Datenschutzhandbuch
1. Einführung in den Datenschutz
Der Begriff Datenschutz bezieht sich auf Gesetze und Vorschriften, die sicherstellen, dass personenbezogene Daten angemessen und rechtmäßig erfasst, bereitgestellt und verarbeitet werden.
Unser Datenschutz hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen. Es kann auch als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber im Rahmen der Auftragsverarbeitung genutzt werden. Dadurch soll die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) nicht nur gewährleistet, sondern auch der Nachweis der Einhaltung geschaffen werden.
Datenschutzgesetze erlauben die Verarbeitung bestimmter Kategorien personen-bezogener Daten nur in Ausnahmefällen und legen Bedingungen fest, unter denen die Verarbeitung von personenbezogenen Daten rechtmäßig ist.
Der Schutz der Privatsphäre und personenbezogenen Daten ist uns wichtig. Deswegen haben wir dieses Handbuch erstellt, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit geltenden Datenschutzbestimmungen verarbeitet werden. Dieses Handbuch dient dazu, Mitarbeitern ein grundlegendes Verständnis der Situationen zu geben, die typischerweise Datenschutzgesetzen unterliegen, so dass sie in der Lage sind, diese Gesetze einzuhalten.
Dieses Handbuch gilt für jeden in unserem Unternehmen - alle Angestellten, Manager,
leitenden Angestellten und Mitglieder der Geschäftsleitung („Mitarbeiter“).
Neben den allgemeinen Richtlinien müssen von den Mitarbeitern, die für Verarbeitungsprozesse von personenbezogenen Daten verantwortlich sind, detaillierte Anforderungen lokaler Datenschutzgesetze befolgt werden.
Ein kurzer Überblick:
- Datenschutzgesetze definieren, welche Art von personenbezogenen Daten erfasst werden dürfen, unter welchen Bedingungen diese Daten erfasst werden dürfen und wie lange die Daten gespeichert werden dürfen.
- Geplante Erfassungen (wie das Erfassen von Mitarbeiter- oder Kundendaten, der Ankauf von Kundendaten für Marketingaktionen und das Erfassen personenbezogener Daten durch Webseiten) müssen genau analysiert werden, um sicherzustellen, dass sie keine Datenschutzgesetze verletzen.
- Verhältnismäßigkeit und Transparenz sind die Schlüssel dazu, außerdem müssen Personen informiert werden, wenn wir ihre Daten verarbeiten
- Personenbezogene Daten dürfen nur an Dritte weitergeben werden, wenn es eine rechtliche Grundlage dafür gibt und geeignete Schutzmaßnahmen wie Datenverarbeitungsvereinbarungen getroffen wurden.
- Die Übertragung von personenbezogenen Daten an Organisationen außerhalb des Europäischen Wirtschaftsraums (EEA) oder der Zugriff auf personenbezogene Daten durch Organisationen außerhalb des EMEA ist nur gestattet, wenn die übertragende Organisation Zusicherungen erhalten hat, dass die empfangende Organisation die personenbezogenen Daten ausreichend schützen wird.
- Verstöße können zu Schadensersatzansprüchen, Geldbußen oder Haftstrafen sowie Ordnungsstrafen durch die Aufsichtsbehörde führen. Haftbar sind neben der Geschäftsleitung auch der Datenschutzbeauftragte
2. Verantwortliche Stellen und Vertretungen
2.1 Verantwortliche Stelle
UB Weiss GmbH
Germanenstr. 2
86343 Königsbrunn, Deutschland
2.2 Vertretung
Geschäftsführung:
Dipl.-Ing. Stephan Weiss
Verantortlich für den Datenschutz:
Dipl.-Ing. Stephan Weiss
3. Rechtliche Rahmenbedingungen im Unternehmen
Die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sind die Rahmenbedingungen dieses Handbuches.
Im Bereich Mitarbeiterdatenschutz finden auch Grundlagen des Fernmeldegeheimnisses gemäß § 88 Telekommunikationsgesetz (TKG) Anwendung.
Wir beziehen uns in unserem Tun auf Berufsgrundsätze des Bundesverbandes Deutscher Unternehmensberater BDU e. V. in seiner gültigen Fassung
4. Ziele
Unser Ziel ist es, mit diesem Handbuch und den weiterführenden Dokumentationen und Verfahren für höchste Datensicherheit im Umgang mit personenbezogenen Daten zu sorgen. Wir respektieren in höchsten Maße die Persönlichkeitsrechte unserer Mitarbeiter, Kunden, Interessenten und Lieferanten.
Mit einem sich stetig verbessernden System zum Datenschutz wollen wir unsere Kompetenz professionell steigern. Aus den jährlichen Datenschutzfolgeabschätzungen wollen wir transparent und unmissverständlich darlegen, welche Maßnahmen zu Verbesserung getroffen werden.
Die Dokumentation und Umsetzung der Richtlinien soll nicht zuletzt unseren Kunden zu Gute kommen, da wir als Auftragsverarbeiter durchaus eine große Verpflichtung in diesem Punkt sehen.
Daraus ergibt sich auch die Einrichtung eines turnusgemäßen Management Reviews.
Wir möchten unseren Partnern als auch Interessenten dabei einen Mehrwert durch gezielte Information schaffen.
Anhand dieser Maßnahmen wollen wir dafür sorgen, dass die Verarbeitung personenbezogenen Daten
- kontrolliert verarbeitet werden
- nicht länger als notwendig gespeichert werden
- einem hohen Sicherheitsstandard bei Speicherung sowie Zugriff unterliegen
- die Verfügbarkeit gewährleistet ist
- die Sicherheit gegen unbefugte Zugriffe gegeben ist.
Wir sehen den Datenschutz als zentrale Verantwortung des Unternehmens an, speziell auch da wir als Auftragsverarbeiter für unsere Kunden Verantwortung tragen.
5. Zweckbestimmung der Datenerhebung
Wir sind ein Beratungsunternehmen für den Mittelstand im B2B Bereich.
Wir verfügen über langjährige Erfahrung als Geschäftsführer im Mittelstand.
Als Ingenieure sind wir praxisnah und bringen immense Projekterfahrung ein, Prozess- und Produktnähe sind unsere Leidenschaft.
Wir unterstützen unsere Kunden, die richtigen Strategien für Ihre Geschäftsentwicklung zu finden und begleiten Sie bei der Umsetzung. Wir treten dabei auch als Auftragsverarbeiter auf.
Unsere Kompetenzen liegen in den Themenfeldern
• Innovationsberatung
• Recruiting
• Supply Chain Projekte
• Optimierung von Geschäftsprozessen
• Marketing und Vertrieb
“Personenbezogene Daten” sind alle Informationen, die sich direkt oder indirekt auf eine
bestimmte oder bestimmbare natürliche Person beziehen. In dem nachfolgenden Schaubild ist die Kategorisierung von personenbezogenen Daten verdeutlicht. Wir unterscheiden zwischen personenbezogenen und persönlichen Daten. Persönliche Daten verwalten wir nur im Bereich des Personalwesens und des Recruitings.
Wir verarbeiten keinerlei Daten von Kindern und Minderjährigen.
Wir verarbeiten personenbezogene Daten ausschließlich für Auftrags- und Vertriebszwecke.
Die Herkunft der Daten ist aus persönlichen Gesprächen, überlassenen Visitenkarten, Kontaktaufnahmen über E-Mail oder Recherchen in Berufsnetzwerken sowie aus Adressrecherchen über IHK Datenbanken. Die Daten werden nur aus rechtmäßigen Gründen erfasst und dienen ausschließlich der benannten und zweckbestimmten Auftragserfüllung im B2B Bereich.
Die Klassifizierung von Daten im Bereich Vertrieb B2B ist auf normalem Schutzniveau.
Daten im Bereich von Buchhaltung sowie im Bereich Kundenbeauftragungen sehen wir auf hohem Schutzniveau.
In Bezug auf Verarbeitung von Daten im Bereich der Personaldienstleistungen (Recruiting) erhalten wir Daten von Bewerbern auf freiwilliger Basis. Die Daten geben wir nach Rücksprache mit dem Bewerber an unsere Kunden weiter.
Darüber hinaus verarbeiten wir natürlich interne personenbezogene Daten im Bereich unseres Personalwesens.
Interne Bewerberdaten klassifizieren wir mit sehr hohem Datenschutzniveau. Externe Bewerberdaten klassifizieren wir mit hohem bis sehr hohem Datenschutzniveau.
Personenbezogene Daten dürfen nicht erfasst werden, wenn es in Übereinstimmung mit nationalen Gesetzen keinen rechtmäßigen Grund dafür gibt.
Die “Verarbeitung personenbezogener Daten” ist jeder Prozess und jede Prozessgruppe, die mit personenbezogenen Daten durchgeführt wird, egal ob auf automatische Weise oder nicht, einschließlich, aber nicht beschränkt auf die Erfassung, Organisation, Speicherung, Anpassung, Weitergabe, Sperrung und Löschung.
Wir verarbeiten nur personenbezogene Daten, wenn die Verarbeitung erforderlich ist
• für die Anbahnung neuer Geschäftsbeziehungen,
• für die Erfüllung eines Vertrags, an dem die Person beteiligt ist,
• um die Anfrage einer Person vor dem Eintritt in einen Vertrag zu bearbeiten
• die Verarbeitung für die Erfüllung einer gesetzlichen Verpflichtung erforderlich ist;
• die Verarbeitung aus berechtigtem Interesse von uns oder einem Auftraggeber erforderlich ist, solange diese Interessen nicht von privaten Interessen der Person außer Kraft gesetzt werden, auf die sich die personenbezogenen Daten beziehen
• wenn entsprechende Einwilligungen vorliegen (speziell bei Daten hoher und sehr hoher Schutzklassen)
Das Einverständnis der Person, deren personenbezogene Daten verarbeitet werden, sollte klar erkennbar sein und widerrufen werden können.
6. Betroffene Bereiche, Hinweise & Zugriffsanforderungen
Folgende Bereiche im Unternehmen sind von den Datenschutzrechtlichen Themen betroffen und werden von uns hinsichtlich des Datenschutzes betrachtet:
Wenn es durch geltende Gesetze erforderlich oder einigermaßen praktikabel und angemessen ist, sollten Personen über die Verarbeitung ihrer personenbezogenen Daten informiert werden.
Wenn eine Person eine Anfrage zu Informationen über unsere Verarbeitung Ihrer
personenbezogenen Daten stellt, um Einspruch gegen die Verarbeitung der personenbezogenen Daten zu erheben oder Fehler in diesen personenbezogenen Daten zu korrigieren, werden wir umgehend in der vom geltenden Recht verlangten Art und Weise darauf reagieren, falls es als praktikabel und angemessen erscheint.
7. Rechte der Betroffenen
Wir beachten die Rechte der betroffenen Personen, deren Daten wir verarbeiten. Folgende Rechte können Sie jederzeit wahrnehmen:
• Widerrufsrecht
Sie haben das Recht, eine durch Sie erteilte Einwilligung in die Erhebung und Verwendung personenbezogener Daten mit Wirkung für die Zukunft jederzeit zu widerrufen.
• Auskunftsrecht
Sie haben das Recht, Auskunft über die zu Ihrer Person oder zu Ihrem Pseudonym gespeicherten Daten zu verlangen. Auf Ihr Verlangen kann die Auskunft auch elektronisch erteilt werden.
• Recht auf Löschung, Sperrung oder Korrektur
Sie haben das Recht, die Löschung, Sperrung oder Korrektur der zu Ihnen gespeicherten personenbezogenen Daten zu verlangen. Sollten gesetzliche Vorschriften eine Löschung nicht zulassen, werden Ihre Daten stattdessen gesperrt, so dass sie nur noch zum Zwecke der zwingenden gesetzlichen Vorschriften zugänglich sind
Zur Wahrnehmung Ihrer vorstehenden Rechte auf Widerruf, Auskunft, Löschung, Sperrung oder Korrektur Ihrer Daten wenden Sie sich bitte per Post an die Adresse UB Weiss GmbH, Am Technologiezentrum 5, 86179 Augsburg oder per E-Mail an Datenschutz@ub-weiss.com.
8. Datenvertraulichkeit und -sicherheit
Ein Mitarbeiter, der Zugriff auf personenbezogene Daten hat, darf die Daten nur in
Übereinstimmung mit dem Verarbeitungsgrund verarbeiten und sie ohne Aufforderung nicht teilen, verteilen oder an Dritte weitergeben.
Wir setzen geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen versehentliche oder unrechtmäßige Vernichtung, Verlust oder Änderung, unbefugten Zugriff oder die Weitergabe und jede andere rechtswidrige Form der Verarbeitung zu schützen. Der Umfang dieser Maßnahmen sollte den Risiken der Verarbeitung und der Art der personenbezogenen Daten angemessen sein.
Sicherheitsverletzungen, die die Vertraulichkeit oder Sicherheit der verarbeiteten
personenbezogenen Daten gefährden, sollten unverzüglich einem Vorgesetzten und dem VP Risikomanagement gemeldet werden.
9. Speicherung
Personenbezogene Daten sollten nur so lange wie nötig gespeichert werden, unter
Berücksichtigung der Gründe, für die sie erfasst wurden, und geltenden gesetzlichen
Speicherfristen.
Wenn die Speicherfrist der personenbezogenen Daten abgelaufen ist, sollten sie auf dauerhafte und sichere Art gelöscht werden.
Wir bzw. unsere Auftragsdatenverarbeiter werden regelmäßige Backups der Daten erstellen, um die Sicherheit und Verfügbarkeit der Daten sicherzustellen.
10. Weitergabe von Daten
Personenbezogene Daten dürfen an Dritte (Subunternehmer, Kunden, Partner und
Auftragsdatenverarbeiter) nur weitergegeben werden, wenn es eine Rechtsgrundlage dafür gibt.
Wenn personenbezogene Daten an Dritte weitergegeben werden, sollte es eine schriftliche Vereinbarung geben, ob der Dritte als Datenverantwortlicher (Kunde) oder Auftragsdatenverarbeiter der weitergegebenen personenbezogenen Daten angesehen wird.
Der Begriff “Auftragsdatenverarbeiter” bezieht sich auf eine juristische Person, die personen-bezogene Daten im Namen des Datenverantwortlichen verarbeitet. Der Begriff “Datenverantwortlicher” bezieht sich auf eine juristische Person, die alleine oder zusammen mit anderen die Gründe und Mittel zur Verarbeitung der personen-bezogenen Daten festlegt.
Wo es durch geltendes Recht erforderlich ist, muss eine Datenverarbeitungs-vereinbarung mit jedem Auftragsdatenverarbeiter getroffen werden, z.B. bei der Verwendung von Cloud Services oder beim Outsourcing von IT Services oder externen Personal- und Steuerberatungskanzleien.
Diese Vereinbarungen sollten vom Auftragsdatenverarbeiter den Schutz personenbezogener Daten vor Weitergabe verlangen und ihn verpflichten, personenbezogene Daten in Übereinstimmung mit den rechtlichen Vorgaben zu verarbeiten.
Eine Datenverarbeitungsvereinbarung sollte den Auftragsdatenverarbeiter auch dazu verpflichten, angemessene Sicherheitsmaßnahmen einzusetzen, um die personenbezogenen Daten zu schützen und vertraulich zu behandeln, und Verfahren für Meldungen über Datenschutzverletzungen enthalten.
11. Marketing-Maßnahmen und Webseiten
Die Verwendung von personenbezogenen Daten für Marketingmaßnahmen, wie Direktvermarktungskampagnen, Marketing über Social Media oder der Ankauf von personenbezogenen Daten für Marketingaktionen muss die Anforderungen der geltenden Gesetze einhalten.
Personen dürfen der Verarbeitung ihrer personenbezogenen Daten für Direktvermarktung widersprechen. Wenn eine Person solch einen Widerspruch einreicht, muss er respektiert werden.
Alle externen Webseiten müssen eine Datenschutzerklärung enthalten, die die Anforderungen der geltenden Gesetze erfüllt.
12. Meldung über Datenverarbeitungsprozesse
Datenverarbeitungsprozesse werden den zuständigen Behörden im Rahmen der gesetzlichen Meldepflichten mitgeteilt.
Sollten sich Änderungen an meldepflichtigen Datenverarbeitungsprozessen ergeben, werden diese Änderungen ebenfalls nach Maßgabe gemeldet.
Mitarbeiter, die vermuten, dass eine Verletzung dieser Richtlinie oder einschlägiger Datenschutzgesetze vorgekommen ist, sollten sich an den Datenschutzbeauftragen oder die Geschäftsleitung wenden.
13. Mitarbeiter & Schulungen
Allen Mitarbeitern müssen regelmäßig an angemessene Schulungen teilnehmen, die mit dem Schulungsplan übereinstimmen, und zum Zuständigkeitsbereich des Mitarbeiters passen.
Unsere Mitarbeiter und Beauftragten werden auf die Einhaltung der datenschutz-rechtlichen Bestimmungen nach den gesetzlichen Vorgaben verpflichtet.
14. Prüfungen und Audits
Im jährlichen Turnus werden Audits und Datenschutz Folgeabschätzungen durchgeführt. Die daraus resultierenden Bericht mit den vorgeschlagenen Maßnahmen werden vom Datenschutzbeauftragten an die Geschäftsleitung übergeben.
Bei auftretenden Problemen mit Auftragsdatenverarbeitern behalten wir uns entsprechende Prüfungen der TOMs und ggfs. Audits vor.
15. Do’s und Don‘t's
16. Weiterführende Informationen
Wir haben in unserer Datenschutzorganisation den Einsatz einer speziellen Software für die Darstellung, Bearbeitung, Prüfung und Verwaltung der datenschutzrechtlichen Aspekte wie
- Verfahrensverzeichnisse
- Verfahrensanweisungen / Verarbeitungstätigkeiten
- TOM
- Mitarbeiterschulung
- Audits
- Berichtswesen
- Auftragsverarbeiter
- Meldefunktion
- Datenfolgeabschätzung / Risikofolgeabschätzung
- Berichte
etabliert.
Gezeichnet:
Stephan Weiss
Geschäftsführer der UB Weiss GmbH