Building envelopes made of aluminium

– because architects demand eco-friendly and sustainable solutions

Privacy Policy

Präambel

Die Umsetzung der gesamteuropäischen Datenschutz-Grundverordnung (DSGVO) i. V. m. dem neu erlassenen Bundesdatenschutzgesetz (BDSG) verlangen von den Unternehmen, die personenbezogene Daten elektronisch oder manuell strukturiert verarbeiten, speichern und nutzen, eine Reihe von Dokumentations- und Rechenschaftspflichten.

Mit dieser Richtlinie stellt die Kalzip GmbH die bestehenden Anforderungen des Datenschutzes sicher und dokumentiert sie ihre nachhaltig vorgehaltene Datenschutz-Organisation.

 

1. Geltungsbereich

Die vorliegende Umsetzungsrichtlinie richtet sich an

  • die Personen oder Abteilungen, die über den Einsatz/die Bereitstellung eines Anwendungssystems entscheiden, wie z. B. Geschäftsführung, IT-Abteilung, Fachbereiche etc.,
  • die Personen oder Abteilungen, die über die Nutzung des Systems für ihre Aufgaben entscheiden, i. d. R. die Fachabteilungen,
  • Anwender, d. h. diejenigen, die das zur Verfügung gestellte System für die Erledigung ihrer betrieblichen Aufgaben, u. a. bei der Speicherung personenbezogener Daten nutzen und
  • den betrieblichen Datenschutzbeauftragten (Datenschutzbeauftragter).

Sachlich umfasst die vorliegende Umsetzungsrichtlinie

  • alle mittels automatisierter Datenverarbeitung (DV) unterstützten lnformations- und Kommunikationssysteme, an denen personenbezogene Daten verarbeitet, gespeichert und/oder genutzt werden, sowie
  • die für die Einführung oder Umgestaltung der mit dem datenschutzrelevanten Verfahren verbundenen Arbeitsabläufe sowie deren Verarbeitungstätigkeiten.

Sofern nachfolgend von Mitarbeitern gesprochen wird, sind Mitarbeiterinnen und Mitarbeiter gemeint.

 

2. Zielsetzung der Richtlinie

Bei der Erhebung, Speicherung, Verarbeitung oder Übertragung personenbezogener Daten von Mitarbeitern, Kunden oder anderen Dritten ist auf größte Sorgfalt und strenge Vertraulichkeit sowie die Einhaltung geltender Gesetze und Regeln zu achten. Alle persönlichen Informationen über Mitarbeiter, Kunden, Geschäftspartner und Lieferanten sowie sonstige Dritte sind sorgfältig zu verwenden und vertraulich zu behandeln unter vollständiger Einhaltung der Datenschutzgesetze.

Hierzu dienen die vorliegenden datenschutzrechtlichen Vorgaben von Seiten der Geschäftsführung, die klarstellen, wie mit personenbezogenen Daten zu verfahren ist, welches Selbstbild das Unternehmen bei der Datenverarbeitung und den jeweiligen Verarbeitungstätigkeiten hat sowie welche konkreten Ziele bei der Datenschutz-Organisation verfolgt werden.

Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung und die bestehenden Verantwortlichkeiten. Ihre Umsetzung und Einhaltung ist für alle Mitarbeiter, Führungskräfte, Dienstleister sowie Auftragsdatenverarbeiter ohne Ausnahmen verpflichtend.

 

3. Erhebung und Verarbeitung personenbezogener Daten

Die Erhebung und Verarbeitung personenbezogener Daten darf nur im Rahmen des rechtlich Zulässigen erfolgen. Hierbei sind auch die besonderen Voraussetzungen für die Erhebung und Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DSGVO zu beachten. Grundsätzlich dürfen nur solche Informationen verarbeitet und genutzt werden, die zur betrieblichen Aufgabenerfüllung erforderlich sind und in unmittelbarem Zusammenhang mit dem Verarbeitungszweck stehen.

Es wird sichergestellt, dass Betroffene keiner Entscheidung unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen und zugleich den Betroffenen gegenüber eine rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen (bspw. Profiling).

Vor Einführung neuer Arten von Erhebungen ist die die Zulässigkeit bestimmende Zweckbestimmung der Daten durch den für die Anwendung Verantwortlichen schriftlich zu dokumentieren. Grundsätzlich ist eine Zweckänderung nur dann zulässig, wenn die Verarbeitung mit denjenigen Zwecken vereinbar ist, für die Daten ursprünglich erhoben worden sind. Die im Rahmen der Zweckänderung genutzten Abwägungs-Kriterien sind einzeln zu prüfen. Die Prüfung ist darüber hinaus auch zu einem ordnungsgemäßen Nachweis zu dokumentieren.

Eine Zweckänderung ist auch zulässig, wenn eine Einwilligung der betroffenen Person durch den Verantwortlichen eingeholt wird. Gleichzeitig hat der für die Verarbeitung Verantwortliche vor der Erhebung bzw. der Speicherung von Daten schriftlich festzulegen, ob und in welcher Art und Weise der gesetzlichen Benachrichtigungspflicht des Betroffenen zu genügen ist.

Falls andere Stellen Informationen über Betroffene anfordern, dürfen diese ohne Einwilligung des Betroffenen nur gegeben werden, wenn hierfür eine gesetzliche Verpflichtung oder ein die Weitergabe rechtfertigendes legitimes Interesse des Unternehmens besteht und die Identität des Anfragenden zweifelsfrei feststeht. Im Zweifel ist der Datenschutzbeauftragte zu kontaktieren.

 

4. Datenhaltung, Speicherung, Weiterleitung und Löschung von Daten

Die Speicherung von Daten erfolgt grundsätzlich auf den hierzu zur Verfügung gestellten Netz-laufwerken. Eine Speicherung auf mobilen Datenträgern oder Cloudspeicher (z. B. Flashspeicher, Streamer-Bändern) bzw. in den Datenspeicherlösungen der Unternehmen eingesetzten Software darf nur im betrieblichen Interesse und nur im Ausnahmefall erfolgen und obliegt der alleinigen Verantwortung des jeweiligen Nutzers.

Bei Netzwerken ist die IT-Abteilung für die Sicherung der Daten verantwortlich, die auf dem Server gespeichert sind.

Soweit technisch bedingt ein anderer Speicherort erforderlich ist (z. B. Notebook, Desktop-PC) ist der jeweilige Benutzer für die Durchführung der Datensicherung selbst verantwortlich. Ist ein Netzzugang möglich (z. B. bei Notebook mit WLAN, Tablet), ist zumindest einmal wöchentlich der aktuelle Datenbestand auf das für den Benutzer reservierte Netzlaufwerk zu überspielen. Die gewählten Datensicherungsmaßnahmen werden im Verzeichnis der Verarbeitungstätigkeit (Art. 30 DSGVO) dokumentieren.

Gesetzliche Aufbewahrungsfristen und Löschungstermine sind von dem über die Verarbeitung der Daten Entscheidenden in seiner Verantwortung zu beachten. Die IT-Abteilung bzw. der Auftragsdatenverarbeiter ist über die Einhaltung der Termine insbesondere im Hinblick auf die Löschung personenbezogener Daten in Sicherungskopien zu informieren.

Bei der Weiter- oder Rückgabe nicht mehr benötigter IT-Komponenten ist der Benutzer verpflichtet, dafür zu sorgen, dass zuvor sämtliche Daten wirksam gelöscht wurden.

 

5. Externe Dienstleister, Auftragsverarbeitung und Systemwartung

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen (Unternehmen), so arbeitet dieser nur mit Auftragsdatenverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Richtlinie erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Der Auftragsdatenverarbeiter darf keinen weiteren Auftragsdatenverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nehmen. Die Verarbeitung durch einen Auftragsdatenverarbeiter erfolgt auf der Grundlage eines Vertrags, der den Auftragsdatenverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Dieser Vertrag hat insbesondere vorzusehen, dass der Auftragsdatenverarbeiter

  • die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsdatenverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsdatenverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
  • gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • alle gemäß 4.1.2 erforderlichen Maßnahmen ergreift;
  • dieselben Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsdatenverarbeiters einhält;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht und
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung stellt und Überprüfungen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Sollen externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelnen Verarbeitungsschritten (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten (z. B. Wartung, Reparatur) beauftragt werden, bei denen sie die Möglichkeit der Kenntnis personenbezogener Daten bekommen, so ist der Datenschutzbeauftragte vor der Beauftragung unter Vorlage des den Anforderungen des Art. 28 DSGVO genügenden Vertragsentwurfs und der Kriterien der erfolgten bzw. nachfolgend vorgesehenen Auftragskontrolle zu informieren.

Entsprechendes gilt, falls die verantwortliche Stelle (Verantwortlicher) entsprechende Tätigkeiten im Auftrag Dritter wahrnehmen will.

 

6. Grundsätze zur Datenschutz-Organisation

Der Schutz personenbezogener Daten ist dem Unternehmen ein wichtiges Anliegen. Deshalb werden die personenbezogenen Daten der Mitarbeiter, Gäste, Kunden sowie Geschäftspartner des Unternehmens in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit verarbeitet.

In dieser Datenschutzrichtlinie wird beschrieben, welche Arten von personenbezogenen Daten hierbei erhoben werden, wie diese Daten genutzt werden, an wen sie übermittelt werden und welche Wahlmöglichkeiten und Rechte betroffene Personen im Zusammenhang mit der Verarbeitung der Daten haben. Außerdem wird beschrieben, mit

welchen Maßnahmen die Sicherheit der Daten gewährleistet werden und wie und mit wem betroffene Personen Kontakt aufnehmen können, wenn Sie Fragen zur Datenschutzpraxis des Unternehmens haben.

Dabei gelten folgende Grundsätze:

  • Die DV-Hard- und Software sind für betriebliche Aufgaben, und zwar für die jeweils vorgesehenen Zwecke, zu verwenden und gegen Verlust und Manipulation zu sichern. Eine Nutzung für private Zwecke bedarf der ausdrücklichen Genehmigung.
  • Jeder Mitarbeiter ist in seinem Verantwortungsbereich für die Umsetzung der Richtlinie verantwortlich. Die Einhaltung muss von ihm regelmäßig kontrolliert werden.
  • Die für die Verarbeitungen der eingesetzten Systeme Verantwortlichen stellen sicher, dass ihre Mitarbeiter (Benutzer) über diese Richtlinie informiert werden; das gilt auch für temporär Beschäftigte.
  • Der Datenschutzbeauftragte berät bei der Umsetzung der Richtlinie und prüft deren Einhaltung. Insoweit sind alle Adressaten der Richtlinie dem Datenschutzbeauftragten gegenüber auskunftspflichtig.

 

7. Datenschutzbeauftragter

Die Kalzip GmbH hat nach Maßgabe des Artikels 37 DSGVO einen betrieblichen Datenschutzbeauftragten bestellt und die Mitarbeiter über die Person unterrichtet. Er nimmt die ihm kraft Gesetzes und aus dieser Richtlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seines Fachwissens sowie seiner beruflichen Qualifikation wahr.

Der Datenschutzbeauftragte unterrichtet und berät die Geschäftsführung sowie die Beschäftigten hinsichtlich ihrer Datenschutzpflichten. Ihm obliegt die Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter. Im Falle risikoreicher Datenverarbeitungen steht der Datenschutzbeauftragte dem Verantwortlichem beratend bei der Abschätzung des Risikos zur Seite. Er berichtet unmittelbar der Geschäftsführung. Der Datenschutzbeauftragte wird frühzeitig in alle Datenschutzfragen eingebunden und wird sowohl von der Geschäftsführung als auch den Beschäftigten bei der Erfüllung seiner Aufgaben unterstützt.

Die Geschäftsführung hat die Aufgabe des Führens eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) und des Erteilens von Auskünften (Art. 15 DSGVO) auf den Datenschutzbeauftragten übertragen. Die Meldung von möglichen Verarbeitungstätigkeiten i.S. v. Art. 30 DSGVO haben durch die einzelnen Fachabteilungen zu erfolgen.

Für Meldungen, Auskünfte etc. gegenüber den Datenschutzaufsichtsbehörden liegt die bearbeitende Zuständigkeit bei dem Datenschutzbeauftragten. Die Fachabteilungen stellen die hierfür erforderlichen Informationen, Unterlagen etc. zur Verfügung. Gleiches gilt für Anfragen, Beschwerden oder Auskunftsersuchen Betroffener.

Jeder Mitarbeiter kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an den Datenschutzbeauftragter wenden, wobei auf Wunsch absolute Vertraulichkeit gewahrt wird.

Der Datenschutzbeauftragte unterrichtet die Geschäftsführung laufend über stattgefundene Prüfungen, Beanstandungen und ggf. noch zu beseitigende Organisationsmängel. Soweit der Bericht die Verarbeitung von Personaldaten oder Fragen der betrieblichen Organisation betrifft, wird er auch dem Betriebsrat zugänglich gemacht.

 

8. Sicherheit der Datenverarbeitung

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen das Unternehmen und unterbeauftragte Auftragsdatenverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Diese Maßnahmen schließen unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

Für jedes Verfahren sind eine Schutzbedarfsfeststellung sowie eine Analyse bzgl. der für den Betroffenen möglichen Risiken durchzuführen. Diese richten sich an der Art, dem Umfang, der Umstände und Zwecke der Verarbeitung sowie der Wahrscheinlichkeit des Eintritts einer solchen Gefahr.

Die Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität der Daten sowie der Belastbarkeit der Daten verarbeitenden Systeme wird durch ein allgemeines Sicherheitskonzept sichergestellt, das sich an den Schutzbedarfsfeststellungen und den Risikoanalysen orientiert. Dieses Konzept ist maßgeblich für alle weiteren Verfahren.

 

9. Verzeichnis der Verarbeitungstätigkeiten:

Jede Gesellschaft im Unternehmensverbund führt ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält mindestens sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.

 

10. Meldung von Sicherheitsvorfällen

Im Falle einer Verletzung des Schutzes personenbezogener Daten besteht die Verpflichtung, dass der jeweilige Datenschutzbeauftragte unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Darüber hinaus muss dieser Vorfall unverzüglich dem Datenschutzbeauftragten gemeldet werden. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Wenn dem Auftragsdatenverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

Die Meldung enthält zumindest folgende Informationen:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen AnlaufsteIle für weitere Informationen
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

 

11. Beschaffung von Hard- und Software

Die Beschaffung von Hard- und Software erfolgt grundsätzlich auf Anforderung der über die Verarbeitungen entscheidenden Person/Abteilung und nur nach Prüfung und Freigabe der IT durch den Einkauf. Bereits bei der Auswahl von Hard-und Software wird das Prinzip der Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als ein tragendes Kriterium beachtet.

Falls mit der Beschaffung ein neues Verfahren der Verarbeitung personenbezogener Daten eingeführt werden soll, ist der Datenschutzbeauftragte rechtzeitig vorab von der anfordernden Stelle zu informieren. Die Beschaffung erfolgt erst nach Stellungnahme des Datenschutzbeauftragten. Der Datenschutzbeauftragte berät dahingehend, ob die Durchführung einer Datenschutz-Folgen­abschätzung erforderlich ist. Die Durchführung einer Datenschutz-Folgenabschätzung richtet sich nach der Verfahrensanweisung „Risikominimierung durch Datenschutz-Folgen­ab­schätzung“ in Ziff. 16. Private Hard- und Software dürfen nicht zur Verarbeitung personenbezogener Daten Verwendung finden. Die dienstliche Nutzung privater Hard- und Software im heimischen und außerbetrieblichen Bereich (z.B. mittels private Notebooks, Handys, Tablets) bedarf der Genehmigung durch die IT-Abteilung im Einzelfall.

Die IT-Abteilung führt ein Verzeichnis der eingesetzten Hardware und der verwendeten Anwendungsprogramme auf das der Datenschutzbeauftragte jederzeit zugreifen kann.

Bei Verdacht des Diebstahls von Hard- und Software, des unbefugten Zugriffs auf personenbezogene Daten, von Sabotage etc. sind die IT-Abteilung und der Datenschutzbeauftragter unverzüglich zu informieren. Näheres regelt die Verfahrensanweisung „Verhaltensmaßnahmen bei einer Datenpanne“ in Ziff. 17 dieser Richtlinie.

 

12. Verpflichtung zur Sensibilisierung der Mitarbeiter

Jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, ist auf einen vertraulichen Umgang mit personenbezogenen Daten und die Einhaltung dieser Richtlinie zu verpflichten.

Die Verpflichtung erfolgt unter Verwendung des hierzu vorgesehenen Formulars und unter Aushändigung des vom Datenschutzbeauftragten erstellten Merkblatts durch die Personalabteilung (HR).

Der Datenschutzbeauftragte ist über die Verpflichtung von Mitarbeitern und deren Arbeitsplatz zwecks von ihm vorzunehmender Sensibilisierungsmaßnahmen sowie zur Feststellung evtl. Kontrollbedarfs zu informieren.

Für in Abstimmung mit den jeweiligen Abteilungs-/Teamleitungen angesetzte Sensibilisierungsmaßnahmen sind die betroffenen Mitarbeiter soweit es der betriebliche Ablauf erlaubt, freizustellen.

 

13. Transparenz der Datenverarbeitung

Über Verfahren, die den Umgang mit personenbezogenen Daten betreffen, führt der Daten-schutzbeauftragte ein für jedermann einsehbares Verzeichnis von Verarbeitungen gem. Art. 30 DSGVO.

Der Datenschutzbeauftragte ist bei der Planung zur Einführung neuer Verarbeitungen bzw. der Veränderung bestehender Verfahren über Zweck und Inhalt der Anwendung und die Erfüllung der Benachrichtigungspflicht zu informieren. Bei standardisierten

Erhebungen (Fragebögen, Preisausschreiben, Eingabefelder auf der Internet-Homepage etc.) ist der Erhebungsbogen etc. dem Datenschutzbeauftragten zwingend zur Abstimmung vorzulegen.

Macht ein Betroffener von seinem Auskunftsrecht nach Art. 15 DSGVO oder seinem Korrektur- oder Widerspruchsrecht nach Art. 16 und Art. 21 DSGVO Gebrauch, so erfolgt die zentrale Bearbeitung durch die zuständige Fachabteilung. Im Zweifelsfall ist der Datenschutzbeauftragte über den Vorgang zu informieren. Auskunfts- und Einsichtsrechte von Mitarbeitern werden durch die Personalabteilung (HR) erfüllt.

Es ist sicherzustellen, dass dem Betroffenen seine Daten auf Wunsch in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden können. Welcher Standard diesen Anforderungen genügt, ist im Vorfeld einvernehmlich durch den Datenschutzbeauftragter und die IT-Abteilung festzulegen.

 

14. Rechenschafts- und Dokumentationspflichten

Die Einhaltung der Vorgaben, die sich aus dieser Richtlinie ergeben, muss jederzeit nachweisbar sein. Eine Nachweisbarkeit hat insbesondere durch eine schlüssige und nachvollziehbare schriftliche Dokumentation hinsichtlich getroffener Maßnahmen und dazugehöriger Abwägungen zu erfolgen. Dieses trifft insbesondere die Belegbarkeit der Einhaltung der technischen und organisatorischen Maßnahmen

  • zur Vertraulichkeit nach Art. 32 Abs. 1 lit. b DSGVO
  • zur Integrität nach Art. 32 Abs. 1 lit. b DSGVO
  • zur Pseudonymisierung nach Art. 32 Abs. 1Lit a DSGVO
  • zur Verfügbar- und Belastbarkeit nach Art. Art. 32 Abs. 1 lit b DSGVO
  • sowie zu vorgehaltenen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung nach Art. 32 Abs. 1 lit. d i. V. m. Art. 25 Abs. 1 DSGVO

Alle zutreffenden Maßnahmen sind konkret zu dokumentieren – pauschale, nicht qualifizierte Aussagen und/oder Wiederholungen der gesetzlichen Vorschriften genügen hierbei nicht, da eine nicht korrekte Benennung oder eine Unterlassung im Sinne der DSGVO bereits den Buß-geldtatbestand erfüllt.

 

15. Rechte der Betroffenen

Das Unternehmen stellt sicher, dass den betroffenen Person alle Informationen (gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34 der DV-GVO), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache übermittelt werden kann. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Nach wie vor gilt die Informationspflicht bei Erhebung von personenbezogenen Daten gegenüber betroffenen Personen. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln

 

Zusätzlich zu diesen Informationen stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.

Abweichendes gilt für den Fall, wenn personenbezogene Daten nicht bei der betroffenen Person direkt erhoben werden. In diesem Fall greift Art. 14 der DSGVO abweichend.

Es werden  Prozesse vorgehalten, die frist- und formgerecht ein Auskunftsrecht nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Datenlöschung nach Art. 17 sowie das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sicherstellen. Auch die Mitteilungspflicht nach Art. 19 DSGVO im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung wird sichergestellt.

Nach Art. 21 DSGVO wird das Recht auf Widerspruch von betroffenen Personen sichergestellt. Liegt ein Widerspruch eines Betroffenen vor, wird dafür Sorge getragen, dass diese personenbezogenen Daten nicht mehr verarbeitet werden, es sei denn, es bestehen zwingende schutzwürdige Gründe für die Verarbeitung.

 

16. Verfahrensanweisung zur Risikominimierung durch Datenschutz-Folgenabschätzung

a) Bei jedem Verfahren ist zu klären: Wie hoch ist der Schutzbedarf? Wie sensibel sind die Daten für den Betroffenen?

b) Bei jedem Verfahren ist zu klären: Wie hoch ist die Eintrittswahrscheinlichkeit? Wie interessant sind die Daten für einen Dritten (z. B. Hacker)?

c) Fragen Sie sich bei jedem Verfahren: Entspricht die Verarbeitung den von der „Datenschutzgruppe nach Artikel 35 DSGVO festgelegten Kriterien? Davon ist insbesondere in folgenden Fällen auszugehen:

  • Bewerten oder Einstufen (z. B. Scoring, Profiling, Evaluation)
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Systematische Überwachung
  • Vertrauliche Daten oder höchst persönliche Daten  (besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO)
  • Abgleichen oder Zusammenführen von Datensätzen (insbesondere in überraschender Form)
  • Daten zu schutzbedürftigen Betroffenen (z. B. Kinder, Arbeitnehmer)
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer
    Lösungen (z. B. Biometrische Identifikation)
  • Hinderung betroffener Personen an der Ausübung von Rechten oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags

d) Zu jedem Verfahren ist einzuschätzen:

  • Besteht ein hoher Schutzbedarf für den Betroffenen und / oder hohes Interesse Dritter an den Daten?
  • Werden zwei oder mehr der Kriterien nach Artikel 35 DSGVO erfüllt?

e) Sollten d) und / oder e) mit “Ja” zu beantworten sein, sollte eine DSFS durchgeführt werden.

f) Entscheidungsfindung ist dokumentieren.

 

17. Verfahrensanweisung „Verhaltensmaßnahmen bei einer Datenpanne

Das Unternehmen ist verpflichtet, den Aufsichtsbehörden nach Art. 33 Abs. 1 DSGVO eine Datenpanne zu melden, wenn dadurch der Schutz der sensiblen Daten gem. Art. 9 Abs. 1 DSGVO verletzt wurde.

Meldepflichtig ist jede Verletzung der Sicherheit, die zu Vernichtung, Verlust, Veränderung zu unbefugter Offenlegung oder zu unbefugtem Zugang zu diesen persönlichen Daten führt. Es ist dabei ausreichend, wenn es entweder offensichtlich ist, dass Dritte Kenntnis erlangt haben, oder wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann.

Eine Informationspflicht kommt auch in Fällen des Datenverlusts in Betracht, wenn Laptops, Smartphones usw. an Orten verloren gehen, wo sie Dritten zugänglich sind und die Daten nicht verschlüsselt sind. Gleiches gilt, wenn Daten gestohlen oder illegal aus IT-Systemen abgerufen werden.

Eine Zugangssperre, etwa in Form des Windows-Login, reicht nicht aus. Diese kann technisch leicht umgangen werden. Auf ein etwaiges Verschulden beim Datenverlust, auf eine selbst initiierte Weitergaben oder auf eine sonstige Mitwirkung der betroffenen Stelle kommt es insgesamt nicht an. Als Datenpanne ist auch anzusehen, wenn Mitarbeiter etwa Daten unbefugt an private eigene E-Mail-Adressen versenden oder auf externen Medien speichern und diese mitnehmen. In solchen Fällen erhält der Mitarbeiter die Daten nicht im Rahmen seiner arbeitsvertraglich festgelegten Befugnisse, sondern als Privatperson. Damit ist er nicht mehr Teil der Organisation, sondern steht außerhalb der betroffenen Stelle und wird mithin zum Dritten. Die Daten, die er mitgenommen hat, sind damit einem Dritten unrechtmäßig zur Kenntnis gelangt.

Im Fall einer Datenpanne ist folgendes zu beachten:

  • Nach dem Bekanntwerden einer solchen Verletzung muss die Meldung an die Aufsichtsbehörde unverzüglich, spätestens jedoch nach 72 Stunden nach dem Bekanntwerden, durch den Datenschutzbeauftragten des Unternehmens erfolgen. Eine spätere Meldung muss eine Begründung für die Verzögerung beigelegt werden.
  • Weiterhin sind auch die Betroffenen selbst durch den Datenschutzbeauftragten zu informieren. Die Regelungen hierzu enthält Art. 34 DSGVO.
  • Aus diesem Grunde sind alle datenschutzrelevanten Vorfälle sofort der Datenschutzbeauftragten sowie der Geschäftsleitung zu melden. Diese entscheiden dann, welche weiteren Maßnahmen ergriffen werden müssen.

 

18. Änderungsmanagement

Die vorliegende Datenschutzanweisung ist vom Datenschutzbeauftragten kontinuierlich einer Überprüfung auf Aktualität zu unterziehen. Hierbei kann er einzelne Fachverantwortliche des Unternehmens hinzuzuziehen.Bei neuen, bzw. Änderungen bestehender Gesetze und sonstiger Vorschriften sind die Inhalte der vorliegenden Anweisung entsprechend anzupassen.