Unternehmensrichtlinie zur Datenschutzorganisation

1 Zweck und Inhalt der Datenschutzrichtlinie

1.1 Der Schutz personenbezogener Daten ist dem Unternehmen ein wichtiges Anliegen.

1.2 Deshalb verarbeitet das Unternehmen die personenbezogenen Daten der in ihm Beschäftigten, der Kunden sowie der Geschäftspartner in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit. Diese sind ab dem 25.05.2018 maßgeblich durch die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetzt (mit den ergänzenden nationalen Vorschriften) bestimmt.

1.3 In dieser Datenschutzrichtlinie wird beschrieben, wie der Umgang mit personenbezogenen Daten im Unternehmen gehandhabt wird.

1.4 Diese Datenschutzrichtline regelt die datenschutzkonforme Informationsverarbeitung und die insoweit im Unternehmen bestehenden Verantwortlichkeiten und ist die verbindliche Basis für einen rechtskonformen und nachhaltigen Schutz personenbezogener Daten im Unternehmen.

1.5 Mit dieser Datenschutzrichtlinie sollen die Grundrechte und Grundfreiheiten von Betroffenen, insbesondere ihr Recht auf Schutz personenbezogener Daten gewahrt und geschützt werden.

1.6 Die Gebote und Verbote dieser Datenschutzrichtlinie gelten für jeglichen Umgang mit personenbezogenen Daten, unabhängig ob dieser elektronisch oder in Papierform vonstattengeht.

2 Zugänglichkeit

Diese Datenschutzrichtline ist im unternehmerischen Intranet bekannt gemacht.

3 Informationsverpflichtung

Alle Beschäftigten sind verpflichtet, die im unternehmerischen Intranet unter der Rubrik „Datenschutz“ bekannt gemachten Dokumente zur Kenntnis zu nehmen und zu beachten.

4 Verbindlichkeit

4.1 Alle Beschäftigten des Unternehmens sind zur Einhaltung dieser Datenschutzrichtlinie verpflichtet. Diese enthält Bestimmungen zum Inhalt des Arbeitsvertrags bzw. Anstellungsvertrags, auch wenn die Arbeitsbedingungen dort keine allgemeinen oder besonderen datenschutzrechtlichen Regelungen enthalten sollten. Die Richtlinie enthält insoweit neben beschreibenden Vorgängen bzw. Zuständen auch arbeitsrechtliche Weisungen.

4.2 Neben dieser Datenschutzrichtlinie sind weitere, besondere bzw. bereichsspezifische Datenschutzrichtlinien gleichermaßen mit Beginn ihrer Bekanntmachung im Unternehmen zu beachten. Diese betreffen insbesondere die zur Realisierung der Datensicherungsgebote des Art. 32 DS-GVO zu treffende Maßnahmen.

5 Adressaten

5.1 Die Datenschutzrichtlinie richtet sich an:

  • die Personen oder Fachabteilungen, die über den Einsatz/die Bereitstellung eines Anwendungssystems entscheiden (nachstehend: „IT-Abteilung“),
  • die Personen oder Fachabteilungen, die über die Nutzung des Systems für ihre Aufgaben entscheiden,
  • die Benutzer, d.h. diejenigen, die das zur Verfügung gestellte System für die Erledigung ihrer betrieblichen Aufgaben nutzen (bei Speicherung personenbezogener Daten auf einem Arbeitsplatzrechner entscheidet der einzelne Benutzer ggf. auch über die im System erfolgende Verarbeitung und die dazu verwendeten Programme),
  • den betrieblichen Datenschutzbeauftragten (DSB), der den Datenschutz im Unternehmen beratend und kontrollierend begleitet und die ihm speziell zugewiesenen Aufgaben wahrzunehmen hat.

5.2 Dabei gelten folgende Grundsätze:

  • die datenverarbeitungstechnische Hard- und Software sind für betriebliche Aufgaben, und zwar für die jeweils vorgesehenen Zwecke, zu verwenden und gegen Verlust und Manipulation zu sichern,
  • eine Nutzung für private Zwecke bedarf der ausdrücklichen Genehmigung der Unternehmensleitung,
  • jeder Beschäftigte ist in seinem Verantwortungsbereich für die Umsetzung der Richtlinie verantwortlich. Die Einhaltung muss von ihm regelmäßig kontrolliert werden,
  • die für die Verarbeitungen der eingesetzten Systeme Verantwortlichen stellen sicher, dass ihre Mitarbeiter (Benutzer) über diese Datenschutzrichtlinie informiert werden; das gilt auch für temporär Beschäftigte, insbesondere für Auszubildende oder Praktikanten,
  • der Datenschutzbeauftragte berät bei der Umsetzung der Datenschutzrichtlinie und prüft deren Einhaltung. Insoweit sind alle Adressaten dieser Datenschutzrichtlinie dem DSB auskunftspflichtig.

6 Begriffsbestimmungen

Im Sinne dieser Datenschutzrichtlinie bezeichnet der Ausdruck:

  • „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind,
  • „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
  • „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken,
  • „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen,
  • „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden,
  • „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird,
  • „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden,
  • „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet,
  • „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung,
  • „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten,
  • „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

7 Der betriebliche Datenschutzbeauftragte/ Datenschutzkoordinatoren

7.1 Das Unternehmen hat nach Maßgabe des Artikels 37 DS-GVO einen Datenschutzbeauftragten (DSB) bestellt.

7.2 Der DSB nimmt die ihm kraft Gesetzes und aus dieser Datenschutzrichtlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seines Fachwissens sowie seiner beruflichen Qualifikation wahr.

7.3 Der Datenschutzbeauftragte unterrichtet und berät die Unternehmensleitung sowie die Beschäftigten hinsichtlich ihrer Datenschutzpflichten. Ihm obliegt die Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Unternehmens (des datenschutzrechtlichen „Verantwortlichen“ für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Beschäftigten.

7.4 Der DSB berichtet unmittelbar der Unternehmensleitung.

7.5 Der DSB wird frühzeitig in alle Datenschutzfragen eingebunden und wird sowohl von der Unternehmensleitung als auch den Beschäftigten bei der Erfüllung seiner Aufgaben unterstützt.

7.6 Die Unternehmensleitung kann einen Datenschutzkoordinator bestellen, der Aufgaben des DSB teilweise wahrnehmen und für diesen unterstützend tätig werden kann. Der Datenschutzkoordinator informiert den DSB über vor Ort aufgetretene Datenschutzfragen. Er erhebt die Angaben über in seinem Zuständigkeitsbereich gesondert eingesetzte Verfahren und gibt die Meldung an den DSB weiter.

7.7 Jeder Beschäftigte kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an den DSB wenden, wobei auf Wunsch absolute Vertraulichkeit gewahrt wird.

8 Beschaffung/Hard- und Software/Einführung neuer Verfahren

8.1 Die Beschaffung von Hard- und Software erfolgt grundsätzlich auf Anforderung der über die Verarbeitungen entscheidenden Person/Abteilung durch die zentrale DV-Beschaffung.

8.2 Bereits bei der Auswahl von Hard-und Software wird das Prinzip der Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design, Privacy by Default) als ein tragendes Kriterium beachtet. Der Datenschutz ist von Anfang an in die Spezifikationen und die Architektur von Datenverarbeitungssystemen zu integrieren, um die Einhaltung der Grundsätze des Schutzes der Privatsphäre und des Datenschutzes zu erleichtern, so insbesondere den Grundsatz der Datenminimierung.

8.3 Falls mit der Beschaffung ein neues Verfahren der Verarbeitung personenbezogener Daten eingeführt werden soll, insbesondere ein durch Software unterstütztes Verfahren, ist der Datenschutzbeauftragte rechtzeitig vorab von der anfordernden Stelle zu informieren. Die Beschaffung erfolgt erst nach Stellungnahme des DSB. Auch bei diesen neuen Verfahren wird das Prinzip der Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als ein tragendes Kriterium beachtet.

8.4 Investitionen in Hardware, Software und Verfahren ohne Beachtung der Regeln über Privacy by Design, Privacy by Default sind zu vermeiden.

8.5 Der DSB berät dahingehend, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist.

9 Private Hard- und Software

Private Hard- und Software dürfen nicht zur Verarbeitung personenbezogener Daten des Unternehmens Verwendung finden. Die dienstliche Nutzung privater Hard- und Software im heimischen und außerbetrieblichen Bereich (z.B. private Notebooks) bedarf der Genehmigung durch die IT-Abteilung im Einzelfall.

10 Verpflichtungserklärungen

Jeder Beschäftigte, der Umgang mit personenbezogenen Daten hat, ist auf einen vertraulichen Umgang mit personenbezogenen Daten und die Einhaltung dieser Datenschutzrichtlinie und der besonderen bzw. bereichsspezifischen Richtlinien zum Datenschutz gesondert zu verpflichten. Die Verpflichtung erfolgt unter Verwendung des hierzu vorgesehenen Formulars und unter Aushändigung eines vom DSB erstellten Merkblatts durch die Personalabteilung.

Die Verpflichtungserklärung wird zu den Personalakten zu nehmen.

11 Schulung der Beschäftigten

Für Zwecke der Schulung zu personendatenschutzrechtlichen oder informationsrechtlichen Themen werden mit den Beschäftigten während der Arbeitszeit entsprechende Schulungstermine organisiert.

12 Verarbeitungsverzeichnis

Das Unternehmen führt ein Verzeichnis über die Verarbeitungsvorgänge. In jeder Fachabteilung wird mindestens einer Person die Verantwortung übertragen, die dafür notwendigen Informationen zu den Verfahren der jeweiligen Abteilung zusammenzutragen und diese entsprechend den Anforderungen des Art. 30 DS-GVO zu dokumentieren. Bei Unklarheiten hinsichtlich der gesetzlich geforderten Informationen kann der Datenschutzbeauftragte beratend hinzugezogen werden. Auf Anfrage stellt das Unternehmen der Aufsichtsbehörde das Verzeichnis zur Verfügung. Im Einvernehmen mit der Unternehmensleitung ist hierfür der Datenschutzbeauftragte zuständig und arbeitet mit der Aufsichtsbehörde zusammen.

13 Erhebung/Verarbeitung von personenbezogenen Daten

13.1 Für die Erhebung und weitere Verarbeitung von personenbezogenen Daten geht das Gesetz von einem grundsätzlichen Verbot aus. Das Gesetz gestattet in Art. 6 DS-GVO einem Verarbeitenden die Verarbeitung außerhalb ausschließlich familiärer oder persönlicher Tätigkeiten demgemäß nur ausnahmsweise aufgrund eines Erlaubnistatbestandes. Die Erhebung und weitere Verarbeitung personenbezogener Daten darf deshalb nur im Rahmen des rechtlich Zulässigen erfolgen. Die für das Unternehmen in Betracht kommenden Erlaubnistatbestände sind in aller Regel folgende:

  • die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben,
  • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen,
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der das Unternehmen unterliegt,
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

13.2 Es sind auch die besonderen Voraussetzungen für die Erhebung und Verarbeitung „besonderer Kategorien personenbezogener Daten“, sog. „sensibler Daten“ gemäß Art. 9 Abs. 1 DS-GVO zu beachten.

13.3 Erforderlichkeitsgrundsatz: Grundsätzlich dürfen insbesondere nur solche Informationen im Unternehmen erhoben und weiterverarbeitet und genutzt werden, die zur betrieblichen Aufgabenerfüllung erforderlich sind und in unmittelbarem Zusammenhang mit dem Verarbeitungszweck stehen. Was nicht erforderlich ist, darf nicht verarbeitet werden.

13.4 Zweckbindungsgrundsatz: Außerhalb des Zwecks, für den personenbezogene Daten erhoben worden sind, dürfen diese nur verarbeitet werden, wenn die Verarbeitung mit denjenigen Zwecken vereinbar ist, für die die Daten ursprünglich erhoben worden sind. Die im Rahmen der Zweckänderung genutzten Abwägungs-Kriterien sind einzeln zu prüfen. Eine Zweckänderung ist auch zulässig, wenn eine Einwilligung der betroffenen Person durch den Verantwortlichen eingeholt wird. Gleichzeitig hat der für die Verarbeitung Verantwortliche vor der Erhebung bzw. der Speicherung von Daten schriftlich festzulegen, ob und in welcher Art und Weise der gesetzlichen Benachrichtigungspflicht des Betroffenen zu genügen ist.

13.5 Falls andere Stellen Informationen über Betroffene anfordern, dürfen diese ohne Einwilligung des Betroffenen nur gegeben werden, wenn hierfür eine gesetzliche Verpflichtung oder ein die Weitergabe rechtfertigendes legitimes Interesse des Unternehmens besteht und die Identität des Anfragenden zweifelsfrei feststeht. Im Zweifel ist der DSB zu kontaktieren.

14 Die Datenschutzgrundsätze

14.1 Das Gesetz fordert für jede Datenverarbeitung die Einhaltung von Grundsätzen und möchte die geforderten Gewährleistungsziele - situationsbezogen - möglichst optimal gewährleistet sehen. Personenbezogene Daten müssen demnach insbesondere

  • in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Transparenzgrundsatz“),
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindungsgrundsatz“),
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierungsgrundsatz“),
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Grundsatz der „Richtigkeit“),
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Grundsatz der „Speicherbegrenzung“) und
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Grundsätze der „Integrität“ und „Vertraulichkeit“).

14.2 Das Unternehmen ist für die Einhaltung dieser Datenschutzgrundsätze verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Demgemäß sind die Beschäftigten des Unternehmens gehalten, im Unternehmen an der möglichst optimalen Einhaltung der Datenschutzgrundsätze mitzuwirken.

15 Datenminimierung

Der Umgang mit personenbezogenen Daten ist insbesondere an dem Ziel auszurichten, so wenige Daten wie möglich von einem Betroffenen zu erheben, zu verarbeiten oder zu nutzen („Datenminimierungsgrundsatz“).

16 Datenhaltung/Versand/Löschung

16.1 Die Speicherung von Daten erfolgt grundsätzlich auf den hierzu zur Verfügung gestellten Netzlaufwerken. Eine Speicherung auf mobilen Datenträgern oder Cloudspeicher (z.B. Flashspeicher, Streamer-Bändern) bedarf der Zustimmung durch die IT-Abteilung und der Registrierung durch die den Träger einsetzende Abteilung/Benutzer. Bei Netzwerken ist die IT-Abteilung für die Sicherung der Daten verantwortlich, die auf dem Server gespeichert sind.

16.2 Soweit technisch bedingt ein anderer Speicherort erforderlich ist (z.B. Notebook, Desktop-PC) ist der jeweilige Benutzer für die Durchführung der Datensicherung selbst verantwortlich. Ist ein Netzzugang möglich (z.B. bei Notebook mit WLAN, Tablet), ist zumindest einmal wöchentlich der aktuelle Datenbestand auf das für den Benutzer reservierte Netzlaufwerk zu überspielen.

17 Profiling

Es wird sichergestellt, dass Betroffene keiner Entscheidung unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen und zugleich den Betroffenen gegenüber eine rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen (bspw. Profiling).

18 Pseudonymisierung, Anonymisierung

Wenn möglich, sollte auf einen personenbezogenen Datenumgang verzichtet werden. Pseudonyme oder anonyme Datenverarbeitungen sind vorzuziehen.

19 Informationspflichten des Unternehmens bei Direkterhebungen

19.1 Werden durch die Beschäftigten in Kenntnis des Betroffenen oder mit dessen Mitwirkungen personenbezogenen Daten von diesem erhoben (beschafft), so ist darauf zu achten, dass dieser Betroffene bereits zum Zeitpunkt der Erhebung umfassend über den Umgang mit seinen Daten informiert wird, wenn er nicht schon informiert ist. Die Information hat die Information im Sinne des Art. 13 DS-GVO zu beinhalten, um eine faire und transparente Verarbeitung zu gewährleisten.

19.2 Die Information ist in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

20 Informationspflichten des Unternehmens bei Dritterhebungen

20.1 Werden durch die Beschäftigten ohne Kenntnis des Betroffenen bzw. ohne dessen Mitwirkungen personenbezogenen Daten von einem Dritten erlangt (also erhoben/beschafft), so ist darauf zu achten, dass dieser Betroffene im Zeitpunkt, den das Gesetz  in Art. 14 DS-GVO bestimmt, umfassend über den Umgang mit seinen Daten informiert wird, wenn er nicht schon informiert ist oder das Gesetz ein Absehen von der Information erlaubt. Die Information hat die Information im Sinne des Art. 14 DS-GVO zu beinhalten, um eine faire und transparente Verarbeitung zu gewährleisten.

20.2 Ziffer 19.2 gilt entsprechend.

21 Datenübermittlung

21.1 Die Übermittlung von personenbezogenen Daten an Dritte ist ebenfalls nur aufgrund gesetzlicher Erlaubnis, insbesondere für vertragliche Zwecke oder der Einwilligung des Betroffenen zulässig.

21.2 Befindet sich der Empfänger personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, bedarf es besonderer Maßnahmen zur Wahrung von Rechten und Interessen Betroffener. Eine Datenübermittlung ist zu unterlassen, wenn bei der empfangenden Stelle kein angemessenes Datenschutzniveau vorhanden ist oder beispielsweise über besondere Vertragsklauseln nicht hergestellt werden kann.

22 Aufbewahrungsfristen, Löschkonzept

Gesetzliche Aufbewahrungsfristen und Löschungstermine richten sich nach dem im Unternehmen bekannt gemachten Löschkonzept des Unternehmens.

23 Betroffenenrechte, Beschwerden

23.1 Im Unternehmen ist eine besondere Abteilung (Fachabteilung) für die Handhabung der Ausübung bzw. Geltendmachung der Rechte der Betroffenen und für Beschwerden eingerichtet.

23.2 Betroffenenrechte sind:

  • das Auskunftsrecht (Art. 15 DS-GVO),
  • das Recht auf Berichtigung und Löschung (Art. § 16 DS-GVO),
  • das Recht auf Löschung – Recht auf Vergessenwerden (Art. 17 DS-GVO),
  • das Recht auf Einschränkung der Verarbeitung, sog. „Sperrung“ von personenbezogenen Daten (Art. 18 DS-GVO),
  • das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO),
  • das Recht auf „Widerspruch“ (Art. 21 DS-GVO),
  • das Recht auf nicht automatisierte Einzelfallentscheidung inkl. Profiling (Art. 22 DS-GVO).

23.3 Werden durch einen Betroffenen eines oder mehrere dieser Rechte an Beschäftigte des Unternehmens herangetragen, so sind diese Vorgänge ernst zu nehmen und unmittelbar der Fachabteilung zuzuleiten.

23.4 Jeder Betroffene hat auch die Möglichkeit, sich über eine Verarbeitung seiner Daten zu beschweren, sollte er sich hierdurch in seinen Rechten verletzt fühlen. Auch hierfür ist die Fachabteilung zuständig, wenn der Beschwerdeführer eine Reaktion „auf Geschäftsführungsebene“ erwartet.

24 Auskunftsersuchen Dritter über Betroffene

24.1 Im Unternehmen ist eine besondere Abteilung (Fachabteilung) für die Handhabung der Auskunftsersuchung Dritter über Betroffenen eingerichtet. Auch solche Ersuchen sind ernst zu nehmen und unmittelbar der Fachabteilung zuzuleiten.

24.2 Eine Übermittlung von Informationen ist nur zulässig, wenn die Auskunft verlangende Stelle ein berechtigtes Interesse hierfür darlegen kann, und eine gesetzliche Norm zur Auskunft verpflichtet, sowie die Identität des Anfragenden oder der anfragenden Stelle zweifelsfrei feststeht. Das gilt insbesondere für (Strafverfolgungs-)Behörden.

25 Werbliche Ansprachen

Die werbliche Ansprache von Betroffenen per Brief, Telefon, Fax, oder E-Mail ist grundsätzlich nur zulässig, wenn der Betroffene zuvor in einem bestimmten formalisierten Verfahren die Verwendung seiner Daten zu Werbezwecken eingewilligt hat.

26 Auftragsverarbeitungen, Externe Dienstleister, Prüfung und Wartung von IT-Systemen

26.1 Auftragsverarbeitungsverträge nach Art. 28 DS-GVO schließt das Unternehmen in denjenigen Fällen, in welchen das Unternehmen weisungsempfangender Auftragnehmer oder weisungsberechtigter Auftraggeber einer personenbezogenen Datenverarbeitung ist.

26.2 Sollen externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelner Verarbeitungsschritte (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten der Prüfung und Wartung (Reparatur) beauftragt werden, bei denen sie wenigstens die Möglichkeit der Kenntnis personenbezogener Daten bekommen, so ist grundsätzlich zum Dienstleistungsvertragsverhältnis ein besonderer datenschutzrechtlicher Vertrag über die Auftragsverarbeitung nach Art. 28 DS-GVO mit dem Unternehmen als Auftraggeber und dem Dienstleister als weisungsgebundenem Auftragnehmer abzuschließen. Nur ausnahmsweise kann eine Vertraulichkeitsvereinbarung ausreichend sein.

26.3 Sofern externe Dienstleister Zugriff auf personenbezogene Daten erhalten sollen, ist der DSB vorab zu informieren.

26.4 Dienstleister mit einem möglichen Zugriff auf personenbezogene Daten sind vor der Auftragserteilung sorgfältig auszuwählen. Die Auswahl ist zu dokumentieren und sollte insbesondere die folgenden Aspekte berücksichtigen:

  • Fachliche Eignung des Auftragnehmers für den konkreten Datenumgang
  • Technisch-organisatorische Sicherheitsmaßnahmen
  • Erfahrung des Anbieters im Markt
  • Sonstige Aspekte, die auf eine Zuverlässigkeit des Anbieters schließen lassen (Datenschutz-Dokumentationen, Kooperationsbereitschaft, Reaktionszeiten etc.)

26.5 Der Dienstleister ist im Hinblick auf die mit ihm vertraglich vereinbarten technisch-organisatorischen Maßnahmen regelmäßig zu überprüfen. Das Ergebnis ist zu dokumentieren.

27 Verfügbarkeit, Vertraulichkeit und Integrität von Daten, Sicherheit der Verarbeitung

27.1 Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität der Daten sowie der Belastbarkeit der Daten verarbeitenden Systeme wird ein allgemeines Sicherheitskonzept gepflegt. Das Konzept orientiert sich an einer Schutzbedarfsfeststellung und der Risikoanalyse. Dieses Konzept ist maßgeblich für alle weiteren Verfahren. Das Sicherheitskonzept ist hinsichtlich der Wirksamkeit der dort vorgesehenen technisch-organisatorischen Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren.

27.2 Für jedes Verfahren gemäß Verfahrensverzeichnis ist eine dokumentierte Schutzbedarfsfeststellung sowie eine Analyse bzgl. der für den Betroffenen möglichen Risiken zu pflegen. Diese richten sich an der Art, dem Umfang, der Umstände und Zwecke der Verarbeitung sowie der Wahrscheinlichkeit des Eintritts einer solchen Gefahr.

27.3 Passwörter ermöglichen einen Zugang zu Systemen und den darin gespeicherten personenbezogenen Daten. Sie stellen eine persönliche Kennung des Nutzers dar und sind nicht übertragbar.

27.4 Zugriffe auf personenbezogene Daten sollen nur diejenigen Personen erhalten, die im Zuge ihrer Aufgabenwahrnehmung Kenntnis von den jeweiligen Daten erhalten müssen („Need-to-know-Prinzip“). Zugriffsberechtigungen sind festgelegt und dokumentiert.

27.5 Datenübertragungen durch öffentliche Netze sind nach Möglichkeit zu verschlüsseln. Eine Verschlüsselung hat zwingend zu erfolgen, falls der Schutzbedarf der personenbezogenen Daten dies erfordert.

28 Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzungen nach Art. 35 Abs. 7 DS-GVO werden für Verfahren durchgeführt, wenn ein hohes Risiko für Rechte und Freiheiten von Betroffen aufgrund der Datenverarbeitung zu erwarten ist.

29 Verletzungen des Schutzes von Daten („Datenpanne“)

29.1 Sollten Unternehmensdaten unrechtmäßig Dritten offenbart worden sein, schaltet das Unternehmen unverzüglich den Datenschutzbeauftragten im Rahmen der Sachverhaltsaufklärung ein.

29.2 Die Erfüllung einer etwaigen Informationspflicht gegenüber der Aufsichtsbehörde erfolgt ausschließlich durch den Datenschutzbeauftragten. Betroffene werden durch die Geschäftsleitung nach Maßgabe des Gesetzes informiert, wobei der Datenschutzbeauftragte beratend hinzugezogen wird.

30 Folgen von Verstößen

Ein Verstoß gegen diese Datenschutzrichtline kann arbeitsrechtliche Maßnahmen nach sich ziehen, einschließlich einer Beendigung des Arbeitsverhältnisses durch Kündigung. Ebenso können bußgeldrechtliche, möglicherweise strafrechtliche Sanktionen und zivilrechtliche Folgen wie Schadenersatz in Betracht kommen.