Übermittlung von personenbezogenen Daten von betroffenen Personen aus Europa in die Vereinigten Staaten
Arthrex stellt sicher, dass jede Übermittlung personenbezogener Daten an unser Unternehmen in vollem Umfang mit den einschlägigen Datenschutzbestimmungen übereinstimmt. Wir stellen den Schutz Ihrer personenbezogenen Daten an erste Stelle und widmen uns weiterhin der Einhaltung der Standards, die im EU-US-Datenschutzrahmen festgelegt sind.
Arthrex implementiert in seinen Produkten, Systemen und Prozessen die notwendigen Sicherheitsvorkehrungen, um sicherzustellen, dass jede Weitergabe von personenbezogenen Daten unter Beachtung der höchsten Standards geschützt wird.
Informationen zum Schutz Ihrer personenbezogenen Daten auf ihrem gesamten Weg finden Sie in der Datenverarbeitungsvereinbarung, die wir mit Ihnen abschließen, in der Datenschutzerklärung von Arthrex oder in der besonderen Datenschutzerklärung, die Ihnen im Zusammenhang mit einem Produkt und einer Dienstleistung bereitgestellt wird.
Arthrex befolgt den EU-US-Datenschutzrahmen (EU-US DPF) und die britische Erweiterung des EU-US DPF sowie den Datenschutzrahmen zwischen der Schweiz und den USA (Schweiz-US DPF), wie sie vom US-Handelsministerium festgelegt wurden. Arthrex hat dem US-Handelsministerium gegenüber bestätigt, dass es die Grundsätze des EU-US-Datenschutzrahmens (EU-US DPF-Grundsätze) befolgt und sich bei der Verarbeitung personenbezogener Daten aus der Europäischen Union und dem Vereinigten Königreich auf den EU-US DPF stützt und auf die britische Erweiterung des EU-US DPF stützt. Arthrex hat dem US-Handelsministerium gegenüber bestätigt, dass es bei der Verarbeitung personenbezogener Daten aus der Schweiz die Grundsätze des Datenschutzrahmens zwischen der Schweiz und den USA (Schweiz-US DPF-Grundsätze) befolgt und sich auf den Schweiz-US DPF stützt. Bei Konflikten zwischen den Bestimmungen in dieser Datenschutzerklärung und den Grundsätzen des EU-US DPF und/oder den Grundsätzen des Schweizer-US DPF haben die Grundsätze Vorrang. Um mehr über das Data Privacy Framework (DPF) Programm zu erfahren, finden Sie unsere Zertifizierung unter https://www.dataprivacyframework.gov/.
Die folgenden Unternehmen von Arthrex in den USA oder Tochterunternehmen von Arthrex in den USA halten sich an die DPF-Grundsätzen der EU und der USA, einschließlich der britischen Erweiterung der DPF-Grundsätzen der EU und der DPF-Grundsätzen der Schweiz, und sind von der DPF-Einreichung von Arthrex betroffen:
In Übereinstimmung mit dem EU-US-DPF und der britischen Erweiterung des EU-US-DPF und dem schweizerisch-US-amerikanischen DPF verpflichtet sich Arthrex, ungelöste Beschwerden über unseren Umgang mit personenbezogenen Daten, die wir unter Berufung auf das EU-US-DPF und die britische Erweiterung des EU-US-DPF und das schweizerisch-US-amerikanische DPF erhalten haben, an den ICDR-AAA DPF IRM Service, einen Anbieter für alternative Streitbeilegung mit Sitz in den Vereinigten Staaten, weiterzuleiten. Wenn Sie von uns keine rechtzeitige Bestätigung Ihrer Beschwerde im Zusammenhang mit den DPF-Grundsätzen erhalten oder wenn wir Ihre Beschwerde im Zusammenhang mit den DPF-Grundsätzen nicht zu Ihrer Zufriedenheit bearbeitet haben, besuchen Sie bitte https://go.adr.org/dpf_irm.html, um weitere Informationen zu erhalten oder um eine Beschwerde einzureichen. Die Dienstleistungen der ICDR-AAA stehen Ihnen kostenlos zur Verfügung.
In Übereinstimmung mit der EU-US-DPF und der britischen Erweiterung des EU-US-DPF sowie des schweizerisch-US-amerikanischen DPF verpflichtet sich Arthrex, Beschwerden im Zusammenhang mit der Erhebung und Verwendung Ihrer personenbezogenen Daten durch uns zu klären. Personen aus der EU, dem Vereinigten Königreich und der Schweiz, die Anfragen oder Beschwerden bezüglich unseres Umgangs mit personenbezogenen Daten haben, die wir unter Berufung auf das EU-US-DPF und die britische Erweiterung des EU-US-DPF sowie das schweizerisch-US-amerikanische DPF erhalten haben, sollten sich zunächst an Arthrex wenden: privacy@arthrex.com.
Arthrex bleibt gemäß den EU-US-DPF-Grundsätzen, der britischen Erweiterung der EU-US-DPF und/oder den schweizerisch-US-amerikanischen DPF-Grundsätzen verantwortlich und haftbar für beauftragte Dritte, die personenbezogene Daten im Auftrag von Arthrex in einer Weise verarbeiten, die nicht mit den Grundsätzen vereinbar ist, es sei denn, Arthrex weist nach, dass es nicht für das Ereignis verantwortlich ist, das den Schaden verursacht hat. Informationen über die Art oder Identität von Dritten und die Zwecke, für die Arthrex personenbezogene Daten weitergibt, finden Sie unter https://privacy.arthrex.com/de/unsere-verpflichtung-zum-datenschutz .
Arthrex unterliegt den Ermittlungs- und Durchsetzungsbefugnissen der Bundeshandelskommission (Federal Trade Commission, FTC). Arthrex muss möglicherweise personenbezogene Daten, die wir im Zusammenhang mit dem Datenschutzrahmen verarbeiten, auf rechtmäßige Anfragen von öffentlichen Behörden offenlegen. Dies schließt auch die Erfüllung von Anforderungen im Hinblick auf die nationale Sicherheit bzw. im Rahmen einer Strafverfolgung ein.
Informationen über die Art oder Identität von Dritten und die Zwecke, für die Arthrex personenbezogene Daten weitergibt, finden Sie unter https://privacy.arthrex.com/de/unsere-verpflichtung-zum-datenschutz#Weitergabe-von-personenbezogenen-Daten. Arthrex haftet für die Weitergabe von personenbezogenen Daten.
Informationen über die Rechte von Einzelpersonen, auf ihre personenbezogenen Daten zuzugreifen und die Verwendung und Weitergabe von personenbezogenen Daten einzuschränken, finden Sie unter https://privacy.arthrex.com/de/unsere-verpflichtung-zum-datenschutz#Welche-Rechte-haben-Sie und in der Datenschutzerklärung von Arthrex EMEA unter https://privacy.arthrex.com/de/europaeischer-wirtschaftsraum.
Wenn personenbezogene Daten, die unter diese Datenschutzerklärung fallen, für einen neuen Zweck verwendet werden sollen, der sich wesentlich von dem Zweck unterscheidet, für den die personenbezogenen Daten ursprünglich erhoben oder später genehmigt wurden, oder wenn sie an einen nicht beauftragten Dritten in einer Weise weitergegeben werden sollen, die nicht in dieser Datenschutzerklärung angegeben ist, gibt Arthrex Ihnen die Möglichkeit, zu entscheiden, ob Ihre personenbezogenen Daten verwendet oder weitergegeben werden dürfen. Anfragen zum Widerspruch gegen eine solche Verwendung oder Weitergabe personenbezogener Daten sind an privacy@arthrex.com zu senden.
Bestimmte personenbezogene Daten, wie z. B. Informationen über medizinische oder gesundheitliche Zustände, Abstammung oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, gelten als „sensible personenbezogene Daten“. Arthrex wird „sensible personenbezogene Daten“ nicht für andere Zwecke verwenden als diejenigen, für die sie ursprünglich erhoben oder später von der betroffenen Person genehmigt wurden, es sei denn, Arthrex hat Ihre Einwilligung dazu erhalten.
Jede Person, deren personenbezogene Daten von Arthrex erhoben wurden, hat das Recht, von Arthrex eine Bestätigung dafür zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht. In diesem Zusammenhang hat eine Person das Recht, zu beantragen, dass Arthrex fehlerhafte personenbezogene Daten korrigiert und unvollständige personenbezogene Daten vervollständigt, das Recht, die Löschung von bestimmten personenbezogenen Daten, z. B. von personenbezogenen Daten, die nicht mehr für legitime Zwecke erforderlich sind, zu beantragen, das Recht, die Einschränkung der Verarbeitung von bestimmten personenbezogenen Daten, z. B. von fehlerhaften personenbezogenen Daten, zu beantragen, sowie das Recht auf Datenübertragbarkeit. Darüber hinaus hat jede Person das Recht, Einspruch gegen bestimmte Maßnahmen bei der Verarbeitung ihrer personenbezogenen Daten einzulegen. Je nach den lokalen Datenschutzbestimmungen ist jede Person berechtigt, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
Im Hinblick auf personenbezogene Daten, die gemäß dem DPF erhalten oder übertragen wurden, können Sie, wenn Ihre DPF-Beschwerde nicht über die oben genannten Kanäle gelöst werden kann, unter bestimmten Bedingungen ein verbindliches Schiedsverfahren für einige verbleibende Ansprüche einleiten, die nicht durch andere Rechtsbehelfsmechanismen gelöst werden können. In Bezug auf die Übermittlung personenbezogener Daten in die Vereinigten Staaten und die Teilnahme am DPF wird Arthrex Ansprüche schlichten und die Bedingungen gemäß Anhang I des DPF befolgen, den Sie hier finden.
Neben dem Angemessenheitsbeschluss zum EU-US DPF haben wir eine umfangreiche Risikobewertung der Übermittlung personenbezogener Daten durch Arthrex durchgeführt und dabei die folgenden Faktoren berücksichtigt: den Zweck, für den die personenbezogenen Daten übermittelt und verarbeitet werden (z. B. Marketing, Personalwesen, Datenspeicherung, IT-Unterstützung, klinische Studien).
Diese Faktoren und insbesondere die Art der übermittelten personenbezogenen Daten sprechen dafür, dass die US-Regierung wahrscheinlich nicht versuchen wird, die übermittelten Daten zu erfassen. Als Unternehmen für Medizinprodukte ist Arthrex nicht in einer Branche mit erhöhten nationalen Sicherheitsbedenken tätig (z. B. Verteidigungsverträge, Unterstützung der Geheimdienste, Auftragsvergabe durch die Regierung oder Bereitstellung kritischer Infrastrukturen). Stattdessen umfassen die vom Unternehmen übermittelten Informationen personenbezogene Daten der Mitarbeitenden, die Sicherheit des Datensystems, Benutzeranmeldedaten und Kontoinformationen für Online-Schulungen sowie Krankenakten, die personenbezogene Daten enthalten können. Diese Krankenakten werden hauptsächlich verwendet, um spezielle chirurgische Werkzeuge und Pläne zu entwickeln, die Heilung und den Fortschritt des Patienten unter bestimmten postoperativen Umständen zu überwachen und, in vereinzelten Fällen, um die technische Unterstützung für Videoaufzeichnungen in der Chirurgie bereitzustellen. Arthrex erhält die personenbezogenen Daten von seinem EU-Tochterunternehmen, um seine üblichen Geschäftsbestrebungen zu unterstützen, die im Hinblick auf die nationale Sicherheit oder die Spionageabwehr nicht sensibel sind. Die personenbezogenen Daten werden von den Vereinigten Staaten aus nicht in weitere Länder übermittelt. Wenn sie in die Vereinigten Staaten übermittelt werden, dann entweder in einem verschlüsselten Format oder über einen sicheren Fernzugriff von den Vereinigten Staaten aus. Arthrex hat seitens der US-Regierung keine Anfragen hinsichtlich der von Arthrex verarbeiteten personenbezogenen Daten erhalten, und eine solche Anfrage ist auch unwahrscheinlich. Daher kann man vernünftigerweise nicht davon ausgehen, dass die von Arthrex verarbeiteten personenbezogenen Daten von besonderem Interesse für die nationale Sicherheit sind.
Wo zutreffend, speichert und verarbeitet Arthrex personenbezogene Daten betroffener Personen aus Europa ausschließlich innerhalb der Europäischen Union. In solchen Fällen werden die personenbezogenen Daten nicht in den Vereinigten Staaten gespeichert, und jeder Zugriff auf solche Daten aus den Vereinigten Staaten erfolgt auf einer „Need-to-know“-Grundlage. Dies umfasst die Erfüllung von Kundendienstanfragen, die Bereitstellung spezieller Sicherheitsunterstützung oder die technische Fehlerbehebung.
Die Übermittlung personenbezogener Daten in die Vereinigten Staaten erfolgt strikt auf einer „Need-to-know“- / „Need-to-have“-Grundlage gemäß der Datenverarbeitungsvereinbarung, die die organisatorischen und technischen Maßnahmen behandelt, die Arthrex ergreift, um die personenbezogenen Daten betroffener Personen in Europa zu schützen.
Arthrex räumt ein, dass es im Falle einer Anordnung, den US-Behörden Zugang zu personenbezogenen Daten zu gewähren, verpflichtet wäre, seine Kund:innen zu informieren, damit diese ihren Vertrag mit uns kündigen und die Übermittlung personenbezogener Daten an unser Unternehmen einstellen können. Es ist wichtig, darauf hinzuweisen, dass Arthrex noch nie eine solche Mitteilung zu machen hatte. Auf der Grundlage der oben genannten Bewertung ist es höchst unwahrscheinlich, dass ein solcher Fall in Zukunft eintreten wird.
Auf der Grundlage der oben dargelegten umfassenden Analyse sind wir davon überzeugt, dass das Schadensrisiko für die betroffenen Personen minimal ist. Diese Schlussfolgerung stützt sich auf die drastischen Schutzmaßnahmen und Sicherheitsvorkehrungen, die Arthrex implementiert hat, sowie darauf, dass ein Antrag der US-Behörden auf Zugang zu personenbezogenen Daten im Zusammenhang mit unseren Produkten und Dienstleistungen höchst unwahrscheinlich ist. Unter Berücksichtigung dieser Faktoren und in Übereinstimmung mit den einschlägigen rechtlichen Verpflichtungen bekräftigen wir daher, dass das Schadensrisiko für die betroffenen Personen als unbedeutend anzusehen ist.
Ungeachtet des geringen Risikos bei der Übermittlung personenbezogener Daten der betroffenen Personen aus Europa in die USA verpflichtet sich Arthrex zur Einhaltung der Grundsätze und Sicherheitsvorkehrungen, die im EU-US-Datenschutzrahmen und in allen einschlägigen Vorschriften sowie in den bewährten Praktiken des Datenschutzes dargelegt sind. Durch die Einhaltung dieser Standards gewährleisten wir die sichere und rechtmäßige Übermittlung personenbezogener Daten und zeigen damit unser unermüdliches Engagement für den Schutz der Privatsphäre unserer Kund:innen.