1. Ziel des Datenschutzes
Ziel des Datenschutzes ist es, die Persönlichkeitsrechte und Persönlichkeitssphäre betroffener Menschen bei der automatisierten Verarbeitung personenbezogener Daten zu schützen. Der Schutz des Einzelnen leitet sich aus dem Grundgesetz und dem verfassungsrechtlich verbürgten Recht auf informationelle Selbstbestimmung ab und wird über die EU-Datenschutz-Grundverordnung, das Datenschutzanpassungsumsetzungsgesetz (BDSG-Neu) und sonstige Spezialgesetze (z.B. eCommerce-Verordnung) geregelt.
Für die tägliche Arbeit im Unternehmen bedeutet Datenschutz, dass die datenschutzrechtlichen Vorschriften und diese Datenschutzrichtlinie zu beachten sind. Insbesondere ist darauf zu achten, dass personenbezogene Daten streng vertraulich behandelt und unberechtigten Dritten nicht zugänglich gemacht werden.
2. Datenschutzgrundsätze
Bei der Verarbeitung von personenbezogenen Daten sind vor allem folgende Prinzipien zu beachten:
- rechtmäßige und transparente Verarbeitung nach Treu und Glauben
- Zweckbindung der Daten für die bei der Erhebung der Daten festgelegten Zwecke
- Sicherstellung der Richtigkeit der Daten (Berichtigung, Löschung etc.)
- Speicherbegrenzung der Daten (Löschung der Daten sofern die Erforderlichkeit nicht mehr gegeben ist)
- Einhaltung der Zulässigkeitsregeln für die Verarbeitung der Daten
- Datensparsamkeit und Datenvermeidung durch Umsetzung des „Datenschutzes durch Technik“
- Sicherstellung der Integrität und Vertraulichkeit der Daten durch technisch-organisatorische Maßnahmen
- Durchführung einer Datenschutzfolgenabschätzung bei der Einführung von IT-Verfahren, wenn besondere Risiken für die Rechte und Freiheiten von Betroffenen zu erwarten sind (einschl. Risikobewertung)
- Beachtung der Betroffenenrechte
3. Zulässigkeit der Datenverarbeitung
Die Verarbeitung ist u.a. rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere Zwecke gegeben.
- Die Verarbeitung ist für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern die Interessen der betroffenen Personen nicht überwiegen.
Ergänzende datenschutzrechtliche Regelungen gelten für Verarbeitungen mit besonderen Arten personenbezogener Daten oder Leistungs- und Verhaltensdaten, Verfahren automatisierter Einzelentscheidungen (z.B. Scoring), Übermittlungen an Auskunfteien und ins Ausland, Videoüberwachungen öffentlich zugänglicher Räume und Beschäftigtendaten.
Es ist erlaubt, eigene Geschäftsaufgaben auch durch Dienstleistungsunternehmen im Rahmen der Auftragsverarbeitung nach Vorgaben und Weisungen ausführen zu lassen. Hierzu sind schriftliche Auftragsdatenverarbeitungsverträge mit den im Gesetz festgelegten Vertragsinhalten zu erstellen. Über die organisatorischen und technischen Datensicherheits-/Datenschutzmaßnahmen hat sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig zu überzeugen und dies zu dokumentieren.
4. Rechte der Betroffenen
Der Betroffene kann unentgeltlich schriftliche Auskunft verlangen über
- die zu seiner Person gespeicherten Daten und deren Herkunft,
- den Zweck der Speicherung,
- die Kategorien von Empfänger der Daten,
- die Speicherdauer der Daten,
- das Bestehen eines Auskunftsrechts bei einer Aufsichtsbehörde,
- das Bestehen einer automatisierten Entscheidungsfindung einschl. Profiling,
- das Bestehen eines Rechts
- auf Berichtigung (bei unrichtigen Daten),
- Sperrung (z.B. bei einem Werbewiderspruch),
- Löschung (falls die Speicherung nicht mehr erforderlich ist),
- Widerspruch (für erteilte Einwilligungen, Werbezwecke).
5. Verantwortlichkeiten
5.1 Pflichten der Leiter der Fachabteilungen
Die Leiter der Fachabteilungen sind für die Einhaltung der datenschutzrechtlichen Vorschriften hinsichtlich Dateninhalte, Erhebung, Verarbeitungsprozesse und Nutzung verantwortlich. Hierzu gehören insbesondere folgende Aufgaben in Abstimmung mit dem Datenschutzbeauftragten:
- Prüfen der Zulässigkeit der Datenverarbeitung
- Veranlassen geeigneter und angemessener Datensicherungsmaßnahmen
- Sicherstellen der Rechte Betroffener
- Information der Leitung IT und des Datenschutzbeauftragten über
- unrechtmäßige Kenntniserlangung von Daten durch Dritte, unrechtmäßige Übermittlung von Daten Dritter und Verlust von Daten (Datendiebstahl, Hackerangriffe etc.)
- Information des Datenschutzbeauftragten über neue automatisierte Verarbeitungen,
- Verfahren und eingesetzte Auftragsbearbeiter
- Durchführung einer Datenschutz-Folgenabschätzung bei der Einführung neuer
- Verfahren
5.2 Pflichten der Mitarbeiter
Allen Mitarbeitern, die dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, diese Daten unbefugt zu verarbeiten oder zu nutzen.
Die personenbezogenen Daten sind streng vertraulich zu behandeln und dürfen unberechtigten Dritten nicht zugänglich gemacht werden. Hierzu werden die Mitarbeiter auf das Datengeheimnis verpflichtet. Die Verschwiegenheitspflicht gilt über die Beendigung der Tätigkeit im Unternehmen hinaus.
Das erfordert ein verantwortliches Handeln beim Umgang mit personenbezogenen Daten, aber auch die risikobewusste Nutzung von IT-Systemen und –Anwendungen. Fehlverhalten kann zu materiellen und immateriellen Schäden mit teilweise beträchtlichen negativen Effekten führen.
Die Mitarbeiter sind dafür verantwortlich, dass
- die Ihnen anvertrauten Daten, Datenträger und Ausdrucke unter Verschluss gehalten werden, wenn Sie nicht unmittelbar daran arbeiten. Hierzu sind insbesondere Bildschirme und PC bei Abwesenheit vom Arbeitsplatz zu sperren.
- die Anwendungen und das Passwort keinen Unbefugten zugänglich werden. Daher sind nur sichere Passwörter auszuwählen (z.B. mit Sonderzeichen, keine Namen) und diese regelmäßig zu wechseln.
- Datenbestände und Software ausschließlich für geschäftliche Zwecke verwendet werden. Die Verwendung für private Zwecke ist nicht zulässig.
- nicht mehr benötigte Datenträger und Ausdrucke so vernichtet werden, dass eine missbräuchliche Verwendung nicht möglich ist.
- Laptops bei Reisen sorgfältig gesichert werden. Besonders im Auto, Hotel oder auf Flughäfen.
- keine vertraulichen Informationen per Fax verschickt werden. Falls sie dies doch in Ausnahmefällen tun müssen, treffen sie besondere Vorkehrungen (z.B. telefonische Absprache wegen Anwesenheit des Empfängers, Richtigkeit der eingegeben Fax-Nr. vor Versand).
- keine vertraulichen Informationen per E-Mail versendet werden, wenn keine Verschlüsselung genutzt werden kann.
- die unrechtmäßige Kenntniserlangung von Daten durch Dritte, unrechtmäßige Übermittlung von Daten und Verlust von Daten (Datendiebstahl, Hackerangriffe etc.) an die Leiter der Fachabteilungen /Geschäftsführung zu melden sind.
Den Mitarbeitern ist untersagt, Unternehmensgeräte privat zu nutzen oder private Computer, Software und Datenträger in das Unternehmen einzubringen.
5.3 Pflichten des Datenschutzbeauftragten
Der betriebliche Datenschutzbeauftragte
- wirkt auf die Einhaltung der Gesetze und Vorschriften zum Datenschutz hin.
- überwacht die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen.
- berät die Geschäftsleitung und Fachabteilungen zum datenschutzgerechten Umgang mit personenbezogenen Daten und steht Mitarbeitern in Datenschutzanliegen zur Verfügung.
- unterrichtet über Gesetze und Vorschriften zum Datenschutz bzw. organisiert Schulungen, die von den Fachabteilungen durchgeführt werden und nimmt auch Verpflichtungen auf das Datengeheimnis vor.
- beantwortet komplexe Datenschutzauskünfte und Beschwerden und regelt Datenschutzangelegenheiten gegenüber den Aufsichtsbehörden.
6. Meldung von Datenpannen
Nach Art. 33 DSGVO sind Verletzungen des Schutzes personenbezogenen Daten mit einem Risiko durch den Verantwortlichen unverzüglich und spätestens binnen 72 Stunden nachdem die Verletzungen bekannt wurden der zuständigen Aufsichtsbehörde zu melden.
Die Mitarbeiter und die zuständigen Fachbereiche sind verpflichtet Datenverluste von personenbezogenen Daten (z.B. Laptop, USB-Stick etc.) und Hackerangriffe unverzüglich der IT zu melden.
Nach § 33 Abs. 5 DSGVO dokumentiert die IT die Verletzungen und die ergriffenen Abhilfemaßnahmen. Die Geschäftsführung und der Datenschutzbeauftragte sind zu informieren.
Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte der Betroffenen, so sind die betroffenen Personen unverzüglich zu benachrichtigen. Eine Benachrichtigung ist u.a. nicht erforderlich, wenn das Risiko nicht mehr besteht. Die weitere Vorgehensweise ist mit dem Datenschutzbeauftragten und der Geschäftsleitung abzustimmen.
7. Konsequenzen bei Datenschutzverstößen
Verstöße gegen die Vorschriften der Datenschutz-Grundverordnung können als Ordnungswidrigkeit mit Bußgeld oder Geld- und Freiheitsstrafe geahndet werden.
Die Höhe des Bußgelds hängt von verschiedenen Kriterien (u.a. von der Art, Schwere und Dauer des Verstoßes) ab. Mit Geld- oder Freiheitsstrafe wird bestraft, der gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder zu schädigen.
Für Mitarbeiter kann es außerdem arbeitsrechtliche Konsequenzen zur Folge haben.
Darüber hinaus droht für das Unternehmen ein nicht zu unterschätzender Imageverlust gegenüber der Öffentlichkeit.
8. Kontaktdaten des Datenschutzbeauftragten
Bei Fragen zur Anwendung der datenschutzrechtlichen Vorschriften können sich die Mitarbeiter an die Vorgesetzten oder an den Datenschutzbeauftragten wenden.
9. Informationen zur Personaldatenverarbeitung
Die Verarbeitung der Personaldaten der Beschäftigten erfolgt unter Beachtung der datenschutzrechtlichen Vorschriften der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes zum Abschluss, zur Durchführung und Beendigung des Beschäftigungsverhältnisses.
Die Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b und c DSGVO sowie § 26 Abs. 1 BDSG. Aufgrund eines berechtigten Interesses nach Art. 6 Abs. 1 lt. f DSGVO oder im Rahmen der Auftragsdatenverarbeitung nach Art. 28 DSGVO werden die Daten im erforderlichen Umfang an Dienstleister für Zwecke der Personalabrechnung oder für sonstige Zwecke an andere Dienstleister/Behörden (Altersvorsorge, Reisebüros, Finanzamt, Sozialversicherung etc.) weitergegeben.
Die Daten werden zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungsvorschriften nach § 257 Abs. 1 HBG und § 147 Abs. 2 AO 10 Jahre gespeichert.
Es besteht ein Recht auf unentgeltliche Auskunft zu den gespeicherten Daten sowie ggf. ein Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung und zum Widerspruch der gespeicherten Daten.