Datenschutzerklärung der HAVASS Academy & Coaching
- 1 Bedeutung, Zielsetzung, Zugänglichkeit
(1) Diese Unternehmensrichtlinie bildet die verbindliche Grundlage für die rechtskonforme und nachhaltige Sicherung personenbezogener Daten im Unternehmen.
(2) Ziel dieser Unternehmensrichtlinie ist es, die grundlegenden Rechte und Freiheiten der betroffenen Personen, insbesondere das Recht auf Schutz personenbezogener Daten, zu wahren und zu schützen.
(3) Die Unternehmensrichtlinie muss jederzeit für alle Mitarbeiterinnen und Mitarbeiter sowie für alle Verantwortlichen zugänglich sein.
- 2 Geltungsbereich
(1) Diese Richtlinie gilt persönlich für alle Mitarbeiterinnen und Mitarbeiter des Unternehmens.
(2) Die Anforderungen und Verbote dieser Unternehmensrichtlinie gelten für den Umgang mit personenbezogenen Daten, unabhängig davon, ob dies elektronisch oder in Papierform erfolgt. Sie gelten auch für alle Arten von betroffenen Personen (Kunden, Mitarbeiterinnen und Mitarbeiter, Lieferanten usw.).
- 3 Definitionen
(1) Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Kundendaten sind genauso personenbezogene Daten wie Mitarbeiterdaten. Zum Beispiel kann der Name einer Kontaktperson auch verwendet werden, um eine natürliche Person zu identifizieren, ebenso wie deren E-Mail-Adresse. Es genügt, wenn die betreffende Information mit dem Namen der betroffenen Person verknüpft ist oder unabhängig davon aus dem Kontext heraus festgestellt werden kann. Eine Person kann auch identifiziert werden, wenn die Information zunächst mit zusätzlichen Kenntnissen verknüpft werden muss, z. B. bei einem Autokennzeichen. Die Herkunft der Information ist für eine Bezugnahme auf eine Person irrelevant. Auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten darstellen. Customer data is just as much personal data as personnel data of employees. For example, the name of a contact person can also be used to identify a natural person, as can his or her e-mail address. It is sufficient if the information in question is linked to the name of the person concerned or can be established independently of this from the context. A person can also be identified if the information must first be linked to additional knowledge, e.g., in the case of a license plate number. The origin of the information is irrelevant for a reference to a person. Photos, video or audio recordings can also constitute personal data.
(2) Besondere Arten personenbezogener Daten sind Informationen, die die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen sowie mögliche Gewerkschaftszugehörigkeit sowie genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person offenlegen können.
(3) Verarbeitung umfasst jeden Vorgang oder jede Vorgangsreihe, die an personenbezogenen Daten durchgeführt wird, unabhängig davon, ob dies automatisiert erfolgt oder nicht, wie zum Beispiel das Erheben, Aufzeichnen, Organisieren, Speichern, Anpassen oder Verändern, Abrufen, Konsultieren, Nutzen, Übermitteln durch Übermittlung, Verbreiten oder anderweitiges Bereitstellen, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten.
(4) Einschränkung der Verarbeitung bezeichnet die Markierung von gespeicherten personenbezogenen Daten mit dem Ziel, deren zukünftige Verarbeitung einzuschränken.
(5) Profiling bezeichnet jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere um Aspekte in Bezug auf die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
(6) Pseudonymisierung bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
(7) Verantwortlicher bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
(8) Auftragsverarbeiter bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(9) Empfänger bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich um eine Drittpartei handelt oder nicht.
(10) (10) Drittpartei bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die nicht die betroffene Person, den Verantwortlichen, den Auftragsverarbeiter oder diejenigen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, ist.
(11) (11) Einwilligung der betroffenen Person bezeichnet jede freiwillig gegebene, informierte und unmissverständliche Erklärung des Willens der betroffenen Person, die in Form einer Erklärung oder einer anderen eindeutig bestätigenden Handlung erfolgt, mit der die betroffene Person der Verarbeitung personenbezogener Daten zu ihrer Person zustimmt.
- 4 Datenschutzorganisation
(1) Unser Unternehmen hat einen Datenschutzbeauftragten bestellt. Sie erreichen ihn unter den folgenden Kontaktdaten:
Rechtsanwalt Sascha Weller
Institut für Datenschutzrecht
Ziegelbräustraße 7
85049 Ingolstadt
Tel.: +49 (0)841 – 885 167 15
Fax: +49 (0)841 – 885 167 22
E-mail: ra-weller@idr-datenschutz.de
(2) Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO sowie anderer gesetzlicher Vorschriften, einschließlich der Anforderungen dieser und anderer Unternehmensrichtlinien zum Datenschutz. Der Datenschutzbeauftragte berät und informiert die Unternehmensleitung über bestehende datenschutzrechtliche Pflichten und ist für die Kommunikation mit den Aufsichtsbehörden verantwortlich. Ausgewählte Prozesse werden von ihm in zufälliger, risikoorientierter Weise und in angemessenen Abständen überwacht, um sicherzustellen, dass sie den Anforderungen des Datenschutzes entsprechen.
(3) Der Datenschutzbeauftragte erfüllt seine Aufgaben frei von Weisungen und unter Verwendung seines Fachwissens. Er berichtet direkt an die Unternehmensleitung. He shall report directly to the management.
(4) Das Unternehmen oder seine Mitarbeiterinnen und Mitarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben.
- 5 Umgang mit personenbezogenen Daten
(1) Die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt, es sei denn, eine gesetzliche Norm erlaubt dies ausdrücklich. Personenbezogene Daten dürfen nach der DSGVO grundsätzlich verarbeitet werden:
Im Falle einer bestehenden vertraglichen Beziehung mit der betroffenen Person.
Beispiel: Die Speicherung und Verwendung erforderlicher personenbezogener Daten im Rahmen eines Darlehensvertrags.
Im Rahmen vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person sowie bei der Durchführung des Vertrags mit der betroffenen Person.
Beispiel: Kunde K fragt nach Informationen über Produkt X und kauft es. Die für den Versand des Informationsmaterials und die Abwicklung der Rechtsgeschäfte (Lieferung der Waren und Zahlung des Kaufpreises) erforderlichen Daten dürfen verarbeitet werden.
Wenn und soweit die betroffene Person eingewilligt hat.
Beispiel: Die betroffene Person meldet sich für den Erhalt eines Newsletters an.
Wenn eine gesetzliche Verpflichtung besteht, der das Unternehmen unterliegt.
Beispiel: Gesetzliche Aufbewahrungsfristen gemäß Handelsgesetzbuch (HGB) und Abgabenordnung (AO).
Wenn berechtigte Interessen des Unternehmens bestehen, es sei denn, die Interessen oder grundlegenden Rechte der betroffenen Person überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt. Die Verarbeitung von Daten unter Berufung auf ein berechtigtes Interesse sollte jedoch nicht ohne vorherige Rücksprache mit dem Datenschutzbeauftragten erfolgen.
Beispiel: Die Verwendung der Postanschrift zum Versand von Werbebriefen.
(2) Die betroffene Person darf keiner Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung beruht, einschließlich des Profilings, unterworfen werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(3) Personenbezogene Daten dürfen nur für einen zuvor festgelegten, klaren und rechtmäßigen Zweck verarbeitet werden. Eine Datenspeicherung ohne Zweck, wie etwa die Aufbewahrung von Daten, ist nicht zulässig.
(4) Sofern möglich, sollte auf die Verarbeitung personenbezogener Daten verzichtet werden. Pseudonyme oder anonyme Datenverarbeitung ist vorzuziehen.
(5) Die Änderung eines Ziels und Zwecks, auf dem eine Datenverarbeitung ursprünglich beruhte, ist – neben der erklärten Einwilligung der betroffenen Person – nur zulässig, wenn der Zweck der weiteren Verarbeitung mit dem ursprünglichen Zweck vereinbar ist. Insbesondere sind die berechtigten Erwartungen der betroffenen Person im Hinblick auf eine solche weitere Verarbeitung gegenüber dem Unternehmen, die Art der verwendeten Daten, die Konsequenzen für die betroffene Person sowie Möglichkeiten der Verschlüsselung oder Pseudonymisierung zu berücksichtigen.
(6) Die betroffene Person muss bei der Erhebung ihrer personenbezogenen Daten umfassend informiert werden. Die Information umfasst den Zweck, die Identität des Verantwortlichen, die Empfänger ihrer personenbezogenen Daten und alle anderen Informationen im Sinne von Art. 13 DSGVO, um eine faire und transparente Verarbeitung zu gewährleisten. Die Informationen müssen in verständlicher und leicht zugänglicher Form sowie in möglichst einfacher Sprache bereitgestellt werden.
(7) Wenn personenbezogene Daten nicht bei der betroffenen Person erhoben, sondern von einem anderen Unternehmen erhalten werden, muss die betroffene Person im Nachhinein und umfassend über die Verarbeitung ihrer Daten gemäß Art. 14 der DSGVO informiert werden. Dies gilt auch für Änderungen des Zwecks der Datenverarbeitung.
(8) Personenbezogene Daten müssen sachlich korrekt und gegebenenfalls auf dem neuesten Stand sein. Der Umfang der Datenverarbeitung sollte im Hinblick auf den festgelegten Zweck notwendig und relevant sein. Das jeweilige Fachressort muss die Umsetzung durch die Einrichtung geeigneter Prozesse sicherstellen. Auch Datenbestände müssen regelmäßig auf Richtigkeit, Notwendigkeit und Aktualität überprüft werden.
- 6 Besondere Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten dürfen grundsätzlich nur mit Einwilligung der betroffenen Person oder in Ausnahmefällen auf der Grundlage einer ausdrücklichen gesetzlichen Erlaubnis erhoben, verarbeitet oder genutzt werden. Darüber hinaus sind zusätzliche technische und organisatorische Maßnahmen (z. B. Verschlüsselung während der Übertragung, minimale Rechtezuweisung) zum Schutz besonderer Kategorien personenbezogener Daten erforderlich.
- 7 Datenübermittlung
(1) Die Übermittlung personenbezogener Daten an Dritte ist nur auf der Grundlage einer gesetzlichen Erlaubnis oder mit Einwilligung der betroffenen Person zulässig.
(2) Wenn der Empfänger personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ansässig ist, sind besondere Maßnahmen zum Schutz der Rechte und Interessen der betroffenen Personen erforderlich. Eine Datenübermittlung darf unterbleiben, wenn kein angemessenes Datenschutzniveau bei der empfangenden Stelle besteht oder dies beispielsweise durch besondere vertragliche Klauseln nicht hergestellt werden kann.
- 8 Externe Dienstleister
(1) Wenn externen Dienstleistern Zugriff auf personenbezogene Daten gewährt werden soll, muss der Datenschutzbeauftragte im Voraus informiert werden.
(2) Dienstleister, die potenziell Zugriff auf personenbezogene Daten haben, müssen vor Auftragsvergabe sorgfältig ausgewählt werden. Die Auswahl muss dokumentiert werden und sollte insbesondere folgende Aspekte berücksichtigen: The selection must be documented and should consider the following aspects in particular:
Fachliche Eignung des Auftragnehmers für die konkrete Datenverarbeitung
Technisch-organisatorische Sicherheitsmaßnahmen
Erfahrung des Anbieters am Markt
Weitere Aspekte, die auf die Zuverlässigkeit des Anbieters hindeuten (Datenschutzdokumentation, Kooperationsbereitschaft, Reaktionszeiten, etc.)
(3) Wenn ein Dienstleister im Auftrag eines Kunden personenbezogene Daten erheben, verarbeiten oder nutzen soll, ist ein Auftragsverarbeitungsvertrag abzuschließen. In diesem Vertrag müssen datenschutzrechtliche und IT-Sicherheitsaspekte geregelt werden.
(4) Der Dienstleister ist regelmäßig hinsichtlich der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zu überprüfen. Das Ergebnis ist zu dokumentieren.
- 9 Datensparsamkeit, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
(1) Personenbezogene Daten werden mit dem Ziel verarbeitet, so wenig Daten wie möglich von einer betroffenen Person zu erheben, zu verarbeiten oder zu nutzen („Datensparsamkeit“). Insbesondere sollen personenbezogene Daten soweit wie möglich entsprechend dem Verwendungszweck anonymisiert oder pseudonymisiert werden. Im Rahmen einer statistischen Analyse von Daten wird es beispielsweise nicht notwendig sein, den vollständigen Namen einer betroffenen Person zu kennen und zu verwenden. Diese Informationen können vielmehr durch einen zufälligen Wert ersetzt werden, der auch dafür sorgt, dass die zugrunde liegende Information erkennbar bleibt.
(2) Dasselbe gilt für die Auswahl und Gestaltung von Datenverarbeitungssystemen. Datenschutz muss von Anfang an in die Spezifikationen und Architektur von Datenverarbeitungssystemen integriert werden, um die Einhaltung der Grundsätze des Datenschutzes und des Schutzes personenbezogener Daten zu erleichtern, insbesondere den Grundsatz der Datensparsamkeit.
- 10 Rechte der betroffenen Personen
(1) Die betroffenen Personen haben das Recht, Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten, die im Unternehmen gespeichert sind.
(2) Bei der Bearbeitung von Anträgen muss die Identität der betroffenen Person zweifelsfrei festgestellt werden. Bei begründeten Zweifeln an der Identität können zusätzliche Informationen von der Antragstellerin oder dem Antragsteller angefordert werden.
(3) Die Auskunft erfolgt schriftlich, sofern die betroffene Person den Antrag auf Auskunft elektronisch gestellt hat. Die Auskunft wird begleitet von einer Kopie der Daten der betroffenen Person, die neben den verfügbaren Informationen über die Person auch die Empfänger der Daten, den Zweck der Speicherung und alle anderen gesetzlich vorgeschriebenen Informationen gemäß Art. 15 DSGVO umfasst, um die betroffene Person über die Verarbeitung zu informieren und ihr die Beurteilung der Rechtmäßigkeit zu ermöglichen. Auf besonderen Wunsch der betroffenen Person werden die Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt. Die zuständige IT-Abteilung legt den dafür zu verwendenden Standard fest.
(4) Die betroffenen Personen haben das Recht, ihre personenbezogenen Daten berichtigen zu lassen, wenn sie sich als unrichtig erweisen. Ebenso können sie die Ergänzung unvollständiger personenbezogener Daten verlangen.
(5) Die betroffene Person hat das Recht, ihre personenbezogenen Daten unter folgenden Voraussetzungen löschen zu lassen:
Die Kenntnis der Daten ist für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich.
Die betroffene Person hat die Einwilligung widerrufen und es besteht keine andere Rechtsgrundlage für die Verarbeitung.
Ihre Verarbeitung ist unzulässig,
Die betroffene Person widerspricht der Verarbeitung zu Werbezwecken oder beruft sich auf ein Widerspruchsrecht aufgrund einer konkreten – zu begründenden – persönlichen Situation,
Es handelt sich um besondere personenbezogene Daten, deren Richtigkeit nicht nachgewiesen werden kann, oder
Es besteht eine andere gesetzliche Verpflichtung zur Löschung der Daten.
Wenn eine Löschpflicht besteht und wenn die personenbezogenen Daten zuvor öffentlich gemacht wurden, sind auch alle anderen Datenverantwortlichen über eine Löschungsanfrage der betroffenen Person bezüglich aller Kopien ihrer Daten sowie aller Links zu solchen Daten zu informieren.
(6) Die betroffene Person kann die Einschränkung der Verarbeitung ihrer Daten verlangen, wenn
Die Richtigkeit der personenbezogenen Daten bestritten wird, dies jedoch nur so lange, wie die Richtigkeit von der zuständigen Abteilung überprüft wird, oder
Die Verarbeitung unzulässig ist, die betroffene Person jedoch der Löschung der Daten widerspricht, oder
Das Unternehmen die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person jedoch die Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
Die betroffene Person Widerspruch gegen die Verarbeitung aus Gründen einer besonderen Situation eingelegt hat und die zuständige Abteilung den Widerspruch noch prüft.
(7) Die betroffene Person ist spätestens innerhalb eines Monats über alle getroffenen Maßnahmen in Kenntnis zu setzen, wenn sie ihr Recht auf Berichtigung oder Löschung ihrer personenbezogenen Daten oder die Einschränkung der Verarbeitung geltend gemacht hat.
(8) Die betroffene Person hat das Recht auf Datenübertragbarkeit, wenn
- 11 Meldung von Datenschutzverletzungen
(1) Bei Datenschutzverletzungen, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen, muss das Unternehmen die betroffenen Personen unverzüglich nach Kenntnis der Verletzung benachrichtigen. Die Benachrichtigung muss mindestens die in Art. 34 Abs. 1 DSGVO geforderten Informationen enthalten.
(2) Der Datenschutzbeauftragte ist unverzüglich über jegliche Datenschutzverletzungen zu informieren.
(3) Die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde erfolgt innerhalb von 72 Stunden, nachdem das Unternehmen von der Verletzung Kenntnis erlangt hat, es sei denn, dass die Datenschutzverletzung voraussichtlich keine Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
(4) Bei der Meldung von Datenschutzverletzungen sind die betroffenen Datenarten, die Anzahl der betroffenen Personen, die möglichen Auswirkungen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Minderung der Risiken zu beschreiben und zu dokumentieren.
- 12 Schulungen und Sensibilisierung
(1) Das Unternehmen führt regelmäßig Schulungen zum Thema Datenschutz durch, um die Mitarbeiterinnen und Mitarbeiter für die Bedeutung und die Bestimmungen des Datenschutzes zu sensibilisieren. Die Schulungen können sowohl online als auch in Präsenz durchgeführt werden. Die Teilnahme an den Schulungen ist für alle Mitarbeiterinnen und Mitarbeiter verpflichtend.
(2) Die Schulungen sollen sowohl die Grundprinzipien des Datenschutzes als auch die spezifischen Bestimmungen dieser Unternehmensrichtlinie vermitteln. Die Mitarbeiterinnen und Mitarbeiter sollen über die Risiken und Folgen von Datenschutzverletzungen informiert werden, damit sie sensibel und verantwortungsbewusst mit personenbezogenen Daten umgehen.
- 13 Kontrollen und Sanktionen
(1) Der Datenschutzbeauftragte überwacht die Einhaltung dieser Unternehmensrichtlinie und anderer datenschutzrechtlicher Vorgaben. Er ist berechtigt, unangekündigte Stichprobenkontrollen durchzuführen, um die Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen. Im Rahmen der Kontrollen kann der Datenschutzbeauftragte Unterstützung durch andere Mitarbeiterinnen und Mitarbeiter des Unternehmens in Anspruch nehmen, um die Kontrollen effizient durchzuführen.
(2) Verstöße gegen diese Unternehmensrichtlinie und andere datenschutzrechtliche Vorgaben können disziplinarische Maßnahmen nach sich ziehen. Die Art und Schwere der Sanktionen richten sich nach der Schwere des Verstoßes. Mögliche Sanktionen können Verwarnungen, Abmahnungen, Ermahnungen, Rückversetzung oder im schlimmsten Fall die Kündigung des Arbeitsverhältnisses sein. In Fällen von schweren Datenschutzverletzungen kann das Unternehmen auch die entsprechenden zivil- und strafrechtlichen Schritte einleiten.
- 14 Inkrafttreten
Diese Unternehmensrichtlinie tritt am [DATUM] in Kraft und ersetzt alle vorherigen Unternehmensrichtlinien zum Datenschutz.
- 15 Datengeheimnis
(1) Mitarbeitende sind verpflichtet, personenbezogene Daten ohne Autorisierung weder zu erheben, zu verarbeiten noch zu nutzen. Vor Aufnahme ihrer Tätigkeit sind sie dazu verpflichtet, personenbezogene Daten vertraulich zu behandeln. Diese Verpflichtung erfolgt durch die Geschäftsführung mittels eines dafür vorgesehenen Formulars.
(2) Mitarbeitende, die besonderen Geheimhaltungspflichten unterliegen (z. B. Telekommunikationsgeheimnis gemäß § 3 TTDSG), werden zusätzlich schriftlich von der Geschäftsführung dazu verpflichtet.
- 16 Beschwerden
(1) Jede betroffene Person hat das Recht, sich zu beschweren, wenn sie der Meinung ist, dass ihre Daten unrechtmäßig verarbeitet wurden und ihre Rechte verletzt wurden. Ebenso können Mitarbeitende Verstöße gegen diese Unternehmensrichtlinie jederzeit melden.
(2) Die zuständige Stelle für die genannten Beschwerden ist der Datenschutzbeauftragte als interne unabhängige Stelle, die nicht weisungsgebunden ist.
- 17 Interne Ermittlungen
(1) Maßnahmen zur Klärung von Sachverhalten und zur Verhinderung oder Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis werden strikt unter Beachtung der einschlägigen gesetzlichen Datenschutzbestimmungen durchgeführt. Insbesondere muss die damit verbundene Erhebung und Verwendung von Daten notwendig, angemessen und verhältnismäßig im Hinblick auf die schutzwürdigen Interessen der betroffenen Person sein, um den Zweck der Untersuchung zu erreichen.
(2) Die betroffene Person muss so bald wie möglich über die durchgeführten Maßnahmen informiert werden.
(3) Bei allen Formen von internen Ermittlungen ist der Datenschutzbeauftragte im Vorfeld in die Auswahl und Gestaltung der Maßnahmen einzubeziehen.
- 18 Verfügbarkeit, Vertraulichkeit und Integrität von Daten
(1) Abhängig von der Art, dem Umfang, den Umständen und Zwecken der Verarbeitung sowie der Wahrscheinlichkeit des Auftretens ist für jedes Verfahren eine dokumentierte Schutzbedarfsbewertung und Risikoanalyse hinsichtlich der Risiken für betroffene Personen durchzuführen.
(2) Zur Sicherung der Verfügbarkeit, Vertraulichkeit und Integrität von Daten ist ein allgemeines Sicherheitskonzept in Abhängigkeit von der Schutzbedarfsbewertung und Risikoanalyse zu erstellen, das für alle Prozesse verbindlich ist. Dabei sind insbesondere der Stand der Technik sowie Mittel und Maßnahmen für Verschlüsselung und Datensicherung zu berücksichtigen. Das Sicherheitskonzept muss regelmäßig auf seine Wirksamkeit hinsichtlich der darin vorgesehenen technischen und organisatorischen Maßnahmen überprüft, bewertet und evaluiert werden.
(3) Es muss verhindert werden, dass Datenverarbeitungssysteme von unbefugten Personen genutzt werden können. Türen zu unbelegten Räumen sind abzuschließen. Es müssen wirksame Maßnahmen zur Kontrolle des Zugangs zu Geräten vorhanden und aktiviert sein. Systemzugänge müssen in Abwesenheit von Personen immer gesperrt sein.
(4) Passwörter ermöglichen den Zugang zu Systemen und den darin gespeicherten personenbezogenen Daten. Sie stellen ein persönliches Identifikationsmerkmal des Benutzers dar und sind nicht übertragbar. Es muss sichergestellt werden, dass Passwörter stets unter Verschluss gehalten werden. Passwörter müssen eine Mindestlänge von acht Zeichen haben und aus einer Mischung von Zeichen bestehen. Passwörter dürfen nicht in einem Wörterbuch vorkommen oder aus leicht zu erratenden Begriffen gebildet werden, insbesondere nicht aus Begriffen, die das Unternehmen betreffen.
(5) Der Zugriff auf personenbezogene Daten darf nur denjenigen Personen gewährt werden, die im Rahmen ihrer Aufgaben die jeweiligen Daten kennen müssen („Need-to-Know-Prinzip“). Zugriffsberechtigungen müssen präzise und vollständig definiert und dokumentiert werden.
(6) Datenübertragungen über öffentliche Netzwerke sollen, wenn möglich, verschlüsselt werden. Verschlüsselung ist obligatorisch, wenn der Schutz personenbezogener Daten dies erfordert.
(7) Für verschiedene Zwecke erhobene personenbezogene Daten sind getrennt zu verarbeiten. Die Trennung der Daten ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen.
(8) Maintenance work on systems or telecommunications equipment by external service providers shall be supervised. Furthermore, it must be ensured that service providers cannot access personal data without authorization. Remote maintenance access shall only be granted in individual cases and shall follow the principle of minimal assignment of rights. Remote maintenance activities must be recorded or logged if possible.
- 19 Datenschutz-Folgenabschätzung
(1) Jede Abteilung ist verpflichtet, Datenschutz-Folgenabschätzungen für Verfahren unter ihrer Verantwortung durchzuführen, wenn aufgrund der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zu erwarten ist. Die Datenschutz-Folgenabschätzung muss alle gesetzlich vorgeschriebenen Angaben gemäß Artikel 35 Absatz 7 der DSGVO enthalten.
(2) Der Datenschutzbeauftragte berät die Abteilungen bei der Durchführung der Datenschutz-Folgenabschätzung und bei der Frage, wann Verarbeitungsvorgänge ein hohes Risiko für betroffene Personen darstellen können.
- 20 Verletzung des Datenschutzes („Datenpanne“)
(1) Wenn Unternehmensdaten unrechtmäßig an Dritte weitergegeben wurden, muss die Geschäftsführung unverzüglich informiert werden. Die Geschäftsführung zieht den Datenschutzbeauftragten unverzüglich in die Klärung der Sachverhalte ein.
(2) Die Benachrichtigung muss alle relevanten Informationen zur Klärung der Sachverhalte enthalten, insbesondere die empfangende Stelle, die betroffenen Personen und Art und Umfang der übermittelten Daten.
(3) Die Erfüllung einer Informationspflicht gegenüber der Aufsichtsbehörde obliegt ausschließlich dem Datenschutzbeauftragten. Die betroffenen Personen werden von der Geschäftsführung informiert, wobei der Datenschutzbeauftragte beratend hinzugezogen wird.
- 21 Konsequenzen bei Verstößen
Ein fahrlässiger oder vorsätzlicher Verstoß gegen diese Richtlinie kann arbeitsrechtliche Maßnahmen zur Folge haben, einschließlich einer Kündigung mit oder ohne Frist. Strafrechtliche Sanktionen und zivilrechtliche Folgen wie Schadenersatz sind ebenfalls möglich.
- 22 Verantwortlichkeit
Die Einhaltung der Anforderungen dieser Richtlinie muss jederzeit nachvollziehbar sein. In diesem Zusammenhang ist insbesondere auf die Nachvollziehbarkeit und Transparenz der ergriffenen Maßnahmen zu achten, beispielsweise durch zugehörige Dokumentation.
- 23 Aktualisierung der Richtlinie; Nachvollziehbarkeit
(1) Im Rahmen der Weiterentwicklung des Datenschutzrechts sowie technischer oder organisatorischer Änderungen wird diese Richtlinie regelmäßig daraufhin überprüft, ob sie angepasst oder ergänzt werden muss.
(2) Änderungen dieser Richtlinie treten informell in Kraft. Die Mitarbeitenden und Führungskräfte werden unverzüglich und angemessen über die geänderten Vorgaben informiert.
Munich, 07.21.2023
Mrs. Uguray Akcan
