Datenschutzerklärung

Betriebliche Datenschutzrichtlinie
I. Allgemeines
1. Einleitung
Die hier im Betrieb vorhandenen Daten haben für uns einen großen Wert.
Kunden, Partner und Mitarbeiter des Betriebs vertrauen darauf, dass Daten ihre besonders geschützt werden und dass ein sorgsamer Umgang mit den Daten er-folgt. Aufgrund des in uns gesetzten Vertrauens wollen wir uns zu einem sorgsamen Umgang mit Daten verpflichten.

2. Ziel der Unternehmensrichtlinie
Mit dieser Richtlinie sollen einheitliche Standards für den Datenschutz in unserem Betrieb geschaffen werden.
Durch die Einhaltung der in dieser Unternehmensrichtlinie definierten Standards kommen wir unseren datenschutzrechtlichen Verpflichtungen nach und sorgen für eine ausreichende Berücksichtigung der Interessen sowie Rechte der betroffenen Personen.

3. Anwendungsbereich der betrieblichen Datenschutzrichtlinie
Diese Richtlinie gilt für jegliche Verarbeitung von personenbezogenen Daten, wobei die erstmalige Erfassung von Daten, deren Speicherung und Verwendung sowie die Weitergabe innerhalb des Unternehmens und die Übermittlung an Dritte gemeint sind.

Es sollen nach Möglichkeit durch diese Richtlinie alle datenschutzrechtlichen As-pekte geregelt werden, die sich im Rahmen der Datenverarbeitung ergeben können.

Die Richtlinie findet Anwendung auf sämtliche Arten von personenbezogenen Da-ten, insbesondere Daten von Mitarbeitern, Kunden, Lieferanten und anderen Ge-schäftspartnern.
Bestehende gesetzliche Verpflichtungen werden von dieser Richtlinie nicht berührt und sind zu erfüllen.
Es ist daher stets zu prüfen, welche gesetzlichen Regelungen einschlägig sind; die Beachtung ist sicherzustellen. Sofern sich aus den gesetzlichen Bestimmungen ge-ringere Anforderungen ergeben, gelten die Regelungen dieser Richtlinie.

4. Definitionen
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, (beispielsweise mittels Zuordnung zu einer Kennung, zu einer Kennnummer, zu Standorten oder zu einer Online-Kennung) identifiziert werden kann.
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andre Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbei-ter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortli-chen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

II. Grundsätze der Datenverarbeitung
1. Zulässigkeit der Datenverarbeitung
Es ist notwendig, vor/bei jeder Datenverarbeitung zu prüfen, ob die beabsichtigte Verarbeitung von personenbezogenen Daten zulässig ist.

Eine Datenverarbeitung ist zulässig, wenn eine Rechtsgrundlage die Verarbeitung erlaubt.
Insbesondere folgende Rechtsgrundlagen können für die Verarbeitung personen-bezogener Daten herangezogen werden:
– Vertragserfüllung: wenn die Verarbeitung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist;
– berechtigte Interessen: wenn die Verarbeitung zur Wahrung berechtigter Interes-sen des Verantwortlichen erforderlich ist, sofern nicht schutzwürdige Interessen der Person, deren Daten verarbeitet werden, überwiegen;
– Rechtspflicht: wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtuing erforderlich ist;
– Einwilligung: wenn die Person, deren Daten verarbeitet werden sollen, der Daten-verarbeitung zugestimmt hat.

2. Einwilligung des Betroffenen
Eine Einwilligung der betroffenen Person ist als Grundlage für die Datenverarbei-tung ausreichend, wenn die betroffene Person zuvor ausreichend informiert wurde und ihre Einwilligung für die beabsichtigte Datenverarbeitung anschließend eindeutig und auf freiwilliger Basis erteilt hat.
Eine Kopplung der Einwilligung mit anderen Erklärungen ist problematisch.
Die Einwilligungserklärung der betroffenen Person sollte aus Nachweisgründen in Textform eingeholt werden. In jedem Fall ist darauf zu achten, dass eine eindeutige Erklärung der betroffenen Person vorliegt.
Bei einer schriftlich erteilten Einwilligung kann es zulässig sein, die Erklärung ein-zuscannen und das Original anschließend zu vernichten. Sofern eine Einwilligung online eingeholt wird, ist darauf zu achten, dass eine Überprüfung erfolgt, bspw. über ein Double-Opt-in-Verfahren.

3. Zweckbindung und Verhältnismäßigkeit
Personenbezogene Daten dürfen grundsätzlich nur für den Zweck verarbeitet wer-den, für den sie ursprünglich erhoben wurden.
Bei der Verarbeitung personenbezogener Daten ist der Grundsatz der Verhältnis-mäßigkeit zu beachten.

4. Datensparsamkeit
Die Datenverarbeitung ist so zu organisieren, dass so wenig personenbezogene Daten wie möglich verarbeitet werden. Wenn personenbezogene Daten nicht mehr benötigt werden, sind diese zu löschen.
Bereits bei der Datenerhebung ist darauf zu achten, dass nur die zwingend benöti-gen Daten verlangt und alle weiteren Daten auf freiwilliger Basis erhoben werden.

Für die gespeicherten Daten ist festzulegen, für welchen Zeitraum eine Aufbewah-rung bzw. Speicherung zu erfolgen hat.
Gesetzliche Aufbewahrungspflichten sind hierbei zu beachten.
Nach Ablauf der Aufbewahrungsfrist bzw. Speicherdauer ist für eine Löschung der Daten zu sorgen, idealerweise durch ein automatisiertes Verfahren.
Im Rahmen der Datenverarbeitung ist immer zu überprüfen, ob es zur Erfüllung der vorgesehenen Zwecke ausreichend ist, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren.

5. Direkterhebung und Information der betroffenen Person
Personenbezogene Daten sollen nach Möglichkeit bei der betroffenen Person direkt erhoben werden.
Eine Erhebung bei Dritten ist dann in Erwägung zu ziehen, wenn hierfür berechtigte Gründe vorliegen, wenn beispielsweise das Vorgehen im Interesse der betroffenen Person ist.
Die betroffene Person ist grundsätzlich darüber zu informieren, wenn personenbe-zogene Daten über sie verarbeitet werden. Im Rahmen der Information sind alle re-levanten Details mitzuteilen, die für die betroffene Person und die Ausübung ihrer Betroffenenrechte von Bedeutung sind. Eine gesonderte Information kann unter-bleiben, wenn ihr die Datenverarbeitung bekannt ist. Hiervon ist bspw. auszugehen, wenn eine Einwilligung der betroffenen Person eingeholt wurde und die betroffene Person in diesem Zusammenhang vorab informiert wurde.

6. Datenqualität
Es ist darauf zu achten, dass personenbezogene Daten richtig sind und auf dem neuesten Stand gehalten werden.

7. Datensicherheit
Die personenbezogenen Daten sind ausreichend gegen Verlust, gegen unbefugten Zugriff und vor anderen Gefahren zu schützen.
Es ist daher dafür zu sorgen, dass angemessene Maßnahmen getroffen werden, um personenbezogene Daten zu schützen. Der Schutz hat durch TOM (technische und organisatorische Maßnahmen) zu erfolgen.
Für die einzelnen Vorgänge der Datenverarbeitung sind die konkreten Schutzmaß-nahmen zu dokumentieren und auf ihre Angemessenheit zu überprüfen.
.
III. Spezielle Formen der Datenverarbeitung
1. besonders sensible Daten
Bei der Verarbeitung von personenbezogenen Daten ist zu berücksichtigen, dass sensible Daten nur bei Vorliegen von zusätzlichen Voraussetzungen und/oder bei Einhaltung besonderer Schutzmaßnahmen verarbeitet werden dürfen.
Ein besonderer Schutz besteht für Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen und die Ge-werkschaftszugehörigkeit sowie für genetische Daten, biometrische Daten, Gesund-heitsdaten, Daten zum Sexualleben und zur sexuellen Orientierung. Für die Verarbei-tung der vorgenannten Kategorien von Daten bedarf es einer gesonderten Rechtferti-gung, außerdem sind geeignete Sicherheitsvorkehrungen zu implementieren und zu dokumentieren.
Finanz- und Kreditinformationen über Mitarbeiter und Kunden sind ebenfalls als sen-sible Daten anzusehen und sollen den gleichen Schutz genießen. Die vorstehenden Regelungen sollen daher entsprechend für derartige Daten gelten.
Als besonders schutzbedürftig gelten weiter Daten über strafrechtliche Verurteilungen und Straftaten.
Zusätzlich ist zu beachten, dass auch Minderjährige im Hinblick auf sämtliche perso-nenbezogene Daten besonders schutzbedürftig sind. Maßnahmen zur Datenverarbei-tung dürfen sich daher ohne vorherige Prüfung und Freigabe durch den Daten-schutzbeauftragten nicht gezielt an Minderjährige richten.

2. Auftragsverarbeitung
Wenn Dienstleister des Betriebs in dessen Auftrag personenbezogene Daten verarbeiten, ist zu beachten, dass die gleichen Sorgfaltsanforderungen auch für den Dienstleister gelten.
Der Dienstleister wird im Auftrag und auch unter der Verantwortung des Betriebs tätig. Trotz der Durchführung der Datenverarbeitung durch den Dienstleister bleibt der Betrieb der Verantwortliche, so dass der Dienstleister sorgfältig auszuwählen ist.
Spätestens mit Beginn der Tätigkeit für das Unternehmen ist dafür Sorge zu tragen, dass mit dem Dienstleister Auftragsverarbeitungsvertrag mit entsprechender Ver-pflichtung des Auftragsverarbeiters geschlossen wird.

3. Übermittlung von Daten
Die Übermittlung personenbezogener Daten ist ein Fall der Verarbeitung von Daten ist nur mit Einwilligung der betroffenen Person oder aufgrund einer anderen Er-mächtigungsgrundlage zulässig.
Bei der Übermittlung in das Ausland ist zusätzlich zu prüfen, ob hierdurch die Inte-ressen und Rechte der betroffenen Person beeinträchtigt werden. Unproblematisch ist insoweit die Übermittlung in einen Vertragsstaat der Europäischen Union. Bei al-len anderen Staaten ist vorab zu prüfen, ob ein vergleichbarer Datenschutzstandard besteht.

IV. Innerbetriebliche Prozesse
1. Anforderungen an Mitarbeiter
Alle Mitarbeiter werden besonders auf das Datengeheimnis zu verpflichtet.
Es ist den Mitarbeitern untersagt, personenbezogene Daten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder sie Unbefugten zugänglich zu machen. Die Pflicht zur Wahrung der Vertraulichkeit gilt über das Ende der Tätigkeit für den Betrieb hinaus.
Die Mitarbeiter sollen nur Zugriff auf personenbezogene Daten erhalten, die sie zur Erledigung ihrer Aufgaben benötigen.

2. Dokumentationspflichten
Der Betrieb führt ein Verzeichnis über die Verfahren des Unternehmens zur Verar-beitung personenbezogener Daten (Verzeichnis der Verarbeitungstätigkeiten).
Um das Verzeichnis der Verarbeitungstätigkeiten vollständig und aktuell zu halten, haben die Mitarbeiter alle Verfahren unter Nutzung entsprechender Vordrucke zu melden.

V. Rechte der betroffenen Personen
1. Recht auf Auskunft und Datenübertragbarkeit
Auf Anfrage ist einer betroffenen Person mitzuteilen, ob von dem Betrieb perso-nenbezogene Daten zu ihrer Person verarbeitet werden. Sofern dies der Fall ist, hat die betroffene Person einen Anspruch auf Auskunft über die entsprechenden per-sonenbezogenen Daten. Die betroffene Person soll dabei die Art der Daten, zu denen sie eine Auskunft wünscht, näher bezeichnen.
Die Auskunftserteilung soll in einer für die betroffene Person verständlichen Form und Sprache erfolgen. Bei der Auskunftserteilung sind die vorhandenen personen-bezogenen Daten und der Zweck der Speicherung mitzuteilen. Weiter soll, soweit verfügbar, die Herkunft der Daten erläutert werden. Verpflichtend sind außerdem Angaben zu etwaigen Empfänger der Daten, die Dauer der Speicherung, einer et-waigen automatisierten Entscheidungsfindung sowie Hinweise auf die Betroffenen-rechte und das Beschwerderecht bei der Aufsichtsbehörde.
Neben dem Auskunftsrecht steht der betroffenen Person grundsätzlich auch der Anspruch zu, die zu ihrer Person gespeicherten Daten in strukturierter Form zu er-halten, damit diese von einem anderen Verantwortlichen übernommen werden können. Dieses Recht auf Datenübertragbarkeit bezieht sich aber nur auf solche Daten, die auf Basis einer Einwilligung, zur Erfüllung eines Vertrages oder im Rahmen einer automatisierten Verarbeitung verarbeitet wurden.
Bei der Auskunftserteilung und Erfüllung des Anspruchs auf Datenübertragbarkeit ist sicherzustellen, dass die Identität der betroffenen Person verifiziert wird. Weiter ist zu beachten, dass im Rahmen der Auskunftserteilung keine personenbezogenen Daten Dritter offenbart werden.
Über alle Anfragen auf Auskunftserteilung oder Ansprüche auf Datenübertragbar-keit ist die Datenschutzbeauftragte zu informieren.
Wenn eine Anfrage nicht umgehend beantwortet bzw. ein Anspruch nicht umge-hend erfüllt werden kann, ist der betroffenen Person zumindest eine Zwischenin-formation zu übermitteln, in der die voraussichtliche Bearbeitungszeit mitgeteilt werden soll.

2. Löschung und Einschränkung der Verarbeitung
Bei berechtigtem Ersuchen einer betroffenen Person sind die zu ihrer Person gespeicherten personenbezogenen Daten zu löschen. Ein Ersuchen ist insbesondere berechtigt, wenn keine Grundlage für die Datenverarbeitung besteht oder die Grundlage zwischenzeitlich entfallen ist. Sofern keine Grundlage (mehr) für die Speicherung von personenbezogenen Daten besteht, sind diese unabhängig von einem Ersuchen der betroffenen Person zu löschen.
Soweit eine Löschung nicht in Betracht kommt, ist zu prüfen, inwieweit zumindest eine Einschränkung der Verarbeitung der personenbezogenen Daten erfolgen kann.

3. Recht auf Berichtigung
Unvollständige oder unrichtige personenbezogene Daten sind auf Verlangen der betroffenen Person zu korrigieren. Die Korrektur ist dabei auch im Interesse des Unternehmens, da der gesamte Datenbestand möglichst richtig und von hoher Qualität sein soll.

4. Recht auf Widerruf, Widerspruch und Beschwerde
Eine von der betroffenen Person erteilte Einwilligung auf Daten ist jederzeit frei widerruflich. Die betroffene Person ist auf die Möglichkeit des Widerrufs hinzuwei-sen. Der Widerruf gilt mit Wirkung für die Zukunft.
Soweit die Verarbeitung von Daten auf Basis einer gesetzlichen Ermächtigungs-grundlage erfolgt, bedarf es keiner Einwilligung der betroffenen Person. Wider-spricht die betroffene Person der Datenverarbeitung, ist zu prüfen, inwieweit auf die Datenverarbeitung zukünftig verzichtet werden kann. Ist dies nicht möglich, ist es der betroffenen Person dies entsprechend zu erläutern.
Die betroffene Person hat das Recht, sich über den Umgang mit ihren personenbe-zogenen Daten im Unternehmen zu beschweren. Die Beschwerde ist unverzüglich an den Datenschutzbeauftragten weiterzuleiten, sofern sie nicht an ihn direkt ge-richtet war. Der Datenschutzbeauftragte wird die Beschwerde beantworten und ggf. angemessene Maßnahmen zur Verbesserung des Datenschutzniveaus vorschla-gen.

VII. Schlussbestimmungen
Alle Mitarbeiter des Unternehmens haben auf die Einhaltung dieser Richtlinie zu achten und auf diese Weise dazu beizutragen, dass in dem gesamten Unterneh-men einheitlich hohe Datenschutzstandards etabliert werden.
Eine allgemeine Veröffentlichung der Richtlinie ist nicht vorgesehen, da es sich um eine interne Richtlinie handelt.

Stand: Juni 2018