1 Einleitung
Der Schutz personenbezogener Daten ist ein wichtiges Anliegen für unser Unternehmen. Deshalb verarbei-ten wir die personenbezogenen Daten unserer Mitarbeiter, Kunden, Geschäftspartner, Dienstleister, öffent-lichen Stellen und sonstigen Dritten ausschließlich in Übereinstimmung mit den geltenden Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.
Um diesem Anliegen Nachdruck zu verleihen, verabschiedet die Unternehmensleitung hiermit diese Daten-schutz-Leitlinie für unser Unternehmen. Diese Leitlinie soll die Organisation, die Verantwortlichkeiten und die Ziele im Bereich Datenschutz in unserem Unternehmen in übersichtlicher Form darstellen.

2 Geltungsbereich
Die Leitlinie gilt für das gesamte Unternehmen und erstreckt sich dabei auf alle derzeitigen und zukünftigen Standorte des Unternehmens. Sie richtet sich an alle derzeitig und zukünftig Beschäftigten des Unterneh-mens. Diese Leitlinie verpflichtet alle Beschäftigten des Unternehmens zur eigenverantwortlichen Einhaltung der hier festgelegten Regelungen und Pflichten sowie zur Wahrnehmung der formulierten Verantwortlich-keiten in Ihrem Tätigkeitsbereich.

3 Organisation des Datenschutzes
Die Gesamtverantwortung für den Datenschutz und die Verarbeitung von personenbezogenen Daten liegt bei der Unternehmensleitung. Die Unternehmensleitung stellt ausreichende zeitliche, finanzielle und perso-nelle Ressourcen zur Verfügung, um die Anforderungen der datenschutzrechtlichen Gesetzgebungen zu erfüllen.
Dazu gehört die Benennung eines Datenschutzbeauftragten für das Unternehmen. Der Datenschutzbeauf-tragte nimmt dabei die Aufgaben gem. Art. 39 DSGVO wahr und berät die Unternehmensleitung und die je-weils beteiligten Beschäftigten bei der Planung und Umsetzung des Datenschutzes und datenschutzkonfor-mer Prozesse im Unternehmen.

Es ist Sorge dafür zu tragen, dass eine frühe Einbindung des Datenschutzbeauftragten bei der Planung und Einführung von neuen Prozessen, in deren Zusammenhang auch personenbezogene Daten verarbeitet wer-den, erfolgt. Gleiches gilt für Änderungen an bestehenden Prozessen.
Dem Datenschutzbeauftragten wird eine direkte Ansprechpartnerin als Datenschutzkoordinatorin Seite ge-stellt. Diese fungiert als erste Ansprechstation für Anliegen zum Datenschutz und begleitet, unterstützt und treibt intern die Planung, Umsetzung und Evaluierung der Maßnahmen zur Datenschutzkonformität voran. Der Datenschutzbeauftragte berät die Datenschutzkoordinatorin.

4 Verantwortlichkeiten
4.1 Unternehmensleitung
Die Unternehmensleitung übernimmt die Gesamtverantwortung für den Datenschutz im Unternehmen. Sie trägt dafür Sorge, dass ausreichende zeitliche, finanzielle und personelle Ressourcen zur Verfügung stehen. Weiterhin bevollmächtigt sie die Datenschutzkoordinatorin, entsprechende Maßnahmen zur Erreichung, Er-haltung und Verbesserung des Datenschutzniveaus zu planen und – nach Rücksprache – umzusetzen.

4.2 Datenschutzbeauftragter
Der Datenschutzbeauftragte ist Ansprechpartner für das Thema Datenschutz im Unternehmen. Er nimmt seine Aufgaben gem. Art. 39 DSGVO war und berät, kontrolliert und unterstützt die Unternehmensleitung, die Datenschutzkoordinatorin und die Beschäftigten hinsichtlich der Verarbeitung von personenbezogenen Daten im Unternehmen.

Zum Datenschutzbeauftragten wurde gem. Art. 37 DSGVO benannt:
Ines Hoinkes, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

4.3 Datenschutzkoordinatorin
Die Datenschutzkoordinatorin fungiert als primäre Kontaktpersonen des Datenschutzbeauftragten im Unter-nehmen. Zur Datenschutzkoordinatorin wurde benannt:
Ines Hoinkes, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Sie plant nach Rücksprache mit der Unternehmensleitung und dem Datenschutzbeauftragten Maßnahmen zur Erreichung, Erhaltung und Verbesserung des Datenschutzniveaus im Unternehmen und trifft sich in re-gelmäßigen Abständen mit dem Datenschutzbeauftragten, um den Fortschritt der geplanten Maßnahmen zu besprechen.
Weiterhin bearbeitet die Datenschutzkoordinatorin Anfragen von Betroffenen und nimmt Meldungen von Datenschutzverletzungen oder derartigen Verdachtsfällen entgegen. Das weitere Vorgehen in diesen Ange-legenheiten stimmt sie bei Bedarf mit der Geschäftsleitung und dem Datenschutzbeauftragten ab.

4.4 Alle Mitarbeiter
Jeder Mitarbeiter trägt durch datenschutzkonformes Arbeiten eigenständig zur Gewährleistung des Daten-schutzes im Unternehmen bei. Dabei sind alle Mitarbeiter verpflichtet, diese Leitlinie – insbesondere die wei-ter unten aufgeführten Prinzipien bei der Verarbeitung personenbezogener Daten – und die sonstigen Richt-linien zum Datenschutz zu befolgen und einzuhalten. Sollten sich in einzelnen Punkten Fragen oder Unklar-heiten ergeben, sollen die Mitarbeiter Rat bei der Datenschutzkoordinatorin einholen.
Bestehen hinsichtlich der Rechtmäßigkeit einzelner Verarbeitungen, insbesondere bei der Übermittlung oder Offenlegung von Daten, Unsicherheiten oder Zweifel, ist die Datenschutzkoordinatorin oder der Daten-schutzbeauftragte vor der Durchführung der Verarbeitung zu informieren und deren Rat einzuholen.
Werden offenkundige oder zumindest mögliche Datenschutzverletzungen im Arbeitsalltag festgestellt, ist jeder Mitarbeiter verpflichtet, diese Vorfälle und auch sonstige Störungen bei der Datenverarbeitung unver-züglich und direkt an die Datenschutzkoordinatorin zu melden.
Sofern sich Personen mit Fragen oder Anliegen zum Datenschutz im Unternehmen an einzelne Mitarbeiter wenden, sind diese Personen an die Datenschutzkoordinatorin oder den Datenschutzbeauftragten zu ver-weisen. Eigenständige Auskünfte und sonstige anderweitige Handlungen sind nicht zulässig.
Für Mitarbeiter mit speziellen unten aufgeführten Aufgaben gelten darüber hinaus die dort festgehaltenen Regelungen.

4.5 IT-Verantwortlicher
Der IT-Verantwortliche stellt die Sicherheit der elektronischen Datenverarbeitung durch die Planung, Be-schaffung, Implementierung und Überwachung angemessener technischer Schutzmaßnahmen sicher. Dafür wird das erforderliche Budget von der Unternehmensleitung zur Verfügung gestellt. Er stimmt Maßnahmen, die Auswirkungen auf die Sicherheit der Datenverarbeitung haben, mit dem Datenschutzbeauftragten ab und sorgt für eine ausreichende Dokumentation der bestehenden Schutzmaßnahmen.

4.6 Administratoren
Die Administratoren führen die technischen Maßnahmen in Abstimmung mit dem IT-Verantwortlichen durch, dokumentieren ihre Tätigkeiten und tragen durch Verbesserungsvorschläge zur Optimierung der Sicherheit der Datenverarbeitung und des Datenschutzes bei.

4.7 Vorgesetzte mit Personalverantwortung
Vorgesetzte mit Personalverantwortung stellen sicher, dass die in ihrem Verantwortungsbereich tätigen Per-sonen über die sie betreffenden Belange des Datenschutzes und des datenschutzkonformen Arbeitens aus-reichend unterrichtet und zur Wahrung des Datenschutzes und der Vertraulichkeit verpflichtet sind. Weiter-hin treffen sie Maßnahmen, die es den in Ihrem Verantwortungsbereich tätigen Personen ermöglicht, daten-schutzkonform zu arbeiten.

4.8 Projekt- oder Prozessverantwortliche bzw. Bereichsleiter
Projekt- oder Prozessverantwortliche bzw. Bereichsleiter beziehen den Datenschutzbeauftragten frühzeitig in die Planung von Projekten mit Auswirkung auf die Verarbeitung personenbezogener Daten ein, um sicher-zustellen, dass datenschutzrechtliche Vorschriften eingehalten werden.
Projekt- oder Prozessverantwortliche bzw. Bereichsleiter sind bei der Beauftragung von externen Dienstleis-tern oder Lieferanten dazu verpflichtet, diese im Hinblick auf den Datenschutz sorgsam auswählen. Weiterhin ist bei der Beauftragung das Vorliegen einer Auftragsverarbeitung zu prüfen und ggf. ein entsprechender Auftragsverarbeitungsvertrag zu schließen. Auch wenn es sich nicht um eine Auftragsverarbeitung handelt, müssen in einem Vertrag Regelungen zur Wahrung von Datenschutz und Vertraulichkeit aufgenommen wer-den. Bei diesen Prüfungen kann auf die Hilfe des Datenschutzteams zurückgegriffen werden.

4.9 Lieferanten, externe Dienstleister und sonstige Auftragnehmer
Lieferanten, externe Dienstleister und sonstige Auftragnehmer sind durch gesonderte Vereinbarungen zu verpflichten, die sie betreffenden Vorgaben zum Datenschutz einzuhalten und nachzuweisen. Sofern sie Daten im Auftrag des Unternehmens verarbeiten (Auftragsverarbeitung) ist ein Auftragsverarbeitungsver-trag vor der Beauftragung zu schließen.

5 Prinzipien bei der Verarbeitung personenbezogener Daten
Ziel dieser Leitlinie ist es, den Datenschutz im Unternehmen zu gewährleisten. Für diesen Zweck wird das Unternehmen bei der Planung, Einführung und während des Ablaufs von Prozessen die nachfolgenden Prin-zipien bei der Datenverarbeitung berücksichtigen.

5.1 Rechtmäßigkeit
Bei der Verarbeitung von personenbezogenen Daten müssen die Grundrechte und Grundfreiheiten der be-troffenen Personen im größtmöglichen Umfang gewahrt werden. Personenbezogene Daten dürfen daher nur auf rechtmäßige Weise, d.h. ausschließlich bei Vorliegen einer eindeutigen Rechtsgrundlage, erhoben und verarbeitet werden.

5.2 Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich für die Zwecke verfolgen, die vor der Erhebung der Daten festgelegt und dokumentiert wurden. Diese Zwecke müssen den vernünftigen Erwartungen der Be-troffenen an die entsprechende Verarbeitungstätigkeit entsprechen. Nachträgliche Änderungen der Zwecke prinzipiell nicht vorgesehen. Sollte sich im Einzelfall die Notwendigkeit einer Zweckänderung ergeben, ist dies nur eingeschränkt möglich und bedarf einer dokumentierten Interessensabwägung nach Rücksprache mit dem Datenschutzbeauftragten sowie einer Genehmigung durch die Geschäftsleitung.

5.3 Transparenz
Von der Verarbeitung betroffene Personen müssen über die geplanten Verarbeitungstätigkeiten frühzeitig informiert werden. Bei Erhebung der Daten müssen die Betroffenen daher mindestens folgende Informatio-nen erkennen können oder entsprechend über diese informiert werden:

  • die Identität der verantwortlichen Stelle, d.h. unser Unternehmen
  • die Kontaktdaten des Datenschutzbeauftragten
  • den Zweck und die Rechtsgrundlage der Datenverarbeitung
  • geplante Empfänger der Daten, insbesondere dann, wenn die Daten in ein Drittland übermittelt wer-den sollen

Weiterhin sind personenbezogene Daten grundsätzlich direkt bei den Betroffenen selbst zu erheben. Erhe-bungen bei Dritten sind nach Möglichkeit zu unterlassen.

5.4 Datenvermeidung und Datensparsamkeit
Vor der Erhebung personenbezogener Daten muss stets geprüft werden, ob und in welchem Umfang diese erforderlich sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Es dürfen nur jene Daten erhoben und gespeichert werden, die dabei als erforderlich identifiziert werden. Alle sonstigen Daten dürfen nicht erhoben werden. Weiterhin dürfen personenbezogene Daten nicht auf Vorrat für potentielle zukünfti-ge Zwecke gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.
Der Zugriff auf gespeicherte personenbezogene Daten soll stets nur denjenigen Beschäftigten vorbehalten sein, die diesen für die Erledigung ihrer übertragenen Arbeitsaufgaben durchgängig benötigen. Die Notwen-digkeit für das Fortbestehen von Zugriffsberechtigungen ist fortlaufend zu überprüfen.

5.5 Löschung
Personenbezogene Daten dürfen nur solange gespeichert werden, bis der Zweck der Erhebung und Verar-beitung erreicht ist und keine zwingenden gesetzlichen Regelungen einer Löschung entgegenstehen. Nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen oder auf Anfrage der Be-troffenen müssen diese Daten umgehend gelöscht bzw. vernichtet werden. Dabei ist darauf zu achten, dass bei der Datenlöschung bzw. -vernichtung der Schutzwürdigkeit der Daten entsprechende sichere Vernich-tungsmaßnahmen genutzt werden.
Bestehen im Einzelfall Anhaltspunkte für schutzwürdige Interessen unseres Unternehmens an bestimmten Daten, bleiben diese Daten in einem gesonderten Bereich außerhalb des aktiven Nutzerzugriffs gespeichert, bis das schutzwürdige Interesse geprüft und ggf. rechtlich geklärt werden konnte.

5.6 Sachliche Richtigkeit und Datenaktualität
Personenbezogene Daten sind stets richtig, vollständig und auf dem aktuellen Stand zu speichern. Daher sind angemessene Maßnahmen zu treffen, die sicherzustellen, dass nichtzutreffende, unvollständige oder veral-tete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

5.7 Vertraulichkeit und Datensicherheit
Bei der Verarbeitung von personenbezogenen Daten kommt der Wahrung der Vertraulichkeit und Integrität der Daten eine besonders wichtige Rolle zu. Daher müssen personenbezogene Daten im täglichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Ver-änderung oder Zerstörung gesichert werden.
Bei der konkreten Umsetzung der Ziele müssen die getroffenen Schutzmaßnahmen in einem wirtschaftlich vertretbaren Verhältnis zum Schutzbedarf der verarbeiteten Daten und Informationen stehen.

6 Sanktionen
Ein Verstoß gegen diese Leitlinie kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.
Für Lieferanten, externe Dienstleister und sonstige Auftragnehmer sollten bei besonderen Risiken Vertrags-strafenregelungen vereinbart werden.

Adresse

ABI Betriebs- & Personalmanagement
Leipziger Straße 37
06366 Köthen

verlässlicher Partner seit 12 Jahren

Kontakt

Telefon: 03496 512806
E-Mail: abi-management@t-online.de

Zertifizierung

Copyright © 2021 - ABI Betriebs- & Personalmanagement. Alle Rechte vorbehalten. Design & Layout: Mc Add®