Unternehmensrichtlinie zur Organisation des Datenschutzes bei der Decker Elektrotechnik GmbH

 

1. Grundsätze

 

Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen. Deshalb verarbeiten wir die personenbezogenen Daten unserer Mitarbeiter, Kunden sowie Geschäftspartner in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.

 

In dieser Datenschutzrichtlinie werden beschrieben, welche Arten von personenbezogenen Daten

wir erheben, wie diese Daten genutzt werden, an wen sie übermittelt werden und welche Wahlmöglichkeiten und Rechte betroffene Personen im Zusammenhang mit unserer Verarbeitung der Daten haben. Außerdem beschreiben wir, mit welchen Maßnahmen wir die Sicherheit der Daten gewährleisten und wie betroffene Personen Kontakt mit uns aufnehmen können, wenn Sie Fragen zu unserer Datenschutzpraxis haben.

 

Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung und die insoweit bei der

Decker Elektrotechnik GmbH bestehenden Verantwortlichkeiten. Alle Mitarbeiter sind zur Einhaltung der Richtlinie verpflichtet.

 

Die Richtlinie richtet sich an die Personen oder Abteilungen, die über den Einsatz, bzw. die Bereitstellung eines Anwendungssystems entscheiden, wie die IT-Abteilung, hier insbesondere der Systemadministrator.

 

Die Richtlinie richtet sich an die Personen oder Abteilungen, die über die Nutzung des Systems für ihre Aufgaben entscheiden, hier insbesondere die einzelnen Fachabteilungen.

 

Die Richtlinie richtet sich an die Benutzer, d.h. diejenigen, die das zur Verfügung gestellte System für die Erledigung ihrer betrieblichen Aufgaben nutzen.

 

Die Richtlinie richtet sich an den, wenn bereits vorhanden, betrieblichen Datenschutzbeauftragten (DSB), der ihre Umsetzung beratend und kontrollierend begleitet und die ihm speziell zugewiesenen Aufgaben wahrzunehmen hat.

 

Dabei gelten folgende Grundsätze:

 

●  Die DV-Hard- und Software sind für betriebliche Aufgaben, und zwar für die jeweils vorgesehenen Zwecke, zu verwenden und gegen Verlust und Manipulation zu sichern. Eine Nutzung für private Zwecke ist nicht.

 

●  Jeder Mitarbeiter ist in seinem Verantwortungsbereich für die Umsetzung der Richtlinie verantwortlich.

Die Einhaltung muss von ihm regelmäßig kontrolliert werden.

 

●  Die für die Verarbeitungen der eingesetzten Systeme Verantwortlichen stellen sicher, dass ihre Mitarbeiter (Benutzer) über diese Richtlinie informiert werden; das gilt auch für temporär Beschäftigte.

 

●  Der Datenschutzbeauftragte, so vorhanden, berät bei der Umsetzung der Richtlinie und prüft deren Einhaltung. Insoweit sind alle Adressaten der Richtlinie dem DSB auskunftspflichtig.

 

2. Beschaffung/Hard- und Software

 

2.1

Die Beschaffung von Hard- und Software erfolgt grundsätzlich auf Anforderung der über die Verarbeitungen entscheidenden Person/Abteilung durch die zentrale DV-Beschaffung. Bereits bei der Auswahl von Hard- und Software wird das Prinzip der Gewährleistung von Datenschutz durch Technik-gestaltung und durch datenschutzfreundliche Voreinstellungen als ein tragendes Kriterium beachtet.

 

2.2

Falls mit der Beschaffung ein neues Verfahren der Verarbeitung personenbezogener Daten eingeführt

werden soll, ist, wenn bereits geschehen, der Datenschutzbeauftragte rechtzeitig vorab von der anfordernden Stelle zu informieren (siehe hierzu Näheres in Ziff. 5.2). Die Beschaffung erfolgt dann in der Regel erst nach Stellungnahme des DSB. Der DSB berät dahingehend, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist. Die Durchführung einer Datenschutz-Folgenabschätzung richtet sich nach der dafür vorgesehenen Verfahrensanweisung.

 

2.3

Private Hard- und Software dürfen nicht zur Verarbeitung personenbezogener Daten Verwendung

finden. Die dienstliche Nutzung privater Hard- und Software im heimischen und außerbetrieblichen

Bereich (z.B. private Notebooks) bedarf der Genehmigung durch die IT-Abteilung im Einzelfall.

 

2.4

Die IT-Abteilung führt ein Verzeichnis der eingesetzten Hardware und der verwendeten Anwendungs-programme.

 

2.5

Bei Verdacht des Diebstahls von Hard- und Software, des unbefugten Zugriffs auf personenbezogene

Daten, von Sabotage usw. sind die DV-Abteilung unverzüglich zu informieren. Näheres regelt die dafür vorgesehene Verfahrensanweisung.

 

3. Verpflichtung/Schulung der Mitarbeiter

 

3.1

Jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, ist auf einen vertraulichen Umgang mit personenbezogenen Daten und die Einhaltung dieser Richtlinie zu verpflichten.

 

3.2

Die Verpflichtung erfolgt für bestimmte Bereiche durch die Geschäftsleitung.

 

3.3

Mitarbeiter, die besonderen Geheimhaltungsverpflichtungen (z.B. Fernmeldegeheimnis nach § 88 TKG) unterliegen, werden von den Vorgesetzen ergänzend schriftlich verpflichtet. Die jeweilige Verpflichtungs-erklärung ist zu den Personalakten zu nehmen.

 

3.4

Ist ein Datenschutzbeauftragter bestellt, so  ist auch er über die Verpflichtung von Mitarbeitern und deren Arbeitsplatz zwecks von ihm vorzunehmender weiterer Schulungen und die Feststellung evtl. Kontrollbedarfs zu informieren.

 

3.5

Für in Abstimmung mit den jeweiligen Abteilungsleitungen angesetzte Schulungstermine sind die betroffenen Mitarbeiter freizustellen.

 

4. Transparenz der Datenverarbeitung

 

4.1

Über Verfahren, die den Umgang mit personenbezogenen Daten betreffen, führt der Verantwortliche ein Verzeichnis von Verarbeitungen gem. Art. 30 DSGVO. Der für ein Verfahren Verantwortliche bzw. der zuständige Datenschutzkoordinator meldet dieses zeitnah gemäß den definierten Vorgaben. Gleiches gilt für Veränderungen (Change Request).

 

4.2

Unabhängig von dieser Meldung ist bei der Planung der Einführung neuer Verarbeitungen bzw. der Veränderung bestehender Verfahren über Zweck und Inhalt der Anwendung und die Erfüllung

der Benachrichtigungspflicht zu informieren (vgl. Ziff. 6.4).

 

4.3

Soweit feststellt wird, dass die beabsichtigte Verarbeitung einer Datenschutz-Folgenabschätzung

unterliegt, wird dies umgehend mitgeteilt. Das Verfahren darf erst nach Zustimmung der Geschäftsleitung durchgeführt werden.

 

4.4

Macht ein Betroffener von seinem Auskunftsrecht nach Art. 15 DSGVO oder seinem Korrektur- oder

Widerspruchsrecht nach Art. 16 und Art. 21 DSGVO Gebrauch, so erfolgt die zentrale Bearbeitung durch den Verantwortlichen. Auskunfts- und Einsichtsrechte von Mitarbeitern werden durch die Personal-verwaltung erfüllt.

 

Es ist sicherzustellen, dass dem Betroffenen seine Daten auf Wunsch in einem strukturierten, gängigen

und maschinenlesbaren Format zur Verfügung gestellt werden können. Welcher Standard diesen

Anforderungen genügt, ist im Vorfeld einvernehmlich durch die IT-Abteilung festzulegen.

Hierzu ist die Verfahrensanweisung „Datenportabilität“ zu beachten.

 

5. Erhebung/Verarbeitung von personenbezogenen Daten

 

5.1

Soweit die personenbezogenen Daten für die Aufnahme und Durchführung der Geschäfts- / Kundenbeziehung und der damit verbundenen vertraglichen oder gesetzlichen Pflichten erforderlich sind, sind diese Daten von den Betroffenen bereitzustellen, damit wir unsere Leistungspflichten oder rechtlichen Verpflichtungen nachkommen können. Ohne die Bereitstellung der Daten können wir unter Umständen die Leistung nicht mehr, nicht ordnungsgemäß oder nicht vollständig erbringen. Für den reinen Besuch der Website sind die Daten nicht vertraglich oder gesetzlich bereitzustellen, aber die Darstellung und der Bedienkomfort kann eingeschränkt sein.

 

5.2

Die Erhebung und Verarbeitung personenbezogener Daten darf nur im Rahmen des rechtlich                   Zulässigen erfolgen. Hierbei sind auch die besonderen Voraussetzungen für die Erhebung und Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DSGVO zu beachten. Grundsätzlich dürfen nur solche Informationen verarbeitet und genutzt werden, die zur betrieblichen Aufgabenerfüllung erforderlich sind und in unmittelbarem Zusammenhang mit dem Verarbeitungszweck stehen.

 

5.3

Es wird sichergestellt, dass Betroffene keiner Entscheidung unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen und zugleich den Betroffenen gegenüber eine rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen (bspw. Profiling).

 

5.4

Vor Einführung neuer Arten von Erhebungen ist die Zulässigkeit bestimmende Zweckbestimmung der Daten durch den für die Anwendung Verantwortlichen schriftlich zu dokumentieren. Grundsätzlich ist eine Zweckänderung nur dann zulässig, wenn die Verarbeitung mit denjenigen Zwecken vereinbar ist, für die die Daten ursprünglich erhoben worden sind. Die im Rahmen der Zweckänderung genutzten Abwägungs-Kriterien sind einzeln zu prüfen. Die Prüfung ist darüber hinaus auch zu einem ordnungsgemäßen Nachweis zu dokumentieren. Eine Zweckänderung ist auch zulässig, wenn eine Einwilligung der betroffenen Person durch den Verantwortlichen eingeholt wird. Gleichzeitig hat der für die Verarbeitung Verantwortliche vor der Erhebung bzw. der Speicherung von Daten schriftlich festzulegen, ob und in welcher Art und Weise der gesetzlichen Benachrichtigungspflicht des Betroffenen zu genügen ist.

 

5.5

Falls andere Stellen Informationen über Betroffene anfordern, dürfen diese ohne Einwilligung des Betroffenen nur gegeben werden, wenn hierfür eine gesetzliche Verpflichtung oder ein die Weitergabe rechtfertigendes legitimes Interesse des Unternehmens besteht und die Identität des Anfragenden zweifelsfrei feststeht.

 

6. Datenhaltung/Versand/Löschung

 

6.1

Wenn wir ihre personenbezogenen Daten speichern, dann erfolgt dies nur für einen begrenzten Zeitraum und nicht länger als notwendig. Grundsätzlich löschen wir Ihre Daten, wenn sie für den Verarbeitungszweck, für den sie erhoben wurden, nicht mehr notwendig sind oder sonstige rechtliche Gründe vorliegen, die eine Löschung erfordern.

Soweit wir gesetzlichen Aufbewahrungspflichten unterliegen, die eine längere Aufbewahrung erfordern, speichern wir die Daten für diesen Zeitraum, insbesondere zur Erfüllung handels- und steuerrechtlicher Aufbewahrungsfristen, die zwischen 2 und 10 Jahren liegen. Sonstige rechtliche Gründe zur Aufbewahrung können darin bestehen, dass wir Daten zu Beweiszwecken für die Dauer der anwendbaren Verjährungs-vorschriften vorhalten müssen. Diese Fristen liegen in der Regel zwischen 2 und 30 Jahren.

 

6.2

Die Speicherung von Daten erfolgt grundsätzlich auf den hierzu zur Verfügung gestellten Netzlauf-werken. Eine Speicherung auf mobilen Datenträgern oder Cloudspeicher (z.B. Flashspeicher, Streamer-Bändern) bedarf der Genehmigung durch die IT-Abteilung und der Registrierung durch die den Träger einsetzende(r) Abteilung/Benutzer. Bei Netzwerken ist die IT-Abteilung für die Sicherung der Daten verantwortlich, die auf dem Server gespeichert sind.

 

6.3

Soweit technisch bedingt ein anderer Speicherort erforderlich ist (z.B. Notebook, Desktop-PC) ist der jeweilige Benutzer für die Durchführung der Datensicherung selbst verantwortlich. Ist ein Netzzugang möglich (z.B. bei Notebook mit WLAN, Tablet), ist zumindest einmal wöchentlich der aktuelle Datenbestand auf das für den Benutzer reservierte Netzlaufwerk zu überspielen. Die gewählten Datensicherungs-maßnahmen sind in dem Verfahrensverzeichnis zu dokumentieren.

 

6.4

Gesetzliche Aufbewahrungsfristen und Löschungstermine sind von dem über die Verarbeitung der Daten Entscheidenden in seiner Verantwortung zu beachten. Die IT-Abteilung ist über die Einhaltung

der Termine insbesondere im Hinblick auf die Löschung personenbezogener Daten in Sicherungskopien

zu informieren.

 

6.5 Bei der Weiter- oder Rückgabe nicht mehr benötigter IT-Komponenten ist der Benutzer verpflichtet,

dafür zu sorgen, dass zuvor sämtliche Daten wirksam gelöscht wurden.

 

7. Personenbezogene Daten

 

Rechte, Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Widerruf, Beschwerden

 

7.1 Rechte

Sie haben gesetzlich folgende Rechte in Bezug auf Ihre personenbezogenen Daten. Sie können sich dazu bei dem jeweiligen Verantwortlichen melden, auch wenn Sie mehr darüber erfahren möchten, was diese Rechte im Einzelnen bedeuten. Da die rechtlichen Einzelheiten durchaus kompliziert sind, stellen wir Ihnen im Folgenden die wichtigsten Informationen zu den Rechten zur Verfügung. Bitte teilen Sie uns mit, in welcher Form Sie die Informationen wünschen. Wenn Sie keinen Wunsch angeben, beantworten wir Ihr Anliegen in der Regel in der gleichen Form wie die Anfrage. Sie erhalten innerhalb eines Monats Rückmeldung. Im Falle von offensichtlich unbegründeten oder exzessiven Anträgen sind wir berechtigt, ein angemessenes Entgelt zu verlangen oder Ihre Anfrage abzulehnen.

 

7.2 Zugang

Sie haben das Recht, Auskunft darüber zu verlangen, ob wir personenbezogene Daten zu ihrer Person verarbeiten oder nicht. Wenn wir Ihre personenbezogenen Daten verarbeiten, erhalten Sie Auskunft über die konkreten Daten und weitere Zusatzinformationen (Art. 15 DSGVO).

 

7.3 Berichtigung

Sie haben das Recht, von uns die Berichtigung ihrer Daten zu verlangen, sofern diese unrichtig, unzutreffend und/oder unvollständig sein sollten; das Recht auf Berichtigung umfasst das Recht auf Vervollständigung durch ergänzende Erklärungen oder Mitteilungen (Art. 16 DSGVO).

 

7.4 Löschung

Sie haben das Recht, von uns die Löschung ihrer personenbezogenen Daten zu verlangen, soweit kein Grund mehr zur Aufbewahrung besteht (Art. 17 DSGVO).

 

7.5 Einschränkung

Sie haben das Recht, die Verarbeitung ihrer personenbezogenen Daten in bestimmten Fällen für einen bestimmten Rahmen einschränken zu lassen (Art. 18 DSGVO).

 

7.6 Übertragbarkeit

Sie haben unter Umständen das Recht, die Herausgabe der Sie betreffenden Daten in einem gängigen elektronischen, maschinenlesbaren Datenformat zu verlangen (Art. 20 DSGVO).

 

7.7 Widerspruch

Das Recht auf Datenübertragung beinhaltet das Recht zur Übermittlung der Daten an einen anderen Verantwortlichen; auf Verlangen werden wir – soweit technisch möglich – Daten daher direkt an einen von Ihnen benannten oder noch zu benennenden Verantwortlichen übermitteln. Das Recht zur Datenübertragung besteht nur für von Ihnen bereitgestellte Daten und setzt voraus, dass die Verarbeitung auf Grundlage einer Einwilligung oder zur Durchführung eines Vertrages erfolgt und mithilfe automatisierter Verfahren durchgeführt wird (Art. 20 DSGVO).

 

Im Fall einer Verarbeitung personenbezogener Daten zur Wahrnehmung von im öffentlichen Interesse liegenden Aufgaben (Art. 6 Abs. 1 lit. e DSGVO) oder zur Wahrnehmung berechtigter Interessen                      (Art. 6 Abs. 1 lit. f DSGVO), können Sie der Verarbeitung der sie betreffenden personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widersprechen, wenn es keinen Grund zur Weiterverarbeitung gibt.

 

Bitte beachten Sie, dass Ihnen das Recht zum Widerspruch gesetzlich nicht zusteht, wenn die Verarbeitung auf Grundlage einer Einwilligung erfolgt. Da Ihnen aber ein Recht zum Widerruf der Einwilligung mit Wirkung für die Zukunft immer dann zusteht, wenn Daten mit Ihrer Einwilligung verarbeitet werden, erreichen Sie durch den Widerruf ein dem Widerspruch vergleichbares Ergebnis (Art. 21 DSGVO).

 

7.8 Widerruf

Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten gegeben haben, können Sie diese jederzeit und ohne Angaben von Gründen mit Wirkung für die Zukunft widerrufen. Bitte melden Sie sich dazu bei der Kontaktstelle, bei der Sie die Einwilligung gegeben haben oder direkt beim Datenschutzbeauftragten.

 

7.9 Beschwerden

Sie haben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen, wenn es um die Verarbeitung Ihrer persönlichen Daten geht, Art. 77 DSGVO. Die für uns zuständige Behörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Frau Block, Kavalleriestraße 2-4, 40213 Düsseldorf.

 

8. Externe Dienstleister/Auftragsverarbeitung/Wartung

 

8.1

Sollen externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelnen Verarbeitungsschritten (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten (z.B. Wartung, Reparatur) beauftragt werden, bei denen sie die Möglichkeit der Kenntnis personenbezogener Daten bekommen, so ist der DSB vor der Beauftragung unter Vorlage des den Anforderungen des Art. 28 DSGVO genügenden Vertragsentwurfs und der Kriterien der erfolgten bzw. nachfolgend vorgesehenen Auftrags-kontrolle zu informieren.

 

8.2

Entsprechendes gilt, falls die Decker Elektrotechnik GmbH entsprechende Tätigkeiten im Auftrag Dritter wahrnehmen will.

 

9. Sicherheit der Verarbeitung

 

9.1

Für jedes Verfahren ist eine dokumentierte Schutzbedarfsfeststellung sowie eine Analyse                       bzgl. der für den Betroffenen möglichen Risiken zu erstellen. Diese richten sich an der Art, dem Umfang,  der Umstände und Zwecke der Verarbeitung sowie der Wahrscheinlichkeit des Eintritts einer solchen Gefahr.

 

9.2

Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität der Daten sowie der Belastbarkeit der Daten verarbeitenden Systeme ist ein allgemeines Sicherheitskonzept zu erstellen. Das Konzept orientiert sich an der zuvor erstellten Schutzbedarfsfeststellung und der Risikoanalyse. Dieses Konzept ist maßgeblich für alle weiteren Verfahren.

 

9.3

Neben dieser Richtlinie bestehen ergänzende Regelungen, die insbesondere zur Realisierung der Datensicherungsgebote des Art. 32 DSGVO zu treffende Maßnahmen bezeichnen. Hierzu gehören u.a.:

• Arbeitsanweisung zum datenschutzgerechten Versand von Datenträgern und zu Verschlüsselung von Daten

• Arbeitsanweisung zum Passwortverfahren

• Arbeitsanweisung zur Erteilung von Auskünften im Personalbereich

• Arbeitsanweisung zur PC- und Laptop-Nutzung

• Arbeitsanweisung Telearbeit/Home-Office

 

10. Rechenschafts- und Dokumentationspflicht

 

Die Einhaltung der Vorgaben, die sich aus dieser Richtlinie ergeben, muss jederzeit nachweisbar sein („Accountability“). Eine Nachweisbarkeit hat insbesondere durch eine schlüssige und nachvollziehbare

schriftliche Dokumentation hinsichtlich getroffener Maßnahmen und dazugehöriger Abwägungen

zu erfolgen.

 

11. Ansprechpartner zum Datenschutz

 

Sie können jederzeit schriftlich gemäß dem geltenden Recht nachfragen, ob und welche persönlichen Daten über Sie bei uns gespeichert sind. Wir werden Ihnen dann eine entsprechende Mitteilung zusenden. Bitte richten Sie Ihre Anfragen an den Verantwortlichen, der Ihnen im Falle von Auskunftsersuchen, Anregungen oder bei Beschwerden als Ansprechpartner zur Verfügung steht.

 

Decker Elektrotechnik GmbH

Gießereiweg 10

45141 Essen

+49 201 891 52 55

info@decker-elektrotechnik.de

 

Darüber hinaus weisen wir darauf hin, dass diese Erläuterungen zum Datenschutz einer ständigen Anpassung an die aktuellen Erfordernisse und Gesetzeslage unterliegen.

 

Essen, im Juli 2018

© Decker Elektrotechnik GmbH