxonMobil verfügbar sind. Soweit relevant, unterliegen Verträge Vertraulichkeitsverpflichtungen und sind nur für die Vertragsparteien zugänglich.

2.3 Der Kodex gilt nicht für anonymisierte Informationen oder andere Daten, die keine personenbezogenen Daten darstellen.

2.4 ExxonMobil verarbeitet personenbezogene Daten zu geschäftlichen Zwecken, darunter:

i. Personalverwaltung und Personalwesen, z. B. Gehaltsabrechnung und Karriereentwicklung betroffener Personen

ii. Überprüfung der Einhaltung von Unternehmensrichtlinien und -werten durch betroffene Personen

iii. physische Sicherheit und Zugang einer  betroffenen Person zu Gebäuden und Betriebsstätten

iv. IT-Management im Zusammenhang mit der Nutzung von IT-Systemen des Unternehmens durch betroffene Personen, einschließlich Bereitstellung von Software und Hardware, Zugangskontrollen sowie Wartung und Aktualisierung von Informationssicherheitsmaßnahmen

v. Beziehungsmanagement mit Kunden und anderen Geschäftspartnern, einschließlich Verarbeitung von Kontaktdaten und Transaktionsdaten zur Ermöglichung von Bestellannahme, Lieferung, Rechnungsstellung und Geschäftsentwicklung

vi. Kommunikation mit Behörden und staatlichen Stellen zur Erfüllung gesetzlicher Anforderungen

vii. Kommunikation mit externen Stakeholdern zu Themen im Zusammenhang mit Geschäftsaktivitäten von ExxonMobil

3.1 Personenbezogene Daten werden auf rechtmäßige Weise verarbeitet.

3.2 Dieser Kodex legt einen Mindeststandard für den Datenschutz fest. Wenn geltendes Recht ein höheres Schutzniveau für personenbezogene Daten verlangt als das im Kodex festgelegte, wird ExxonMobil dieses höhere Schutzniveau anwenden. Zum Beispiel, wenn die Verarbeitung nur auf Grundlage eines oder mehrerer gesetzlich festgelegter Gründe zulässig ist (siehe Abschnitte 18.2.iv und v), wird ExxonMobil diese Anforderungen erfüllen.

3.3 ExxonMobil überwacht mit Unterstützung des ExxonMobil Data Privacy Office und der Datenschutzbeauftragten (sofern benannt) weltweit die Gesetzgebung, um sicherzustellen, dass der Kodex eingehalten werden kann. Dieser Prozess umfasst die Bewertungen gemäß Abschnitt 18.8 dieses Kodex. Wenn ExxonMobil Grund zur Annahme hat, dass ein Gesetz die Einhaltung des Kodex verhindert, wird ExxonMobil in Absprache mit dem ExxonMobil Data Privacy Office und den Datenschutzbeauftragten (sofern die Ernennung erforderlich ist) eine verantwortungsvolle Entscheidung über das weitere Vorgehen treffen. Der Datenschutzbeauftragte wird die zuständige Aufsichtsbehörde sowohl dann informieren und konsultieren, wenn geltendes Recht dies verlangt, als auch wenn ExxonMobil feststellt, dass ein solches Gesetz voraussichtlich erhebliche negative Auswirkungen auf die im Kodex gewährten Garantien haben wird.

Soweit durch geltendes Recht vorgeschrieben, werden personenbezogene Daten für spezifische und rechtmäßige Zwecke verarbeitet – jeweils auf Grundlage einer gesetzlichen Rechtsgrundlage – und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist. Eine Weiterverarbeitung gilt beispielsweise nicht als unvereinbar, wenn sie (i.) mit der Einwilligung oder Genehmigung der betroffenen Person erfolgt, (ii.) in einer Notsituation stattfindet, etwa wenn das Leben oder lebenswichtige Interessen der betroffenen Person gefährdet sind, oder (iii.) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

5.1 ExxonMobil verpflichtet sich, nur solche personenbezogenen Daten zu verarbeiten, die für die geschäftlichen Zwecke relevant sind – Beispiele hierfür sind in Abschnitt 2.4 oben aufgeführt. Wo möglich, werden personenbezogene Daten gelöscht, aggregiert und/oder pseudonymisiert, um sicherzustellen, dass nur die minimal erforderlichen Daten für den jeweiligen Zweck verarbeitet werden.

5.2 Personenbezogene Daten werden nur so lange aufbewahrt, wie es zur Erfüllung der Zwecke, für die sie verarbeitet werden, erforderlich ist.

5.3 Soweit durch geltendes Recht vorgeschrieben, wird ExxonMobil Maßnahmen zur Minimierung der Verarbeitung personenbezogener Daten ergreifen, einschließlich „Privacy by Design“.

Unter Berücksichtigung des Zwecks der Verarbeitung personenbezogener Daten wird ExxonMobil angemessene Maßnahmen ergreifen, um (i.) personenbezogene Daten korrekt zu halten und (ii.) die Daten zu aktualisieren, wenn die betroffene Person oder eine vertrauenswürdige Quelle Änderungen mitteilt.

ExxonMobil wird eine  transparente Information über die Verarbeitung personenbezogener Daten bereitstellen, die den gesetzlichen Anforderungen entspricht.

8.1 Basierend auf einer Risikobewertung wird ExxonMobil geeignete technische und organisatorische Maßnahmen anwenden, um (i.) sicherzustellen, dass europäische personenbezogene Daten im Einklang mit Datenschutzgesetzen verarbeitet werden, und (ii.) personenbezogene Daten vor Datenschutzverletzungen zu schützen. Diese Maßnahmen sind in einem Informationssicherheitsplan aufgeführt, der auf international anerkannten Sicherheitsstandards basiert.

8.2 Im Falle einer Datenschutzverletzung wird ExxonMobil (i.) das ExxonMobil Data Privacy Office konsultieren, das Datenschutzverletzungen dokumentiert, (ii.) die Regulierungsbehörde und zuständige Aufsichtsbehörde informieren und (iii.) betroffene Personen über die Verletzung informieren – jeweils im Einklang mit geltendem Recht.

9.1 Soweit durch geltendes Recht vorgeschrieben, wird ExxonMobil auf folgende Anfragen von betroffenen Personen antworten:

i. um zu erfahren, ob und welche Kategorien personenbezogener Daten über sie von ExxonMobil verarbeitet werden,

ii. um eine Kopie ihrer personenbezogenen Daten zu erhalten,

iii. um die Löschung, Einschränkung, , Vernichtung oder die Einstellung der Verarbeitung ihrer personenbezogenen Daten zu verlangen,

iv. um – soweit gesetzlich zulässig – ihre Einwilligung zur Verarbeitung zu widerrufen und

v. um Datenübertragbarkeit zu verlangen.

9.2 Betroffene Personen können ExxonMobil auffordern, unrichtige personenbezogene Daten gemäß Abschnitt 6 zu berichtigen.

9.3 Um diese Rechte auszuüben oder eine Beschwerde oder ein Anliegen vorzubringen, dass ExxonMobil den Kodex nicht einhält, können sich betroffene Personen an das ExxonMobil Data Privacy Office wenden, um weitere Informationen über das Verfahren zur Bearbeitung von Beschwerden zu erhalten:

Per email an: data.privacy.office@exxonmobil.com
Oder schriftlich an: Data Privacy Office, c/o ExxonMobil Hungary Limited Liability Company, Sitz: H-1134 Budapest, Dózsa György út 61-63, Budapest, H-1134, Ungarn

Betroffene Personen können sich auch an die Datenschutzbeauftragten (sofern benannt) unter denselben Kontaktdaten wenden, wobei im Betreff der E-Mail „Datenschutzbeauftragte/r (DP Officer)“ angegeben werden sollte.

Wenn ExxonMobil personenbezogene Daten zwischen verbundenen Unternehmen übermittelt, wird ExxonMobil sicherstellen, dass diese Daten den Schutz gemäß diesem Kodex erhalten.

Personenbezogene Daten werden nur dann an Dritte übermittelt (einschließlich grenzüberschreitender Übermittlungen), wenn geeignete Maßnahmen gemäß geltendem Recht getroffen wurden, um die personenbezogenen Daten beim Transfer angemessen zu schützen.

ExxonMobil verpflichtet sich,  angemessene Schulungen zu den im Kodex festgelegten Verpflichtungen für Mitarbeitende und Auftragnehmer bereitzustellen, die Zugang zu unseren Systemen haben und: (i.) personenbezogene Daten verarbeiten oder (ii.) an der Wartung oder Entwicklung von Tools beteiligt sind, die zur Verarbeitung personenbezogener Daten verwendet werden. Diese Schulung erfolgt zu Beginn der Beschäftigung und/oder des Einsatzes bei ExxonMobil und danach alle drei Jahre.

Fortlaufende Schulungen werden vom Data Privacy Office unterstützt und sind über die bestehenden Schulungssysteme von ExxonMobil verfügbar.

13.1 ExxonMobil setzt Programme zur regelmäßigen Überprüfung der Umsetzung und Einhaltung des Kodex ein.

13.2 Die Programme zur Überprüfung der Einhaltung umfassen:

i. ein Auditprogramm mit regelmäßigen Prüfungen von ExxonMobil-Einheiten und Geschäftsbereichen durch die interne Revisionsabteilung, Nachverfolgung erforderlicher Korrekturmaßnahmen sowie Überwachung des Auditprogramms und der Ergebnisse durch den Vorstand der ExxonMobil Corporation.

ii. Die Mitglieder der internen Revisionsabteilung von ExxonMobil genießen Unabhängigkeit bei der Ausübung ihrer Aufgaben, einschließlich Umfang, Verfahren und Häufigkeit. Dies gewährleistet die Unabhängigkeit der Revisionsabteilung und ihrer Ergebnisse. Die Ergebnisse werden dem oberen Management der geprüften Einheit oder des Geschäftsbereichs sowie ggf. dem Datenschutzbeauftragten und einem Vorstandsvertreter von ExxonMobil Petroleum & Chemical BV mitgeteilt, um sicherzustellen, dass Empfehlungen umgesetzt werden.

iii. Die interne Revisionsabteilung stellt die Nachverfolgung von Prüfungsergebnissen sicher. Die Überwachung der Revisionsabteilung und des Programms einschließlich aller Ergebnisse erfolgt durch die Mitglieder des Prüfungsausschusses des Vorstands der ExxonMobil Corporation. Dies gewährleistet die tatsächliche Unabhängigkeit der Funktionen der Revisionsabteilung.

iv. Ein zusätzlicher Prozess, bei dem eine Einheit oder ein Geschäftsbereich eine Prüfung anfordern kann, wird von der internen Revisionsabteilung durchgeführt.

14.1 ExxonMobil wird mit zuständigen Aufsichtsbehörden kooperieren, auf Informationsanfragen zur Verarbeitung gemäß dem Kodex reagieren und deren Empfehlungen zur Anwendung des Kodex sorgfältig prüfen.

14.2 Bei der Ausübung öffentlicher Aufgaben durch eine zuständige Aufsichtsbehörde wird ExxonMobil kooperieren und rechtskräftige sowie rechtmäßige Entscheidungen dieser Behörde befolgen, sofern diese endgültig und nicht weiter anfechtbar sind.

14.3 Wenn personenbezogene Daten zwischen verbundenen Unternehmen übertragen werden, werden diese sich gegenseitig unterstützen und zusammenarbeiten, soweit erforderlich, um Anfragen von zuständigen Aufsichtsbehörden zu beantworten.

15.1 Der Kodex kann von ExxonMobil bei Bedarf geändert werden, z. B. um sicherzustellen, dass gesetzliche Änderungen eingehalten werden oder um Änderungen in der internen Organisation und den Prozessen widerzuspiegeln. Änderungen am Kodex werden vom Data Privacy Office dokumentiert und gespeichert und allen verbundenen Unternehmen von ExxonMobil mitgeteilt (nur wesentliche Änderungen).

15.2 ExxonMobil wird die zuständige Aufsichtsbehörde wie folgt informieren:

• Wesentliche Änderungen am Kodex und an der konzerninternen Vereinbarung (Intra-Group-Agreement) werden ohne unangemessene Verzögerung mitgeteilt; und
• einmal jährlich wird ExxonMobil Änderungen am Kodex und/oder an der Liste der durch den Kodex gebundenen verbundenen Unternehmen mitteilen, einschließlich einer kurzen Beschreibung der Änderungen. Wenn es keine Änderungen am Kodex gegeben hat, wird dies ebenfalls als Teil der jährlichen Mitteilung an die zuständige Aufsichtsbehörde kommuniziert.

15.3 ExxonMobil wird den Kodex sowie Änderungen daran wie folgt verfügbar machen:

• Extern auf unserer Website hier
• Auf Anfrage der betroffenen Person gemäß Abschnitt 9.3; und
• Intern im ExxonMobil-Intranet

Der Kodex tritt mit dem Datum der Unterzeichnung der konzerninternen Vereinbarung (Binding Corporate Rules Inter-Affiliate Agreement) in Kraft.

Für weitere Informationen zum Verhaltenskodex wenden Sie sich bitte an das ExxonMobil Data Privacy Office: data.privacy.office@exxonmobil.com.

18.1 Im Hinblick auf europäische personenbezogene Daten ist ExxonMobil verantwortlich für die Einhaltung aller im Kodex eingegangenen Verpflichtungen. Wo strengere europäische Datenschutzgesetze ein höheres Schutzniveau vorschreiben, wird ExxonMobil dieses höhere Schutzniveau anwenden. ExxonMobil wird den Datenexporteur und ExxonMobil Petroleum & Chemical BV unverzüglich informieren, wenn eine Einhaltung des Kodex nicht mehr möglich ist – etwa aufgrund einer Gesetzesänderung im Empfängerland oder einer behördlichen Anfrage auf Datenzugriff.

18.2 Wenn europäische personenbezogene Daten an verbundene Unternehmen außerhalb des europäischen Raums übermittelt werden, wird ExxonMobil ein Schutzniveau gewährleisten, das den Schutz gemäß den europäischen Datenschutzgesetzen nicht untergräbt – auch wenn das geltende Recht im Empfängerland ein solches Schutzniveau nicht vorsieht.

Dies bedeutet insbesondere im Hinblick auf die Datenschutzpraktiken gemäß den Abschnitten 3, 4, 5, 7, 8, 9 und 11, dass ExxonMobil:

i. keine europäischen personenbezogenen Daten verarbeiten wird, die Rückschlüsse auf rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, sexuelle Orientierung, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer betroffenen Person zulassen, es sei denn, die Verarbeitung ist gemäß den europäischen Datenschutzgesetzen zulässig;

ii. keine europäischen personenbezogenen Daten zu strafrechtlichen Verurteilungen und Straftaten verarbeiten wird, außer im Einklang mit den europäischen Datenschutzgesetzen;

iii. eine Datenschutz-Folgenabschätzung für Verarbeitungsvorgänge mit hohem Risiko gemäß den europäischen Datenschutzgesetzen durchführen wird und – sofern nach Umsetzung empfohlener Maßnahmen durch Datenschutzbeauftragte und rechtlicher Beratung weiterhin hohe Risiken bestehen – die zuständige Aufsichtsbehörde konsultieren wird, in Übereinstimmung mit europäischem Datenschutzrecht

iv. europäische personenbezogene Daten nur für spezifische und legitime Geschäftszwecke sowie auf Grundlage einer gültigen Rechtsgrundlage verarbeitet, insbesondere (je nach Fall):

• wenn die Verarbeitung zur Wahrung berechtigter Interessen von ExxonMobil oder Dritten erforderlich ist, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person überwogen;

• wenn die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;

• wenn die Verarbeitung zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist;

• wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung von ExxonMobil erforderlich ist;

• in Ausnahmefällen, wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist;

v. besondere Kategorien personenbezogener Daten gemäß den europäischen Datenschutzgesetzen nur für spezifische und legitime Geschäftszwecke sowie auf Grundlage einer gültigen Rechtsgrundlage verarbeitet, insbesondere (je nach Fall):

• wenn die betroffene Person ausdrücklich in die Verarbeitung ihrer Daten für einen oder mehrere bestimmte Zwecke eingewilligt hat;

• wenn die Verarbeitung zur Erfüllung arbeitsrechtlicher und sozialrechtlicher Verpflichtungen und Rechte von ExxonMobil oder der betroffenen Person erforderlich ist, soweit gesetzlich zulässig;

• wenn die Verarbeitung für Zwecke der Präventiv- oder Arbeitsmedizin, zur Beurteilung der Arbeitsfähigkeit, für medizinische Diagnosen, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für das Management von Gesundheits- oder Sozialsystemen und -dienstleistungen erforderlich ist, wie durch europäische Datenschutzgesetze erlaubt;

vi. europäische personenbezogene Daten verarbeitet, die angemessen, relevant und auf das notwendige Maß im Hinblick auf die legitimen Geschäftszwecke beschränkt sind;

vii. „Privacy by Design“ und „Privacy by Default“ anwendet, wo angemessen;

viii. ein digitales, schriftliches Verzeichnis der Verarbeitungstätigkeiten führt, das auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung gestellt wird;

ix. betroffene Personen transparent über die Nutzung und den Zweck der Verarbeitung europäischer personenbezogener Daten informiert – einschließlich Verweis auf diesen Kodex – gemäß den europäischen Datenschutzgesetzen;

x. das gleiche Sicherheitsniveau zum Schutz europäischer personenbezogener Daten anwendet, wie es durch europäische Datenschutzgesetze vorgeschrieben ist;

xi. im Falle einer Verletzung des Schutzes europäischer personenbezogener Daten:

1. das ExxonMobil Data Privacy Office und den Datenschutzbeauftragten konsultieren wird, die bei der Risikobewertung unterstützen, die Verletzung in einem internen Register dokumentieren und die relevanten Unterlagen auf Anfrage der zuständigen Aufsichtsbehörde bereitstellen;

2. die Verletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden wird, sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt;

3. ExxonMobil Petroleum & Chemical BV unverzüglich informieren wird;

4. betroffene Personen unverzüglich informieren wird, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten darstellt;

5. im Falle einer Verletzung durch einen Auftragsverarbeiter von ExxonMobil den verantwortlichen ExxonMobil-Datenverantwortlichen unverzüglich informieren wird.

xii. auf Anfragen und Beschwerden von betroffenen Personen im Zusammenhang mit der Verarbeitung europäischer personenbezogener Daten gemäß Abschnitt 18.7 antwortet;

xiii. betroffenen Personen die Möglichkeit gibt, der Verarbeitung ihrer personenbezogenen Daten oder einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung zu widersprechen, die rechtliche Auswirkungen auf sie hat oder sie in ähnlicher Weise erheblich beeinträchtigt – es sei denn, die Entscheidung ist nach europäischem Datenschutzrecht zulässig;

xiv. europäische personenbezogene Daten nur dann an Dritte außerhalb des europäischen Raums übermittelt, wenn dies im Einklang mit dem europäischen Datenschutzrecht erfolgt;

xv. Verträge mit Auftragsverarbeitern abschließt, die den Anforderungen des europäischen Datenschutzrechts entsprechen.

xvi. Datenschutzbeauftragte im europäischen Raum benennt, die speziell die Einhaltung des europäischen Datenschutzrechts überwachen. Gemäß europäischem Datenschutzrecht können Datenschutzbeauftragte eine Prüfung beantragen, um ihre Aufgaben zur Überwachung der Einhaltung zu unterstützen.

18.3 Zuständige Aufsichtsbehörden im europäischen Raum können die Einhaltung des Kodex überprüfen, einschließlich durch Audits bei ExxonMobil gemäß den im europäischen Datenschutzrecht gewährten Prüfungsrechten. Die Ergebnisse solcher Audits in Bezug auf alle personenbezogenen Daten werden wie in Abschnitt 13.2 beschrieben kommuniziert und auf Anfrage auch der zuständigen Aufsichtsbehörde zur Verfügung gestellt. Streitigkeiten im Zusammenhang mit der Aufsicht über die Einhaltung dieses Kodex werden vor den Gerichten des Landes der zuständigen Aufsichtsbehörde(n) gemäß europäischem Datenschutzrecht beigelegt. ExxonMobil erkennt die jeweilige Gerichtsbarkeit an.

Alle verbundenen Unternehmen werden mit ExxonMobil Petroleum & Chemical BV zusammenarbeiten, um auf Anfragen von zuständigen Aufsichtsbehörden zu reagieren und relevante Prüfungsergebnisse sowie Inspektionen, einschließlich Vor-Ort-Audits, im Zusammenhang mit dem Kodex bereitzustellen.

ExxonMobil wird die Empfehlungen der zuständigen Aufsichtsbehörden im europäischen Raum in Bezug auf europäische personenbezogene Daten befolgen, vorbehaltlich der Ausschöpfung etwaiger Rechtsmittel, sofern ExxonMobil dies für angemessen hält.

18.4 Betroffene Personen, deren europäische personenbezogene Daten an ein verbundenes Unternehmen außerhalb des europäischen Raums übermittelt werden, erhalten Drittbegünstigtenrechte und können die Abschnitte 15.3 und 18.2.i., iii., iv., v., vii., viii., ix.3, x., xi., xii., sowie 18.3 bis 18.8 des Kodex direkt durch eine der folgenden Maßnahmen geltend machen:

i. Kontaktaufnahme mit dem ExxonMobil Data Privacy Office gemäß Abschnitt 9.3, oder

ii. Einreichung einer Beschwerde bei einer zuständigen Aufsichtsbehörde am gewöhnlichen Aufenthaltsort, Arbeitsplatz oder Ort der mutmaßlichen Verletzung des Kodex, oder

iii. Einleitung eines Verfahrens gegen das relevante verbundene Unternehmen mit Sitz im europäischen Raum vor einem zuständigen Gericht im europäischen Raum, oder

iv. Einleitung eines Verfahrens gegen ExxonMobil Petroleum & Chemical BV mit Sitz in Polderdijkweg, 2030 Antwerpen, Belgien, vor der belgischen Datenschutzbehörde oder den Brüsseler Gerichten oder anderen zuständigen Gerichten, sofern nach europäischem Datenschutzrecht zulässig.

18.5 Wenn ein berechtigter Anspruch oder eine Beschwerde gemäß Abschnitt 18.4 eingereicht wird, übernimmt ExxonMobil Petroleum & Chemical BV die Verantwortung für Verstöße gegen den Kodex durch ein verbundenes Unternehmen außerhalb des europäischen Raums und verpflichtet sich, die notwendigen Maßnahmen zur Behebung des Verstoßes zu ergreifen und gegebenenfalls Schadensersatz gemäß einer rechtskräftigen Entscheidung eines Gerichts oder einer zuständigen Aufsichtsbehörde zu leisten.

18.6 Wenn eine Klage, Beschwerde oder ein Verfahren gemäß Abschnitt 18.4 eingeleitet wird, muss die betroffene Person keinen tatsächlichen Verstoß gegen den Kodex durch das verbundene Unternehmen außerhalb des europäischen Raums nachweisen. Es genügt, dass die betroffene Person einen Schaden nachweist und glaubhaft macht, dass dieser wahrscheinlich durch einen Verstoß gegen den Kodex durch ein verbundenes Unternehmen mit Sitz außerhalb des europäischen Raums verursacht wurde. Die Beweislast liegt dann bei ExxonMobil Petroleum & Chemical BV, um nachzuweisen, dass das verbundene Unternehmen außerhalb des europäischen Raums den Kodex nicht verletzt hat. Kann ExxonMobil Petroleum & Chemical BV dies nachweisen, kann sie sich von der Verantwortung entbinden.

18.7 ExxonMobil wird auf Anfragen oder Beschwerden zur Verarbeitung europäischer personenbezogener Daten unverzüglich und spätestens innerhalb eines Monats nach Eingang reagieren. Diese Frist kann bei Bedarf und im Einklang mit dem europäischen Datenschutzrecht um zwei weitere Monate verlängert werden, wobei die betroffene Person schriftlich darüber informiert wird. Das ExxonMobil Data Privacy Office und die Datenschutzbeauftragten dienen als Eskalationsstelle für Mitarbeitende von ExxonMobil, die für die Bearbeitung solcher Anfragen oder Beschwerden verantwortlich sind.

Beschwerden können von betroffenen Personen per E-Mail oder schriftlich gemäß Abschnitt 9.3 des Kodex bei ExxonMobil eingereicht werden. ExxonMobil erkennt auch Beschwerden und Anfragen an, die direkt von betroffenen Personen oder durch Vertreter gemeinnütziger Organisationen im Namen der betroffenen Personen gestellt werden, sofern dies nach europäischem Datenschutzrecht zulässig ist.

Wenn ExxonMobil die Beschwerde als berechtigt ansieht, wird die betroffene Person darüber informiert, wie das zugrunde liegende Problem behoben wird. Wird die Beschwerde abgelehnt oder ist die betroffene Person mit der Antwort von ExxonMobil nicht zufrieden, kann sie gemäß Abschnitt 18.4.ii und 18.4.iii eine Beschwerde einreichen oder ein Verfahren einleiten. Wenn sich die Beschwerde auf die Verarbeitung europäischer personenbezogener Daten durch verbundene Unternehmen außerhalb des europäischen Raums bezieht, kann die betroffene Person auch gemäß Abschnitt 18.4.iv eine Beschwerde einreichen oder ein Verfahren einleiten.

18.8 ExxonMobil führt Bewertungen durch und dokumentiert diese, um festzustellen, ob die Übermittlung europäischer personenbezogener Daten an einen Datenempfänger außerhalb des europäischen Raums auf Grundlage des Kodex angemessen geschützt ist und ob ergänzende Maßnahmen aufgrund der Ergebnisse der Bewertung erforderlich sind. Diese Bewertungen werden regelmäßig aktualisiert, um Änderungen in den Gesetzen zu berücksichtigen, die die Risikoeinschätzung beeinflussen könnten. Dazu gehört auch, dass Datenexporteure Entwicklungen im Bestimmungsland in Zusammenarbeit mit Datenempfängern beobachten, soweit angemessen.Gemäß Abschnitt 18.1 informiert ExxonMobil den Datenexporteur und ExxonMobil Petroleum & Chemical BV unverzüglich, wenn aufgrund gesetzlicher Änderungen eine Einhaltung des Kodex nicht mehr möglich ist. Die Ergebnisse der Bewertungen, einschließlich der Entscheidung, ob Übermittlungen ausgesetzt oder beendet werden, werden vom Data Privacy Office an die verbundenen Unternehmen weitergegeben. Die Umsetzung ergänzender Maßnahmen wird zusammen mit der Bewertung dokumentiert.

Der Bewertungsprozess berücksichtigt alle Aspekte der Übermittlung, einschließlich der Prüfung, ob lokale Gesetze und Praktiken im Bestimmungsland

• das Wesen der Grundrechte und -freiheiten respektieren,

• über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um das Risiko abzusichern, dass eine Offenlegung oder Genehmigung des Zugriffs auf europäische personenbezogene Daten erforderlich ist, und

• die Offenlegung europäischer personenbezogener Daten verlangen oder Maßnahmen zur Autorisierung des Zugriffs durch Behörden vorsehen,

sodass sie erhebliche negative Auswirkungen auf die im Kodex gewährten Garantien und Verpflichtungen haben Gemäß Abschnitt 18.1 wird ein verbundenes Unternehmen den Datenexporteur und die ExxonMobil Petroleum & Chemical BV informieren.

Wenn eine Bewertung ergibt, dass lokale Gesetze und Praktiken solche erheblichen negativen Auswirkungen haben, wird ExxonMobil in Abstimmung mit ExxonMobil Petroleum & Chemical BV, dem Data Privacy Office und den Datenschutzbeauftragten bestehende vertragliche, technische und organisatorische Sicherheitsmaßnahmen überprüfen und entscheiden, ob ergänzende Maßnahmen zur Risikominderung erforderlich sind. Dieser Prozess gilt auch für bestehende Übermittlungen, bei denen der Datenempfänger meldet, dass lokale Gesetze und Maßnahmen die Übermittlung beeinträchtigen. Solche Übermittlungen werden auf Anweisung von ExxonMobil und ggf. der zuständigen Aufsichtsbehörde sofort ausgesetzt, bis ergänzende Maßnahmen identifiziert wurden. Wenn keine geeigneten ergänzenden Maßnahmen identifiziert werden können oder diese nicht den erforderlichen Schutz bieten, um die Übermittlung gemäß Kodex zu ermöglichen, oder wenn eine ausgesetzte Übermittlung nicht innerhalb eines Monats wieder aufgenommen wird (bzw. bei geschäftsbedingter Verlängerung), werden bestehende Übermittlungen eingestellt und neue nicht zugelassen. Alle europäischen personenbezogenen Daten, die übermittelt worden wären, einschließlich aller Kopien, werden nach Wahl des Datenexporteurs zurückgegeben oder gelöscht, es sei denn, lokale Gesetze verbieten dies. In diesem Fall verbleiben die europäischen personenbezogenen Daten beim Datenempfänger, der weiterhin den Kodex einhält.  Wenn der Datenexporteur die Löschung wählt, wird der Datenempfänger auf Anfrage einen Nachweis über die vollständige Löschung der europäischen personenbezogenen Daten bereitstellen.

Alle Bewertungen werden der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.

18.9 Wenn ein Datenimporteur eine  behördliche Zugriffsanfrage zum Zugriff auf Daten erhält oder davon Kenntnis erlangt, informiert er unverzüglich den Datenexporteur sowie die betroffene Person, deren europäische personenbezogene Daten Gegenstand der Anfrage sind.

Ist eine solche Benachrichtigung ganz oder teilweise gesetzlich untersagt, wird der Datenimporteur alle zumutbaren Anstrengungen unternehmen, um eine Aufhebung des Verbots zu erwirken, und diese dokumentieren – einschließlich der ursprünglichen behördliche Zugriffsanfrage –, um sie auf Anfrage des Datenexporteurs nachweisen zu können, solange die Übermittlung durch den Kodex geschützt ist. Alle behördliche Zugriffsanfragen  und internen Dokumentationen werden gemäß den Richtlinien zur Dokumentenverwaltung von ExxonMobil aufbewahrt.

ExxonMobil prüft die Rechtmäßigkeit einer  behördliche Anfrage auf Offenlegung wie zuvor beschrieben, insbesondere ob sie im Rahmen der Befugnisse der anfragenden Behörde liegt, und wird die Anfrage anfechten, wenn nach sorgfältiger Prüfung begründete Zweifel an ihrer Rechtmäßigkeit bestehen – gemäß dem Recht des Bestimmungslandes, internationalen Verpflichtungen aufgrund internationaler Gesetze und/oder Prinzipien internationaler Ausschüsse. ExxonMobil teilt diese Bewertung dem Datenexporteur mit und prüft auch Möglichkeiten zur Einlegung von Rechtsmitteln. Bei Anfechtung einer behördliche Zugriffsanfrage wird ExxonMobil einstweilige Maßnahmen beantragen, um die Auswirkungen der Anfrage bis zur Entscheidung durch ein zuständiges Gericht auszusetzen. EM wird dierechtliche Bewertung und alle Maßnahmen zur Anfechtung der behördlichen Zugriffsanfrage dokumentieren  und – soweit gemäß dem Recht des Bestimmungslandes gesetzlich zulässig – der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung stellen. ExxonMobil wird die angeforderten personenbezogenen Daten erst dann offenlegen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist, und dabei nur das Mindestmaß an Informationen bereitstellen, das nach vernünftiger Auslegung der Anfrage zulässig ist.

ExxonMobil wird Maßnahmen ergreifen, um jede Übermittlung europäischer personenbezogener Daten an Behörden (sowie jeden direkten Zugriff solcher Behörden auf Daten, die gemäß dem Kodex übermittelt wurden) zu verhindern, die massiv, unverhältnismäßig und wahllos erfolgen und über das hinausgehen, was in einer demokratischen Gesellschaft notwendig ist.

Der Datenimporteur stellt dem Datenexporteur jährlich und regelmäßig allgemeine Informationen zu  behördliche Zugriffsanfragen zur Verfügung, einschließlich möglichst vieler relevanter Angaben zu erhaltenen Anfragen (z. B. Anzahl der Anfragen, Art der angeforderten Daten, anfragende Behörde(n), ob Anfragen angefochten wurden und der Ausgang solcher Anfechtungen).

18.10 Verbundene Unternehmen dürfen europäische personenbezogene Daten gemäß dem Kodex nur dann an andere verbundene Unternehmen übermitteln, wenn diese ebenfalls an den Kodex gebunden sind.

18.11 Wenn ein Datenimporteur nicht mehr verpflichtet ist, den Kodex einzuhalten, kann er die vom Datenexporteur erhaltenen personenbezogenen Daten behalten, zurückgeben oder löschen. Wenn Datenexporteur und Datenimporteuer vereinbaren, dass die Daten beim Importeur verbleiben dürfen, verpflichtet sich der Importeur, den Schutz gemäß europäischem Datenschutzrecht weiterhin sicherzustellen.

„Verbundenes Unternehmen ” bezeichnet jedes Unternehmen oder jede Gesellschaft, die den Kodex durch Unterzeichnung der internen Vereinbarung angenommen hat und an der die ExxonMobil Corporation oder ein Mutterunternehmen der ExxonMobil Corporation jetzt oder zukünftig direkt oder indirekt mehr als 50 % der stimmberechtigten Anteile oder der Anteile zur Ernennung von Direktoren oder funktionalen Äquivalenten besitzt oder kontrolliert, sowie jeden Rechtsnachfolger eines solchen Unternehmens oder einer solchen Gesellschaft.

„Anonymisierte Informationen” sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder die sich auf personenbezogene Daten beziehen, die so anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.

„Anwendbare Gesetze” bezeichnet (i.) im Hinblick auf europäische personenbezogene Daten die europäischen Datenschutzgesetze und/oder (ii.) im Hinblick auf andere personenbezogene Daten die jeweils geltenden nationalen, bundesstaatlichen, regionalen und lokalen Gesetze und Vorschriften zum Datenschutz, zur Privatsphäre und zur Datensicherheit von personenbezogenen Daten, wie sie von Zeit zu Zeit aktualisiert, geändert oder ersetzt werden und auf die jeweilige Verarbeitung durch ExxonMobil Anwendung finden.

„Bewertungen ” bezeichnet eine rechtliche Bewertung der (i.) spezifischen Umstände des Datentransfers, (ii.) Gesetze und Praktiken des Bestimmungslandes, die für eine bestimmte Übermittlung relevant sind, einschließlich solcher, die Offenlegung oder Zugriff erfordern, sowie solcher, die Einschränkungen vorsehen oder Schutzmaßnahmen bieten, und (iii.) aller relevanten und bestehenden vertraglichen, technischen oder organisatorischen Schutzmaßnahmen zur Ergänzung der im Kodex vorgesehenen Garantien.

„Zuständige Aufsichtsbehörde ” bezeichnet die Datenschutzaufsichtsbehörde im EWR, die für den Datenexporteur gemäß diesem Kodex zuständig ist.

„Datenexporteur ” bezeichnet das verbundene Unternehmen in der europäischen Region, das europäische personenbezogene Daten aus der europäischen Region heraus an einen Datenimporteur übermittelt.

„Datenimporteur ” bezeichnet das verbundene Unternehmen, das europäische personenbezogene Daten außerhalb der europäischen Region vom Datenexporteur erhält.

„Datenübertragbarkeit ” bezeichnet das Recht, personenbezogene Daten in einem Format zu erhalten, das zur Übermittlung an einen Dritten geeignet ist, gemäß geltendem Recht.

„Bestimmungsland ” bezeichnet ein Land außerhalb der europäischen Region, in das personenbezogene Daten übermittelt werden und für das keine aktuelle Angemessenheitsentscheidung der Europäischen Kommission vorliegt.

„EWR (” bezeichnet den Europäischen Wirtschaftsraum, der durch das EWR-Abkommen vom 1. Januar 1994 geschaffen wurde und den freien Verkehr von Personen, Waren, Dienstleistungen und Kapital innerhalb des europäischen Binnenmarkts ermöglicht.

„Europäische Datenschutzgesetze ” bezeichnet die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-Datenschutz-Grundverordnung), wie sie in nationales Recht der EWR-Mitgliedstaaten und des Vereinigten Königreichs umgesetzt wurde und von Zeit zu Zeit geändert wird, sowie das Schweizer Bundesgesetz über den Datenschutz und alle entsprechenden oder gleichwertigen nationalen Gesetze oder Vorschriften der EWR-Mitgliedstaaten, wie sie von Zeit zu Zeit aktualisiert, geändert oder ersetzt werden und auf die Verarbeitung durch ExxonMobil Anwendung finden.

„Europäische personenbezogene Daten ” bezeichnet personenbezogene Daten, die den europäischen Datenschutzgesetzen unterliegen oder unterlagen.

„Europäische Region ” bezeichnet Länder im Europäischen Wirtschaftsraum (EWR), das Vereinigte Königreich und die Schweiz.

„Behördliche Zugriffsanfrage ” bezeichnet (i.) den Erhalt einer rechtlich bindenden Anfrage einer öffentlichen Behörde des Bestimmungslandes zur Offenlegung europäischer personenbezogener Daten oder (ii.) die Kenntnisnahme eines direkten Zugriffs durch öffentliche Behörden auf solche Daten in einem Land außerhalb der europäischen Region.

„Betroffene Person ” bezeichnet jede identifizierte oder identifizierbare natürliche Person, deren Informationen von oder im Auftrag von ExxonMobil verarbeitet werden; eine identifizierbare natürliche Person ist eine, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie Name, Identifikationsnummer, Standortdaten, Online-Kennung oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser Person sind; dazu zählen aktuelle und ehemalige Mitarbeitende, Bewerber, Auftragnehmer, Vertreter von Kunden und anderen Geschäftspartnern sowie Verbraucher.

„Konzerninterne Vereinbarung ” bezeichnet die interne Vereinbarung zwischen den verbundenen Unternehmen von ExxonMobil, durch die diese den Kodex annehmen und sich daran binden.

„Wesentliche Änderungen ” bezeichnet Änderungen am Kodex, die sich nachteilig auf das Datenschutzniveau für europäische personenbezogene Daten auswirken oder die den Umfang oder die Struktur des Kodex in Bezug auf europäische personenbezogene Daten wesentlich beeinflussen.

„Personenbezogene Daten ” bezeichnet Daten, die sich auf eine betroffene Person beziehen.

„Datenschutzverletzung ” bezeichnet eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zum unbefugten Zugriff oder zur Offenlegung personenbezogener Daten führt.

„Verarbeiten“, „Verarbeitet“, „Verarbeitung“ bezeichnet jede Handlung im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie automatisiert erfolgt, wie z. B. Zugriff, Erhebung, Speicherung, Aufzeichnung, Organisation, Veränderung, Verbreitung, Offenlegung, Übermittlung, Abruf, Löschung oder sonstige Nutzung personenbezogener Daten.

„Übermittlung“, „Übermittelt“ bezeichnet eine einzelne oder eine Reihe von Übermittlungen personenbezogener Daten, einschließlich der ersten und aller weiteren Übermittlungen innerhalb desselben Bestimmungslandes oder in ein anderes Bestimmungsland.

„Vertrauenswürdige Quelle” bezeichnet eine Person oder Organisation, die befugt ist, die betroffene Person zu vertreten, oder eine Person oder Organisation, die nach Einschätzung von ExxonMobil offensichtlich befugt ist, die betroffene Person zu vertreten.

Die verbundenen Unternehmen sind nach Ländern aufgelistet und enthalten die Registrierungsnummer.

Die Adresse jedes Landes sowie die Kontaktdaten des Datenschutzbeauftragten (sofern erforderlich) sind Teil der länderspezifischen Datenschutzhinweise oder der „Kontakt“-Seite, verfügbar unter:
Unsere Datenschutzrichtlinien | ExxonMobil.