Unternehmensrichtlinie zum Datenschutz/-organisation
Grundsätze
Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen. Deshalb verarbeiten wir die personenbezogenen Daten unserer Mitarbeiter, Kunden sowie Geschäftspartner in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit. In dieser Datenschutzrichtlinie wird beschrieben, welche Arten von personenbezogenen Daten wir erheben, wie diese Daten genutzt werden, an wen sie übermittelt werden und welche Wahlmöglichkeiten und Rechte betroffene Personen im Zusammenhang mit unserer Verarbeitung der Daten haben. Außerdem beschreiben wir, mit welchen Maßnahmen wir die Sicherheit der Daten gewährleisten und wie betroffene Personen Kontakt mit uns aufnehmen können, wenn Fragen zu unseren Datenschutzpraxis bestehen.
Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung und die insoweit bei uns bestehenden Verantwortlichkeiten. Alle Mitarbeiter sind zur Einhaltung der Richtlinie verpflichtet.
Sie richtet sich an
Dabei gelten folgende Grundsätze:
Die datenverarbeitende Hard- und Software ist für betriebliche Aufgaben, und zwar für die jeweils vorgesehenen Zwecke, zu verwenden und gegen Verlust und Manipulation zu sichern. Eine Nutzung für private Zwecke bedarf der ausdrücklichen Genehmigung.
Jeder Mitarbeiter ist in seinem Verantwortungsbereich für die Umsetzung der Richtlinie verantwortlich. Die Einhaltung muss von ihm regelmäßig kontrolliert werden.
Die für die Verarbeitungen der eingesetzten Systeme Verantwortlichen stellen sicher, dass ihre Mitarbeiter (Benutzer) über diese Richtlinie informiert werden; das gilt auch für temporär Beschäftigte.
Der Datenschutzbeauftragte berät bei der Umsetzung der Richtlinie und prüft deren Einhaltung. Insoweit sind alle Adressaten der Richtlinie dem DSB auskunftspflichtig.
Der betriebliche Datenschutzbeauftragte/Datenschutzkoordinatoren
Gesetzlich vorgeschriebener Datenschutzbeauftragter
Wir haben für unser Unternehmen einen Datenschutzbeauftragten bestellt:
Thomas Bellgardt
Käthe-Paulus-Str. 3
88074 Meckenbeuren
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
E-Mail: info@bellgardt.de
Der DSB nimmt die ihm kraft Gesetzes und aus dieser Richtlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seines Fachwissens sowie seiner beruflichen Qualifikation wahr.
Der Datenschutzbeauftragte berät die Unternehmensleitung sowie die Beschäftigten hinsichtlich ihrer Datenschutzpflichten. Ihm obliegt die Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter.
Im Falle risikoreicher Datenverarbeitungen steht der DSB dem Verantwortlichem beratend bei der Abschätzung des Risikos zur Seite.
Der DSB berichtet unmittelbar der Unternehmensleitung.
Der DSB wird frühzeitig in alle Datenschutzfragen eingebunden und wird sowohl von der Unternehmensleitung als auch den Beschäftigten bei der Erfüllung seiner Aufgaben unterstützt.
Soweit es sich aufgrund organisatorischer Gegebenheiten als notwendig erweist, ernennt die
Geschäftsleitung im Benehmen mit dem DSB für die jeweilige Organisationseinheit einen Datenschutzkoordinator.
Der Koordinator ist also insoweit ein dem DSB fachlich zugewiesener Mitarbeiter zur Einhaltung der für das Unternehmen geltenden Datenschutz-Vorschriften. Er informiert den DSB über vor Ort aufgetretene Datenschutzfragen. Er erhebt die Angaben über in seinem Zuständigkeitsbereich gesondert eingesetzte Verfahren und gibt die Meldung an den DSB weiter.
Das Unternehmen führt ein Verzeichnis über alle Verarbeitungsvorgänge. In jeder Fachabteilung wird mindestens einer Person die Verantwortung übertragen, die dafür notwendigen Informationen zu den Verfahren der jeweiligen Abteilung zusammenzutragen und diese entsprechend den Anforderungen des Art. 30 DSGVO-EU zu dokumentieren. Bei Unklarheiten hinsichtlich der gesetzlich geforderten Informationen kann der Datenschutzbeauftragte beratend hinzugezogen werden. Dem Datenschutzbeauftragten ist eine Kopie des Verfahrensverzeichnisses zu übergeben.
Auf Anfrage stellt das Unternehmen der Aufsichtsbehörde das Verzeichnis zur Verfügung. Im Einvernehmen mit der Unternehmensleitung ist hierfür der Datenschutzbeauftragte zuständig und arbeitet mit der Aufsichtsbehörde zusammen.
Jeder Mitarbeiter kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an den DSB wenden, wobei auf Wunsch absolute Vertraulichkeit gewahrt wird.
Der DSB berichtet jährlich in einem Tätigkeitsbericht der Geschäftsführung über stattgefundene Prüfungen, Beanstandungen und ggf. noch zu beseitigende Organisationsmängel. Soweit der Bericht die Verarbeitung von Personaldaten oder Fragen der betrieblichen Organisation betrifft, wird er auch dem Betriebsrat zugänglich gemacht.
Beschaffung/Hard- und Software
Die Beschaffung von Hard- und Software erfolgt grundsätzlich auf Anforderung der über die Verarbeitungen entscheidenden Person/Abteilung durch die zentrale Beschaffung. Bereits bei der Auswahl von Hard-und Software wird das Prinzip der Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als ein tragendes Kriterium beachtet.
Die Verfahrensanweisung Dokumentation von Verarbeitungstätigkeiten, Auftragsverarbeitung und Datenschutzfolgenabschätzung sowie das interne Dokument Verarbeitungsverzeichnis_Auftragsverarbeitungsverzeichnis_Datenschutzfolgenabschätzung_Maßnahmenverzeichnis sind maßgeblich.
Falls mit der Beschaffung ein neues Verfahren der Verarbeitung personenbezogener Daten eingeführt werden soll, wird der Datenschutzbeauftragte rechtzeitig vorab von der anfordernden Stelle informiert. Der DSB berät dahingehend, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist. Die Durchführung einer Datenschutz-Folgenabschätzung richtet sich nach dem internen Dokument Verarbeitungsverzeichnis_Auftragsverarbeitungsverzeichnis_Datenschutzfolgenabschätzung_Maßnahmenverzeichnis.
Private Hard- und Software dürfen nicht zur Verarbeitung personenbezogener Daten Verwendung finden. Die dienstliche Nutzung privater Hard- und Software im heimischen und außerbetrieblichen Bereich (z.B. private Notebooks) bedarf der Genehmigung durch den Verantwortlichen im Einzelfall.
Die IT-Abteilung führt ein Verzeichnis der eingesetzten Hardware und der verwendeten Anwendungsprogramme. Der DSB erhält eine Kopie.
Bei Verdacht des Diebstahls von Hard- und Software, des unbefugten Zugriffs auf personenbezogene Daten, von Sabotage etc. werden die zuständige Abteilung und der DSB unverzüglich informiert. Näheres regelt die Verfahrensanweisung Data Breach Notification.
Verpflichtung/Schulung der Mitarbeiter
Jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, ist auf einen vertraulichen Umgang mit personenbezogenen Daten und die Einhaltung dieser Richtlinie verpflichtet.
Die Verpflichtung erfolgt unter Verwendung des hierzu vorgesehenen Formulars und unter Aushändigung des erstellten Merkblatts durch die Personalabteilung.
Transparenz der Datenverarbeitung
Über Verfahren, die den Umgang mit personenbezogenen Daten betreffen, führen wir ein Verzeichnis von Verarbeitungen gem. Art. 30 DSGVO-EU. Gleiches gilt für Veränderungen (Change Request). Der Datenschutzbeauftragte ist bei der Planung der Einführung neuer Verarbeitungen bzw. der Veränderung bestehender Verfahren über Zweck und Inhalt der Anwendung und die Erfüllung der Benachrichtigungspflicht informiert. Bei standardisierten Erhebungen (Fragebögen, Preisausschreiben, Eingabefelder auf der Internet-Homepage etc.) wurde der Erhebungsbogen etc. dem Datenschutzbeauftragten zur Abstimmung vorgelegt. Sofern festgestellt wurde, dass die beabsichtigten Verarbeitungen einer Datenschutz-Folgenabschätzung unterliegen, werden diese durchgeführt. Sofern Zweifel über die Notwendigkeit einer Datenschutzfolgenabschätzung bestehen entscheidet die Unternehmensführung.
Macht ein Betroffener von seinem Auskunftsrecht nach Art. 15 DSGVO-EU oder seinem Korrektur oder Widerspruchsrecht nach Art. 16 und Art. 21 DSGVO-EU Gebrauch, so erfolgt die zentrale Bearbeitung durch den Datenschutzbeauftragten (bei Unternehmen mit regelmäßigen Auskunftsbegehren kann auch eine Zuständigkeit der Fachabteilung zweckmäßig sein). Auskunfts- und Einsichtsrechte von Mitarbeitern werden durch die Personalverwaltung erfüllt. Es wird sichergestellt, dass dem Betroffenen seine Daten auf Wunsch in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden können. Welcher Standard diesen Anforderungen genügt, ist im Vorfeld einvernehmlich durch den DSB und die IT-Abteilung festzulegen.
Erhebung/Verarbeitung von personenbezogenen Daten
Die Erhebung und Verarbeitung personenbezogener Daten erfolgt nur im Rahmen des rechtlich Zulässigen. Hierbei werden auch die besonderen Voraussetzungen für die Erhebung und Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DSGVO beachtet. Vor Einführung neuer Arten von Erhebungen prüfen wir grundsätzlich die Zulässigkeit der bestimmenden Zweckbestimmung der Daten durch den für die Anwendung Verantwortlichen und dokumentieren diese schriftlich.
Datenhaltung/Versand/Löschung
Die Speicherung von Daten erfolgt grundsätzlich auf unseren Netzlaufwerken. Eine Speicherung auf mobilen Datenträgern oder Cloudspeicher erfolgt nicht.
Gesetzliche Aufbewahrungsfristen und Löschungstermine werden von dem über die Verarbeitung der Daten Entscheidenden in seiner Verantwortung zu beachtet.
Externe Dienstleister/Auftragsverarbeitung/ Wartung
Sofern externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelnen Verarbeitungsschritten (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten (z.B. Wartung, Reparatur) beauftragt werden, bei denen sie die Möglichkeit der Kenntnis personenbezogener Daten bekommen, so wird der Datenschutzbeauftragte vor der Beauftragung unter Vorlage des den Anforderungen des Art. 28 DSGVO-EU genügenden Vertragsentwurfs und der Kriterien der erfolgten bzw. nachfolgend vorgesehenen Auftragskontrolle informiert. Entsprechendes gilt für die Unterbeauftragung entsprechender Tätigkeiten im Auftrag Dritter.
Sicherheit der Verarbeitung
Für jedes Verfahren wurde eine dokumentierte Schutzbedarfsfeststellung sowie eine Analyse bzgl. der für den Betroffenen möglichen Risiken erstellt. Diese richten sich an der Art, dem Umfang, der Umstände und Zwecke der Verarbeitung sowie der Wahrscheinlichkeit des Eintritts einer solchen Gefahr.
Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität der Daten sowie der Belastbarkeit der Daten verarbeitenden Systeme haben wir ein allgemeines Sicherheitskonzept erstellt. Das Konzept orientiert sich an der zuvor erstellten Schutzbedarfsfeststellung und der Risikoanalyse. Dieses Konzept ist maßgeblich für alle weiteren Verfahren.