Datenschutz

1 Einleitung


Der Schutz personenbezogener Daten ist ein wichtiges Anliegen für unser Unternehmen. Deshalb verarbeiten wir die personenbezogenen Daten unserer Mitarbeiter, Kunden, Geschäftspartner, Dienstleister, öffentlichen Stellen und sonstigen Dritten ausschließlich in Übereinstimmung mit den geltenden Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.

Um diesem Anliegen Nachdruck zu verleihen, verabschiedet die Unternehmensleitung hiermit diese Datenschutz-Leitlinie für unser Unternehmen. Diese Leitlinie soll die Organisation, die Verantwortlichkeiten und die Ziele im Bereich Datenschutz in unserem Unternehmen in übersichtlicher Form darstellen.

2 Geltungsbereich


Die Leitlinie gilt für die gesamte TECHNE KIROW GmbH und erstreckt sich dabei auf alle derzeitigen und zukünftigen Standorte des Unternehmens. Sie richtet sich an alle derzeitig und zukünftig Beschäftigten des Unternehmens. Diese Leitlinie verpflichtet alle Beschäftigten des Unternehmens zur eigenverantwortlichen Einhaltung der hier festgelegten Regelungen und Pflichten sowie zur Wahrnehmung der formulierten Verantwortlichkeiten in Ihrem Tätigkeitsbereich.

3 Organisation des Datenschutzes


Die Gesamtverantwortung für den Datenschutz und die Verarbeitung von personenbezogenen Daten liegt bei der Unternehmensleitung. Die Unternehmensleitung stellt ausreichende zeitliche, finanzielle und personelle Ressourcen zur Verfügung, um die Anforderungen der datenschutzrechtlichen Gesetzgebungen zu erfüllen.

Dazu gehört die Benennung eines Datenschutzbeauftragten für das Unternehmen. Der Datenschutzbeauftragte nimmt dabei die Aufgaben gem. Art. 39 DSGVO wahr und berät die Unternehmensleitung und die jeweils beteiligten Beschäftigten bei der Planung und Umsetzung des Datenschutzes und datenschutzkonformer Prozesse im Unternehmen.
Es ist Sorge dafür zu tragen, dass eine frühe Einbindung des Datenschutzbeauftragten bei der Planung und Einführung von neuen Prozessen, in deren Zusammenhang auch personenbezogene Daten verarbeitet werden, erfolgt. Gleiches gilt für Änderungen an bestehenden Prozessen.

Dem Datenschutzbeauftragten wird ein direkter Ansprechpartner als Datenschutzkoordinator zur Seite gestellt. Dieser sitzt dem Datenschutzteam vor, welches als erste Ansprechstation für Anliegen zum Datenschutz fungiert und intern das die Planung, Umsetzung und Evaluierung des begleitet, unterstützt und vorantreibt. Der Datenschutzbeauftragte berät das Datenschutzteam und nimmt auf Wunsch an dessen Sitzungen teil.

4 Verantwortlichkeiten

4.1 Unternehmensleitung

Die Unternehmensleitung übernimmt die Gesamtverantwortung für den Datenschutz im Unternehmen. Sie trägt dafür Sorge, dass ausreichende zeitliche, finanzielle und personelle Ressourcen zur Verfügung stehen. Weiterhin bevollmächtigt sie die Mitglieder des Datenschutzteams, entsprechende Maßnahmen zur Erreichung, Erhaltung und Verbesserung des Datenschutzniveaus zu planen und – nach Rücksprache – umzusetzen.

4.2 Datenschutzbeauftragter

Der Datenschutzbeauftragte ist Ansprechpartner für das Thema Datenschutz im Unternehmen. Er nimmt seine Aufgaben gem. Art. 39 DSGVO war und berät, kontrolliert und unterstützt die Unternehmensleitung, das Datenschutzteam und die Beschäftigten hinsichtlich der Verarbeitung von personenbezogenen Daten im Unternehmen.

4.3 Datenschutzkoordinator

Der Datenschutzkoordinator fungiert als primäre Kontaktpersonen des Datenschutzbeauftragten und sitzt dem Datenschutzteam vor.

4.4 Datenschutzteam

Das Datenschutzteam stellt die erste Ansprechstation bei Anliegen zum Datenschutz dar. Es berät Beschäftigte zu datenschutzrechtlichen Fragen und beantwortet die Fragen von Betroffenen. Dabei greift es auf die Unterstützung des Datenschutzbeauftragten zurück.

Weiterhin begleitet das Datenschutzteam die Planung, Koordinierung, Umsetzung und Evaluation des Datenschutzes im Unternehmen und treibt entsprechende Maßnahmen voran. Das Team trifft sich mit dem Datenschutzbeauftragten in regelmäßigen Abständen, um den Prozess der kontinuierlichen Verbesserung zu gewährleisten.

4.5 Alle Mitarbeiter

Jeder Mitarbeiter trägt durch datenschutzkonformes Arbeiten eigenständig zur Gewährleistung des Datenschutzes im Unternehmen bei. Dabei sind alle Mitarbeiter verpflichtet, diese Leitlinie und die sonstigen Richtlinien zum Datenschutz zu befolgen und einzuhalten. Sollten sich in einzelnen Punkten Fragen oder Unklarheiten ergeben, sollen die Mitarbeiter Rat beim Datenschutzteam einholen. Für Mitarbeiter mit speziellen unten aufgeführten Aufgaben gelten darüber hinaus die dort festgehaltenen Regelungen.

Bestehen hinsichtlich der Rechtmäßigkeit einzelner Verarbeitungen, insbesondere bei der Übermittlung oder Offenlegung von Daten, Unsicherheiten oder Zweifel, sind das Datenschutzteam oder der Datenschutzbeauftragte vor der Durchführung der Verarbeitung zu informieren und deren Rat einzuholen.

Werden offenkundige oder zumindest mögliche Datenschutzverletzungen im Arbeitsalltag festgestellt, ist jeder Mitarbeiter verpflichtet, diese Vorfälle und auch sonstige Störungen bei der Datenverarbeitung unverzüglich und direkt an das Datenschutzteam zu melden.

4.6 IT-Verantwortlicher

Der IT-Verantwortliche stellt die Sicherheit der elektronischen Datenverarbeitung durch die Planung, Beschaffung, Implementierung und Überwachung angemessener technischer Schutzmaßnahmen sicher. Dafür wird das erforderliche Budget von der Unternehmensleitung zur Verfügung gestellt. Er stimmt Maßnahmen, die Auswirkungen auf die Sicherheit der Datenverarbeitung haben, mit dem Datenschutzbeauftragten ab und sorgt für eine ausreichende Dokumentation der bestehenden Schutzmaßnahmen.

4.7 Administratoren

Die Administratoren führen die technischen Maßnahmen in Abstimmung mit dem IT-Verantwortlichen durch, dokumentieren ihre Tätigkeiten und tragen durch Verbesserungsvorschläge zur Optimierung der Sicherheit der Datenverarbeitung und des Datenschutzes bei.

4.8 Vorgesetzte mit Personalverantwortung

Vorgesetzte mit Personalverantwortung stellen sicher, dass die in ihrem Verantwortungsbereich tätigen Personen über die sie betreffenden Belange des Datenschutzes und des datenschutzkonformen Arbeitens ausreichend unterrichtet und zur Wahrung des Datenschutzes und der Vertraulichkeit verpflichtet sind. Weiterhin treffen sich Maßnahmen, die es den in Ihrem Verantwortungsbereich tätigen Personen ermöglicht, datenschutzkonform zu arbeiten.

4.9 Projekt- oder Prozessverantwortliche bzw. Bereichsleiter

Projekt- oder Prozessverantwortliche bzw. Bereichsleiter müssen den Datenschutzbeauftragten frühzeitig in die Planung von Projekten mit Auswirkung auf die Verarbeitung personenbezogener Daten einbeziehen, um sicherzustellen, dass datenschutzrechtliche Vorschriften eingehalten werden.

Projekt- oder Prozessverantwortliche bzw. Bereichsleiter sind bei der Beauftragung von externen Dienstleistern oder Lieferanten dazu verpflichtet, diese im Hinblick auf den Datenschutz sorgsam auswählen. Weiterhin ist bei der Beauftragung das Vorliegen einer Auftragsverarbeitung zu prüfen und ggf. ein entsprechender Auftragsverarbeitungsvertrag zu schließen. Auch wenn es sich nicht um eine Auftragsverarbeitung handelt, müssen in einem Vertrag Regelungen zur Wahrung von Datenschutz und Vertraulichkeit aufgenommen werden. Bei diesen Prüfungen kann auf die Hilfe des Datenschutzteams zurückgegriffen werden.

4.10 Lieferanten, externe Dienstleister und sonstige Auftragnehmer

Lieferanten, externe Dienstleister und sonstige Auftragnehmer sind durch gesonderte Vereinbarungen zu verpflichten, die sie betreffenden Vorgaben zum Datenschutz einzuhalten und nachzuweisen. Sofern sie Daten im Auftrag der Unternehmensleitung verarbeiten (Auftragsverarbeitung) ist ein Auftragsverarbeitungsvertrag vor der Beauftragung zu schließen.

4.11 Mieter von Räumlichkeiten auf dem Firmengelände

Mit Mietern von Räumlichkeiten auf dem Firmengelände sind vertragliche Vereinbarungen zur Wahrung von Datenschutz und Vertraulichkeit zu schließen.

5 Prinzipien bei der Verarbeitung personenbezogener Daten


Ziel dieser Leitlinie ist es, den Datenschutz im Unternehmen zu gewährleisten. Für diesen Zweck wird das Unternehmen bei der Planung, Einführung und während des Ablaufs von Prozessen die nachfolgenden Prinzipien bei der Datenverarbeitung berücksichtigen.

5.1 Rechtmäßigkeit

Bei der Verarbeitung von personenbezogenen Daten müssen die Grundrechte und Grundfreiheiten der betroffenen Personen im größtmöglichen Umfang gewahrt werden. Personenbezogene Daten dürfen daher nur auf rechtmäßige Weise, d.h. ausschließlich bei Vorliegen einer eindeutigen Rechtsgrundlage, erhoben und verarbeitet werden.

5.2 Zweckbindung

Die Verarbeitung personenbezogener Daten darf lediglich für die Zwecke verfolgen, die vor der Erhebung der Daten festgelegt und dokumentiert wurden. Diese Zwecke müssen den vernünftigen Erwartungen der Betroffenen an die entsprechende Verarbeitungstätigkeit entsprechen. Nachträgliche Änderungen der Zwecke prinzipiell nicht vorgesehen. Sollte sich im Einzelfall die Notwendigkeit einer Zweckänderung ergeben, ist dies nur eingeschränkt möglich und bedarf einer dokumentierten Interessensabwägung nach Rücksprache mit dem Datenschutzbeauftragten sowie einer Genehmigung durch die Geschäftsleitung.

5.3 Transparenz

Von der Verarbeitung betroffene Personen müssen über die geplanten Verarbeitungstätigkeiten frühzeitig informiert werden. Bei Erhebung der Daten müssen die Betroffenen daher mindestens folgende Informationen erkennen können oder entsprechend über diese informiert werden:

  • die Identität der verantwortlichen Stelle, d.h. unser Unternehmen
  • die Kontaktdaten des Datenschutzbeauftragten
  • den Zweck und die Rechtsgrundlage der Datenverarbeitung
  • geplante Empfänger der Daten, insbesondere dann, wenn die Daten in ein Drittland übermittelt werden sollen

Weiterhin sind personenbezogene Daten grundsätzlich direkt bei den Betroffenen selbst zu erheben. Erhebungen bei Dritten sind nach Möglichkeit zu unterlassen.

5.4 Datenvermeidung und Datensparsamkeit

Vor der Erhebung personenbezogener Daten muss stets geprüft werden, ob und in welchem Umfang diese erforderlich sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Es dürfen nur jene Daten erhoben und gespeichert werden, die dabei als erforderlich identifiziert werden. Alle sonstigen Daten dürfen nicht erhoben werden. Weiterhin dürfen personenbezogene Daten nicht auf Vorrat für potentielle zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.

Der Zugriff auf gespeicherte personenbezogene Daten soll stets nur denjenigen Beschäftigten vorbehalten sein, die diesen für die Erledigung ihrer übertragenen Arbeitsaufgaben durchgängig benötigen. Die Notwendigkeit für das Fortbestehen von Zugriffsberechtigungen ist fortlaufend zu überprüfen.

5.5 Löschung

Personenbezogene Daten dürfen nur solange gespeichert werden, bis der Zweck der Erhebung und Verarbeitung erreicht ist und keine zwingenden gesetzlichen Regelungen einer Löschung entgegenstehen. Nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen oder auf Anfrage der Betroffenen müssen diese Daten umgehend gelöscht bzw. vernichtet werden. Dabei ist darauf zu achten, dass bei der Datenlöschung bzw. -vernichtung der Schutzwürdigkeit der Daten entsprechende sichere Vernichtungsmaßnahmen genutzt werden.

Bestehen im Einzelfall Anhaltspunkte für schutzwürdige Interessen unseres Unternehmens an bestimmten Daten, bleiben diese Daten in einem gesonderten Bereich außerhalb des aktiven Nutzerzugriffs gespeichert, bis das schutzwürdige Interesse geprüft und ggf. rechtlich geklärt werden konnte.

5.6 Sachliche Richtigkeit und Datenaktualität

Personenbezogene Daten sind stets richtig, vollständig und auf dem aktuellen Stand zu speichern. Daher sind angemessene Maßnahmen zu treffen, die sicherzustellen, dass nichtzutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

5.7 Vertraulichkeit und Datensicherheit

Bei der Verarbeitung von personenbezogene Daten kommt der Wahrung der Vertraulichkeit und Integrität der Daten eine besonders wichtige Rolle zu. Daher müssen personenbezogene Daten im täglichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden.

Bei der konkreten Umsetzung der Ziele müssen die getroffenen Schutzmaßnahmen in einem wirtschaftlich vertretbaren Verhältnis zum Schutzbedarf der verarbeiteten Daten und Informationen stehen.

6. Sanktionen


Ein Verstoß gegen diese Leitlinie kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.

Für Lieferanten, externe Dienstleister und sonstige Auftragnehmer sollten bei besonderen Risiken Vertragsstrafen-Regelungen vereinbart werden.


Stand 11/2021

 

 

TECHNE KIROW GmbH 2026 ®