Informationssicherheitshandlungsleitlinien für Dritte

Informationssicherheitshandlungsleitlinien 

Gültig an: 01.03.2025
Geändert am: 01.03.2025

Herausgeber: Datenschutz- und Informationssicherheit AIS

Version 1.0

Geltungsbereich

Die Handlungsleitlinien gelten für alle Dritte, die nach Audi Definition als „Intern“, „Vertraulich“ oder „Geheim“ klassifizierte Informationen für den Audi Konzern entsprechend vertraglicher Vereinbarungen verarbeiten.

Diese Handlungsleitlinien sind im gesamten Audi Konzern anzuwenden und durch konkrete Informationssicherheits-Regelungen im Einzelfall auszugestalten.

Inhalt

I. Zweck und Definitionen

I.I Dokumentenstruktur und Zielgruppe

1. Allgemeine Anforderungen an alle Dritte

1.1. Klassifikation von Informationen

1.2. Weitere Vorgaben

2. Zusätzliche Anforderungen an Dritte, die in der Volkswagen Konzern Infrastruktur arbeiten

2.1. Definition

2.2. Anforderungen

2.3. Umgang mit klassifizierten Informationen

2.4. Umgang mit User Accounts

2.5. Nutzung von Netzwerkdiensten

2.6. Zusätzliche Anforderungen bei mobiler Arbeit ………………………………………………… 6

3. Zusätzliche Anforderungen an Dritte, die Informationen des Volkswagen Konzerns außerhalb der Volkswagen Konzern Infrastruktur im Zugriff haben oder bereitstellen …………………………………………………………………………………………………. 7

3.1. Definition …………………………………………………………………………………………………. 7

3.2. Anforderungen …………………………………………………………………………………………. 7

II. Zuständigkeiten …………………………………………………………………………………………….. 7

Anhang ………………………………………………………………………………………………………………… 8

A Allgemeines ………………………………………………………………………………………………….. 8

A.1 Gültigkeit ……………………………………………………………………………………………………… 8

A.2 Dokumentenhistorie ………………………………………………………………………………………. 8

A.3 Gesellschaftsspezifische Ausprägungen ………………………………………………………… 8

Rechtsgrundlage

Art. 6 Abs. 1 lit. f) DSGVO

Berechtigtes Interesse

Schutz des Eigentums und Vermögens; Schutz von Kunden, Besuchern und Beschäftigten.
Erfassung des Kennzeichens und Abgleich für die automatische Freischaltung der Reservierungsfunktion.

Speicherdauer oder Kriterien für die Festlegung der Dauer

Die Daten werden maximal 72 Stunden gespeichert, es sei denn, eine längere Speicherung ist zur Ausübung, Geltendmachung oder Verteidigung von Rechtsansprüchen im konkreten Einzelfall erforderlich.
Die von der Videoaufzeichnung separate Verarbeitung des Kfz-Kennzeichens erfolgt nur für die Dauer des Aufenthalts am Audi charging hub bzw. maximal 24h.

Empfänger oder Kategorien von Empfängern der Daten

Öffentliche Stellen und Institutionen (z.B. Polizei, Staatsanwaltschaft, Aufsichtsbehörde) bei Vorliegen einer entsprechenden Rechtsgrundlage.

Hinweise auf die Rechte der Betroffenen

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO im einzelnen aufgeführten Informationen.

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger personenbezogener Daten zu verlangen (Art. 16 DSGVO).

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO im einzelnen aufgeführten Gründe zutrifft, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden (Recht auf Löschung).

Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten Voraussetzungen gegeben ist, z. B. wenn die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, für die Dauer der Prüfung durch den Verantwortlichen.

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 DSGVO).

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die betroffene Person kann dieses Recht bei einer Aufsichtsbehörde in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen.