Allgemeiner Hinweis und Pflichtinformationen

​​
Richtlinien zum Datenschutz

​

INFORMATIONEN ÜBER DEN FÜR DIE VERARBEITUNG VERANTWORTLICHEN SOWIE DEN DATENSCHUTZBEAUFTRAGTEN:

Verantwortlicher
unitedhome GmbH

Königsallee 19
40212 Düsseldorf Datenschutzbeauftragter
DataCo GmbH
Nymphenburger Str. 86
80636 München +49 (0) 89 7400 45840 datenschutz@dataguard.de www.dataguard.de

A. Unternehmensweite Grundprinzipien

I. Anwendungsbereich und Ziele dieser Richtlinie zum Datenschutz

Diese Richtlinie stellt eine verbindliche Grundlage für den datenschutzkonformen Umgang mit personenbezogenen Daten im Unternehmen dar. Mit der Umsetzung dieser Richtlinie soll der Schutz von Grundrechten und Grundfreiheiten der betroffenen Personen gewahrt sowie die Gewährleistung eines dem Risiko angemessenen Datenschutzniveaus erreicht werden. Dabei wird primär das Ziel verfolgt, alle datenschutzrelevanten Handlungen des Unternehmens mit den geltenden Bestimmungen des Datenschutzes (insb. der Datenschutz-Grundverordnung sowie des Bundesdatenschutzgesetzes) in Einklang zu bringen.

Diese Richtlinie gilt für das gesamte Unternehmen sowie alle mit dem Unternehmen verbundenen Gesellschaften, die wirtschaftlich vom Unternehmen geführt werden bzw. an denen das Unternehmen eine unmittelbare oder mittelbare Beteiligung von mehr als 50% hält.

Die Bestimmungen dieser Richtlinie gelten für alle Beschäftigte sowie leitende Angestellte des Unternehmens. Die Richtlinie wird jedem Mitarbeiter zu Beginn des Beschäftigungsverhältnisses ausgehändigt und kann jederzeit im internen System des Unternehmens abgerufen werden.

Diese Richtlinie findet Geltung für sämtliche Vorgänge, bei denen personenbezogene Daten natürlicher oder juristischer Personen verarbeitet werden. Dabei ist es unerheblich, ob die Verarbeitung personenbezogener Daten elektronisch oder in Papierform erfolgt.

Die Bestimmungen dieser Richtlinie ergänzen die geltenden Datenschutzvorschriften, ohne diese zu ersetzen. Im Fall einer Kollision oder Abweichung zwischen den geltenden Datenschutzvorschriften und den Bestimmungen dieser Richtlinie genießen die geltenden Datenschutzvorschriften Anwendungsvorrang.

Änderungen dieser Richtlinie sind ausschließlich nach Zustimmung des Datenschutzbeauftragten möglich. Abweichende Regelungen, die durch das Unternehmen oder verbundene Gesellschaften getroffen werden, sind unzulässig Die Bestimmung, wann diese Richtlinie in Kraft gesetzt wird, obliegt der Geschäftsführung.

II. Begriffsbestimmungen

Dieser Richtlinie liegen folgende Begriffsbestimmungen zugrunde:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Besondere Kategorien personenbezogener Daten sind alle Informationen über die rassische und ethnische Herkunft,

über religiöse oder weltanschauliche Überzeugungen, über politische Meinungen, über eventuelle Gewerkschaftszugehörigkeit, über genetische oder biometrische Daten, über die Gesundheit oder über die sexuelle Orientierung bzw. das Sexualleben einer natürlichen Person.

Verarbeitung personenbezogener Daten bedeutet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe in Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Betroffene Personen sind natürliche Personen, deren personenbezogene Daten verarbeitet werden.

Das Profiling bezeichnet jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Dateisystem bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Verantwortlicher bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Einwilligung der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Unternehmen ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.

Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

III. Datenschutzbeauftragter

Der Datenschutzbeauftragte überwacht die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz sowie Regelungen dieser Richtlinie. Er berät und unterrichtet die Geschäftsführung bei der Erfüllung ihrer datenschutzrechtlichen Verpflichtungen. Darüber hinaus fungiert er als Anlaufstelle für die betroffenen Personen und Aufsichtsbehörden bei Fragen, die mit der Verarbeitung personenbezogener Daten zusammenhängen.

Der Datenschutzbeauftragte arbeitet weisungsfrei und unter Anwendung seines Fachwissens. Er berichtet unmittelbar der höchsten Managementebene.

Das Unternehmen hat einen Datenschutzbeauftragten bestellt. Dieser kann wie folgt erreicht werden: DataCo GmbH
Nymphenburger Str. 86
80636 München +49 (0) 89 7400 45840

datenschutz@dataguard.de www.dataguard.de

Beschäftigte des Unternehmens können sich jederzeit vertrauensvoll an den Datenschutzbeauftragten wenden. Insbesondere bei folgenden Themen ist der Datenschutzbeauftragte möglichst früh einzubeziehen:

Anfragen oder Beschwerden der betroffenen Personen.

Anfragen der Aufsichtsbehörden.

Datenpannen (Verletzungen des Schutzes personenbezogener Daten).

Fragen bezüglich der Datenschutzdokumentation.

Konzeptionierung neuer Unternehmensstrategien, die Bezüge zum Datenschutz aufweisen.

Datenschutzkonformität der angebotenen Produkte und Dienstleistungen sowie eingesetzten Tools und Programme (privacy by design/privacy by default – siehe hierzu IV.).

IV. Grundsätze für die Verarbeitung personenbezogener Daten

Bei der Verarbeitung personenbezogener Daten sind folgende Grundsätze zwingend zu beachten:

Rechtmäßigkeit der Verarbeitung - personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden (s. hierzu V.).

Zweckbindung - Personenbezogene Daten dürfen ausschließlich für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürfen nicht in einer von diesen Zwecken abweichenden Weise weiterverarbeitet werden. Eine nachträgliche Zweckänderung bedarf in jedem Fall einer gesonderten Rechtfertigung. Dabei müssen insbesondere folgende Punkte berücksichtigt werden:

1. die Verbindung zwischen dem ursprünglichen und anvisierten Zweck der Datenverarbeitung 2. der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden
3. die Art der personenbezogenen Daten, die verarbeitet werden
4. die möglichen Folgen der Datenverarbeitung, sowie

5. das Vorhandensein geeigneter Garantien

Transparenz - der Umgang mit personenbezogenen Daten soll auf eine für die betroffene Person nachvollziehbare Weise erfolgen. Eine wichtige Rolle spielen dabei die Informationspflichten, denen der Verantwortliche nachkommen muss. Bei ihrer richtigen Umsetzung werden betroffene Personen darüber informiert, welchem Zweck die Datenverarbeitung dient, an welche verantwortliche Stelle sich die betroffene Person bei Fragen wenden kann und ob bzw. an welche Dritte die Daten übermittelt werden. In bestimmten Fällen ist die betroffene Person nachträglich darüber zu informieren, dass ihre personenbezogenen Daten aus anderen Quellen stammen (d.h. nicht direkt bei der betroffenen Person erhoben wurden). Auch bei Änderung der Zwecke ist die betroffene Person entsprechend zu informieren.

Die Transparenz der Datenverarbeitung spielt auch für Verantwortliche, Betreiber von Systemen oder kontrollierende Stellen eine wichtige Rolle. So können diese Personengruppen jederzeit nachvollziehen, welche Daten zu welchen Zwecken durch welche Stellen und mit welchen Mitteln verarbeitet werden. Dies kann dazu beitragen, dass Mängel in der Datenverarbeitung schnell erkannt und behoben werden.

Datenminimierung - zum Kerngehalt der Datenminimierung gehört der Grundsatz der Notwendigkeit. Danach sind sämtliche Verarbeitungsvorgänge so auszugestalten, dass nur so viele personenbezogene Daten verarbeitet werden, als für die Erreichung des konkreten Zweckes benötigt werden. Diesen Grundsätzen kommt eine entscheidende Rolle z.B. bei der Definition von internen Löschroutinen zu.

Vor der Verarbeitung personenbezogener Daten ist zu prüfen, ob und inwiefern der jeweilige Verarbeitungszweck mit der beabsichtigten Verarbeitung erreicht wird. Sofern der Zweck auch ohne Rückgriff auf personenbezogene Daten erreicht werden kann, etwa durch Verarbeitung anonymisierter oder pseudonymisierter Daten, ist diese Variante der Datenverarbeitung vorzuziehen.

Speicherbegrenzung - eine Speicherung personenbezogener Daten auf Vorrat für anlasslose oder zukünftige Zwecke ist unzulässig. Die Speicherung personenbezogener Daten soll nur so lange erfolgen, wie sie für den jeweiligen Verarbeitungszweck erforderlich ist.

Richtigkeit - die Richtigkeit, Vollständigkeit und Aktualität der erhobenen personenbezogenen Daten ist sicherzustellen. Unrichtige, unvollständige oder nicht mehr aktuelle Daten sind unverzüglich zu berichtigen, zu ergänzen, zu aktualisieren oder zu löschen.

Integrität - personenbezogene Daten sind vertraulich zu behandeln. Durch geeignete technische wie auch organisatorische Maßnahmen ist in jedem Fall sicherzustellen, dass ein angemessener Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet wird.

Löschung - sobald die Zwecke der Datenverarbeitung wegfallen und die gesetzlichen Aufbewahrungsfristen abgelaufen sind, sind personenbezogene Daten zu löschen.

Die Verfügbarkeit - zum Kernelement der Verfügbarkeit gehört die unverzügliche Zugriffsmöglichkeit auf personenbezogene Daten und ihre ordnungsgemäße Verwendung im Rahmen eines bestimmten Verarbeitungsprozesses. Darunter fällt insbesondere die Auffindbarkeit der Daten, die strukturierte Art und Weise ihrer Darstellung sowie die Fähigkeit der Systeme der Datenverarbeitung, personenbezogene Daten in einem für Nutzer angemessenen Format darzustellen. Darüber hinaus ist durch technische Maßnahmen sicherzustellen, dass:

personenbezogene Daten bei technischen Vorfällen rasch wiederhergestellt werden können;
die Systeme der Datenverarbeitung im Fall einer hohen Belastung funktionsfähig bleiben;
Maßnahmen implementiert werden, die die Folgen einer Datenschutzverletzung beheben bzw. abmildern können.

Die Integrität - die Integrität setzt voraus, dass die zu verarbeitenden personenbezogenen Daten vollständig, aktuell, richtig und unversehrt bleiben. Darüber hinaus müssen interne Prozesse implementiert werden, die die Abweichungen von diesen Eigenschaften ausschließen oder die Nachverfolgung der Abweichungen zum Zwecke der Korrektur ermöglichen. Insbesondere bei hoher Belastung der Systeme sowie bei automatisierten Bewertungs- und Entscheidungsprozessen muss sichergestellt werden, dass Aspekte der Datenintegrität gewahrt bleiben.

Die Vertraulichkeit - die Vertraulichkeit personenbezogener Daten erfordert die Etablierung transparenter Zugriffs- und Berechtigungsrechte für die gesamte Unternehmensstruktur. Dabei sollen Personen, die keinen Bezug zu einer konkreten Verarbeitungstätigkeit bzw. zu einer Gruppe betroffener Personen haben, keinen Zugriff auf personenbezogene Daten erlangen (z.B. Umsetzung des ,,need-to-know“-Prinzips).

Darüber hinaus sind die speziellen Anforderungen an die Sicherheit und Belastbarkeit der Systeme sowie an die Behebung bzw. Abmilderung der Folgen eines Datenschutzverstoßes besonders zu beachten.

Die Nichtverkettung - nach dem Grundsatz der Nichtverkettung dürfen personenbezogene Daten nicht zusammengeführt werden. Andernfalls können neue Datensätze generiert werden, obwohl die ursprüngliche Verarbeitung einzelner Daten auf unterschiedlichen Rechtsgrundlagen bzw. Verarbeitungszwecken beruhte. Geeignete technische Maßnahmen (wie z.B. die Pseudonymisierung von Daten) können einer Verkettung vorbeugen.

Die Intervenierbarkeit - die Intervenierbarkeit setzt voraus, dass den betroffenen Personen ihre Rechte wirksam gewährt werden. Damit hängt die Pflicht des Verantwortlichen zusammen, unternehmensinterne Maßnahmen zu implementieren, die jederzeitigen Zugriff auf die Verarbeitungsprozesse (von der Erhebung bis zur Löschung personenbezogener Daten) und eine schnelle Identifizierung der betroffenen Personen ermöglichen.

Beispiel: die betroffene Person widerruft ihre Einwilligungserklärung. Damit sichergestellt werden kann, dass keine Verarbeitung mehr erfolgt, sollen effektive Systeme implementiert werden (wie z.B. Consent Management Plattformen oder - Software). So bleiben die erteilten Einwilligungen und eventuelle Widerrufe dokumentiert. Auch wird die weitere Verarbeitung personenbezogener Daten unterbunden.

Privacy by design/privacy by default – nach diesem Grundsatz sind die Prinzipien des Datenschutzes in die unternehmensinternen Softwareanwendungen bzw. Dienste der Datenverarbeitung zu integrieren. Bei der Auswahl der Datenverarbeitungssysteme sind die datenschutzfreundlichen Voreinstellungen sowie Konfigurationsmöglichkeiten zu berücksichtigen.

V. Rechtmäßigkeit der Verarbeitung

Personenbezogene Daten sind auf rechtmäßige Weise zu verarbeiten. Dies setzt voraus, dass die Verarbeitung auf eine wirksame Einwilligung der betroffenen Person oder auf eine Rechtsgrundlage gestützt werden kann. Diese Grundlagen der Datenverarbeitung sollten im Unternehmen bekannt gemacht und beachtet werden. Die jeweilige Rechtsgrundlage muss in Einklang mit dem Verarbeitungszweck gebracht werden.

Die Verarbeitung ist nur dann rechtmäßig, wenn eine der nachstehenden Bedingungen erfüllt ist:

1. die betroffene Person hat freiwillig und unmissverständlich eingewilligt, dass ihre personenbezogenen Daten für einen bestimmten Zweck verarbeitet werden.

2. die Verarbeitung ist für die Erfüllung eines Vertrages erforderlich, dessen Partei die betroffene Person ist, oder weil die betroffene Person das Unternehmen aufgefordert hat, bestimmte Schritte vor dem Vertragsschluss zu unternehmen.

3. die Verarbeitung ist erforderlich, damit das Unternehmen eine rechtliche Verpflichtung erfüllen kann.

4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

5. die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

6. die Verarbeitung ist erforderlich, um die berechtigten Interessen des Unternehmens oder die berechtigten Interessen eines Dritten zu wahren. Dies gilt nicht, wenn ein zwingender Grund für den Schutz personenbezogener Daten der betroffenen Person vorliegt, der diese berechtigten Interessen überwiegt.

VI. Auftragsverarbeitung

In Fällen, in denen eine Verarbeitung von personenbezogenen Daten im Auftrag erfolgt, ist mit dem Auftragnehmer ein Auftragsverarbeitungsvertrag abzuschließen, dessen Inhalt den Anforderungen des Art. 28 DS-GVO zwingend entsprechen muss. Im Verhältnis Auftraggeber – Auftragnehmer hat der Auftragnehmer weisungsgebunden zu agieren.

Unabhängig von der Auftragsverarbeitung muss der Verantwortliche in jedem Fall sicherstellen, dass personenbezogene Daten nach den o.g. Grundsätzen (s. IV.) sowie rechtmäßig (s. V.) verarbeitet werden. Bei der Auswahl des Auftragsverarbeiters muss sich der Verantwortliche von der fachlichen Eignung des Auftragsverarbeiters sowie Angemessenheit seiner technisch-organisatorischen Maßnahmen vergewissern.

Erbringt der Auftragsverarbeiter seine Dienste in einem Drittland (Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) oder nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, der in einem Drittland ansässig ist, so muss der Verantwortliche sicherstellen, dass die Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission oder geeigneter Garantien i.S.d. DS-GVO erfolgt. Übermittlungen personenbezogener Daten in Drittländer sind in jedem Fall im Vorfeld mit dem Datenschutzbeauftragten zu besprechen.

VII. Verzeichnis von Verarbeitungstätigkeiten

Das Unternehmen führt ein Verzeichnis von Verarbeitungstätigkeiten, das Informationen über sämtliche Datenverarbeitungen enthält. Für jede Fachabteilung wird eine verantwortliche Person benannt, die für die Dokumentation der abteilungsbezogenen Verarbeitungsvorgänge zuständig ist. Bei der Dokumentation der Verarbeitungsvorgänge soll der Datenschutzbeauftragte hinzugezogen werden.

Der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten muss den Anforderungen des Art. 30 DS-GVO entsprechen.

VIII. Gewährleistung der Rechte der betroffenen Personen

Die unternehmensinternen (Kommunikations-) Systeme sind so auszurichten, dass Anfragen der betroffenen Personen rechtzeitig und vollständig bearbeitet werden können. Sobald der Verantwortliche mit einer Anfrage der betroffenen Person konfrontiert wird, ist der Datenschutzbeauftragte schnellstmöglich einzubinden.

Bei der Beantwortung der Anfragen ist in jedem Fall die Frist von einem Monat zu beachten, die mit dem Eingang des Antrags zu laufen beginnt. Die durchgeführte Maßnahme muss innerhalb dieser Frist dem Betroffenen angezeigt werden.

Der betroffenen Person stehen folgende Rechte zu:

Recht auf Auskunft gem. Art. 15 DS-GVO, § 34 BDSG

Die betroffene Person hat das Recht, Auskunft darüber zu verlangen, ob im Unternehmen sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, kann die betroffene Person Auskunft darüber verlangen, welche Daten zu welchem Zweck, aus welcher Herkunft und für welche Dauer gespeichert sind. Im Falle einer Datenübermittlung an Dritte, ist auch über die Identität des Empfängers sowie die Kategorien von Empfängern Auskunft zu erteilen.

Vor der Auskunftserteilung hat der Verantwortliche die Identität der betroffenen Person festzustellen und ggf. Maßnahmen zu ergreifen, um aufkommende Zweifel an der Identität der beantragenden Person auszuräumen.

Sofern das Auskunftsersuchen nicht elektronisch erfolgt, ist der betroffenen Person die Auskunft schriftlich zu erteilen. Darüber hinaus stellt der Verantwortliche eine Kopie der in Art. 15 Abs. 1 DS-GVO aufgeführten personenbezogenen Daten und Informationen zur Verfügung, die Gegenstand der Verarbeitung sind. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.

Recht auf Berichtigung gem. Art. 16 DS-GVO

Die betroffene Person kann die unverzügliche Berichtigung oder Ergänzung der sie betreffenden personenbezogenen Daten verlangen, die unrichtig oder unvollständig sind.

Recht auf Löschung gem. Art. 17 DS-GVO, § 35 BDSG

Die betroffene Person hat einen Anspruch auf unverzügliche Löschung der sie betreffenden personenbezogenen Daten, sobald einer der folgenden Löschungsgründe einschlägig ist:

Der Zweck der Datenverarbeitung ist nicht (mehr) vorhanden;

Eine Erlaubnis oder eine Rechtsgrundlage für die Datenverarbeitung fehlt oder ist weggefallen (z.B. indem die betroffene Person ihre Einwilligung widerrufen hat);

Die betroffene Person widerspricht der Datenverarbeitung und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;

Die Datenverarbeitung ist unrechtmäßig;

Zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen ist die Verarbeitung personenbezogener Daten nicht (mehr) erforderlich;

Ein die Rechte der betroffenen Person überwiegendes öffentliches Interesse an der Verarbeitung besteht nicht.

Recht auf Einschränkung Art. 18 DS-GVO

In folgenden Fällen kann die betroffene Person ihr Recht auf Einschränkung der Verarbeitung im Verhältnis zum Verantwortlichen geltend machen:

Die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten. Eine Einschränkung erfolgt für den Zeitraum, in dem der Verantwortliche die Richtigkeit überprüft;

Die Datenverarbeitung ist unrechtmäßig, jedoch verlangt die betroffene Person die Nutzungseinschränkung anstelle einer Löschung der personenbezogenen Daten;

Die personenbezogenen Daten werden vom Verantwortlichen für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;

Die betroffene Person hat gegen die Verarbeitung Widerspruch eingelegt. Eine Einschränkung erfolgt für den Zeitraum, in dem der Verantwortliche den Widerspruch überprüft.

Nach einer wirksamen Einschränkung der Verarbeitung dürfen die betreffenden personenbezogenen Daten nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutze der Rechte anderer oder aufgrund eines wichtigen öffentlichen Interesses verarbeitet werden. Die betroffene Person ist über die Aufhebung der Einschränkung zu informieren.

Recht auf Datenübertragbarkeit, Art. 20 DS-GVO

Sofern die Datenverarbeitung auf einer Einwilligung beruht oder zur Durchführung eines Vertrages erforderlich ist, hat die betroffene Person das Recht, die sie betreffenden personenbezogenen Daten an einen anderen Verantwortlichen zu übermitteln, soweit dies technisch möglich ist.

Recht auf Widerspruch, Art. 21 DS-GVO

Die betroffene Person hat jederzeit das Recht, gegen die Datenverarbeitung Widerspruch einzulegen, die auf einer Einwilligung beruht oder zur Wahrung berechtigter Interessen erforderlich ist. Dafür muss das Ergebnis einer Abwägung ergeben, dass das aufgrund einer besonderen Situation ergebende, schutzwürdige Interesse der betroffenen Person das Interesse des Unternehmens an der Verarbeitung überwiegt. Ein Widerspruchsrecht besteht nicht, wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Recht auf Beschwerde bei einer Aufsichtsbehörde, Art. 77 DS-GVO i. V. m. § 19 BDSG

Darüber hinaus steht der betroffenen Person das Recht zu, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen, wenn die betroffene Person der Auffassung ist, dass die Verarbeitung ihrer personenbezogenen Daten unrechtmäßig erfolgt.

Um die o.g. Rechte ausüben zu können, kann sich die betroffene Person an den Datenschutzbeauftragten des Unternehmens wenden.

IX. Vorgehen bei Verletzungen des Schutzes personenbezogener Daten (Datenpannen)

Im Falle einer Verletzung des Schutzes personenbezogener Daten ist die Aufsichtsbehörde unverzüglich, möglichst binnen von 72 Stunden zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für Rechte und Freiheiten natürlicher Personen führt. Ein solches Risiko kann bei der Gefahr von Diskriminierung, Identitätsdiebstahls, finanziellen Verlusten oder Rufschädigung bestehen. Der Datenschutzbeauftragte ist in jedem Fall über die Verletzung des Schutzes personenbezogener Daten zu informieren.

Der Verantwortliche ist in der Pflicht, die betroffene Person unverzüglich zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für Rechte und Freiheiten dieser Person führt.

Mögliche Beispiele für Datenschutzverletzungen:

Persönliche Daten werden bei einem Hackerangriff gestohlen.

Eine E-Mail mit sensiblem Inhalt wird an eine unbegrenzte Anzahl von Personen gesendet.

Kreditkartendaten sind im Internet öffentlich zugänglich.

Patientenakten werden im Hausmüll entsorgt.

Ein Laptop mit personenbezogenen Daten wird gestohlen, ohne dass angemessene Sicherheitsmaßnahmen (Passwort, Verschlüsselung der Daten) getroffen wurden.

Verlust von Hardware mit personenbezogenen Daten (USB-Sticks, dienstlich oder privat genutztes Mobiltelefon usw.).

X. Datenschutz-Schulungen

Der Datenschutzbeauftragte stellt dem Unternehmen eine Online-Schulungsplattform zur Verfügung. Diese soll den Beschäftigten des Unternehmens dabei helfen, ein umfassendes Verständnis für die geltenden Datenschutzbestimmungen zu schaffen und ihr Bewusstsein für den Datenschutz generell zu schärfen.

Die Teilnehmer erhalten am Ende ein Zertifikat über die erfolgreiche Teilnahme. Die Teilnahme an dieser Schulung ist für alle Beschäftigten des Unternehmens, die potenziell mit personenbezogenen Daten (z.B. Name, Adresse, Telefonnummer, etc.) in Berührung kommen, verpflichtend. Für die Teilnahme an der Schulung ist die Registrierung auf der Akademie- Plattform erforderlich. Der Link zur Plattform wird dem Unternehmen im Rahmen des Onboarding-Prozesses zur Verfügung gestellt.

B. Abteilungsspezifische Anwendungsfälle

In diesem Teil der Richtlinie können abteilungsspezifische Bestimmungen für den datenschutzkonformen Umgang mit personenbezogenen Daten berücksichtigt werden. Mögliche Beispiele wären:

Datenschutzkonforme Ausgestaltung des Bewerbungsverfahrens sowie Umsetzung des Löschkonzeptes im Bereich der Personalakte (Personalabteilung)

Einholung von Einwilligungserklärungen und Information der betroffenen Personen bei Umsetzung von Marketingkampagnen in sozialen Netzwerken (Marketing)

Datenschutzkonforme Konfiguration der CRM-Systeme und Umsetzung der Informationspflichten im Verhältnis zu Kunden (Vertrieb)

Datenschutzkonforme Konfiguration der unternehmensinternen Softwareprogramme und rollenbezogene Vergabe der Administratorenrechte (IT)

Bitte beachten Sie, dass konkrete Bestimmungen dieses Teils in Absprache mit dem Datenschutzbeauftragten auszuarbeiten sind.