OneTrust gibt keine personenbezogenen Daten ihrer Kunden freiwillig an staatliche Stellen weiter und gewährt diesen auch keinen anderweitigen Zugang zu solchen Daten. Darüber hinaus hat OneTrust keine Hintertüren geschaffen und wird dies auch in Zukunft nicht absichtlich tun, um staatlichen Stellen den Zugang zu ihren Daten oder Informationssystemen zu ermöglichen. Ebenso hat OneTrust ihre Prozesse nicht in einer Weise geändert und wird dies auch in Zukunft nicht absichtlich tun, um staatlichen Stellen den Zugang zu Daten zu erleichtern.
OneTrust kann jedoch eine rechtsverbindliche Vorladung, einen Gerichtsbeschluss oder eine andere gerichtliche Anordnung von einer Regierungsbehörde erhalten, die die Offenlegung der personenbezogenen Daten eines Kunden verlangt. OneTrust wird die angeforderten Kundendaten nur als Reaktion auf ein formelles und rechtsgültiges Verfahren zur Verfügung stellen. Wenn OneTrust eine solche Anfrage erhält, prüft das Rechtsteam von OneTrust die Anfrage, um sicherzustellen, dass sie den geltenden rechtlichen Anforderungen entspricht. Wenn die rechtliche Prüfung ergibt, dass es legitime und rechtmäßige Gründe gibt, die Anfrage anzufechten, wird OneTrust entsprechend vorgehen. OneTrust verpflichtet sich, solche Anfragen eng auszulegen, um den Umfang der zur Verfügung gestellten personenbezogenen Daten zu begrenzen.
OneTrust gibt Kundendaten nur dann weiter, wenn die Anfrage:
• schriftlich und auf offiziellem Briefpapier gestellt wird,
• einen bevollmächtigten Vertreter der anfragenden Partei benennt und von diesem unterzeichnet ist und offizielle Kontaktinformationen, einschließlich einer gültigen E-Mail-Adresse, enthält,
• den Grund und die Art der Anfrage angibt,
• den Kunden oder das Kundenkonto angibt, der bzw. das Gegenstand der Anfrage ist,
• eine genaue Beschreibung der angeforderten Daten/ Informationen und ihres Zusammenhangs mit der Untersuchung enthält und
• in Übereinstimmung mit geltendem Recht ausgestellt und zugestellt wird.
Erhält OneTrust eine rechtsverbindliche Anfrage zu den personenbezogenen Daten eines Kunden, benachrichtigt OneTrust den Kunden per E-Mail, bevor die Informationen weitergegeben werden. Soweit dies aufgrund der Anfrage und/ oder des anwendbaren Rechts zulässig ist, werden in der Mitteilung die angefragten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage der Anfrage und alle bereits erteilten Antworten angegeben. Diese Mitteilung gibt dem Kunden die Möglichkeit, Rechtsmittel einzulegen, z. B. bei einem Gericht oder bei der anfragenden Behörde.
Ausnahmen von der OneTrust Richtlinie für Anfragen von Regierungsbehörden nach personenbezogenen Daten:
• Ein Gesetz, ein Gerichtsbeschluss oder eine andere rechtliche Bestimmung kann es OneTrust untersagen, ihre Kunden über eine behördliche Anfrage zu informieren. In solchen Fällen wird OneTrust jedoch angemessene Anstrengungen unternehmen, um eine Aufhebung des Verbots zu erwirken oder den Kunden zu informieren, sobald die gesetzliche Verpflichtung zur Geheimhaltung nicht mehr besteht.
• OneTrust kann in Ausnahmefällen von einer Benachrichtigung des Kunden absehen, z. B. bei unmittelbarer Gefahr für Leib und Leben oder zur Vermeidung von Schäden an den eigenen Diensten.
• OneTrust kann von einer Benachrichtigung des Kunden absehen, wenn Grund zu der Annahme besteht, dass die Benachrichtigung den Kunden nicht erreichen würde, z. B. bei einem kompromittierten oder gehackten Konto.
• Wenn OneTrust illegale oder schädliche Aktivitäten im Zusammenhang mit einem Kundenkonto entdeckt oder vermutet, kann OneTrust die zuständigen Behörden benachrichtigen, z. B. im Falle eines Hackerangriffs.
