2. Geltungsbereich der Datenschutzleitlinie
Diese Datenschutzrichtlinie basiert auf den Vorgaben der Bundesdatenschutzgesetzes (BDSG) und der Datenschutz-Grundverordnung (DSGVO) und gilt für alle Bereiche der Hebezone an allen Standorten.

3. Prinzipien für die Verarbeitung personenbezogener Daten

3.1 Rechtmäßigkeit
Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte der Betroffenen
gewahrt werden. Sämtliche Daten müssen müssen auf rechtmäßige Weise erhoben und verarbeitet werden. Rechtmäßigkeit bedeutet:
die Verarbeitung wurde durch den Dateneigentümer genehmigt
die Verarbeitung dient einer Vertragserfüllung oder einer vorvertraglichen Maßnahme
die Verarbeitung erfolgt aufgrund einer rechtlichen Verpflichtung
die Verarbeitung dient dem öffentlichen Interesse
die Verarbeitung dient der Wahrung berechtigter Interessen der Hebezone

3.2 Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich für die Zwecke verfolgen, die vor der
Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Nutzung sind nur eingeschränkt möglich und bedürfen einer Begründung und/oder der Genehmigung durch den Dateneigentümer.

3.3 Transparenz
Personenbezogene Daten sind bei dem Betroffenen selbst zu erheben. Der Betroffene muss sich über den Umgang mit seinen Daten informieren können:

- Identität der verantwortlichen Stelle
- Zweck der Datenverarbeitung
- Aufbewahrungsfristen
- Dritte, an die die Daten gegebenenfalls übermittelt werden

4. Datenvermeidung und Datensparsamkeit
Vor der Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang
diese notwendig sind, um den mit Erhebung und Verarbeitung angestrebten Zweck zu erreichen.

5. Rechte der Betroffenen
Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für den Betroffenen zu keinerlei Nachteilen führen.

• Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind.
• Werden personenbezogene Daten an Dritte übermittelt, muss auch über die Identität des Empfängers oder über die Kategorien von Empfängern Auskunft gegeben werden.
• Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre Berichtigung oder Ergänzung verlangen.
• Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten zu Zwecken der Werbung oder der Markt­ und Meinungsforschung widersprechen. Für diese Zwecke müssen die Daten dann gesperrt werden.
• Der Betroffene ist berechtigt, die Löschung seiner Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende schutzwürdige Interessen müssen beachtet werden.
• Der Betroffene hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung seiner Daten, das zu berücksichtigen ist, wenn sein schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation das Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.

6. Automatische Löschung, Dauer der Datenspeicherung
Soweit keine gesetzlichen Vorschriften oder berechtigten Interessen der Hebezone entgegenstehen, werden personenbezogene Daten, denen keine Geschäftsbeziehung zugrunde liegt und die während der Geschäftsanbahnung aufgrund der Anforderung von Informationen, telefonischen Anfragen, Beratungen und/oder Angeboten erhoben wurden, 6 Jahre nach der letzten Kontaktaufnahme durch den Interessenten gelöscht. Handelt es sich bei den personenbezogenen Daten nicht um Ansprechpartner/Mitarbeiter des Unternehmens, sondern um den Namen des Unternehmens, nach 11 Jahren. Bei Bestehen einer Geschäftsbeziehung erfolgt die automatische Löschung 11 Jahre nach dem letzten Geschäftsvorfall, soweit keine anderen gesetzlichen Vorschriften oder berechtigten Interessen der Hebezone entgegenstehen.

7. Sachliche Richtigkeit und Datenaktualität
Personenbezogene Daten sind richtig und auf dem aktuellen Stand zu speichern. Es werden Maßnahmen getroffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt oder aktualisiert werden.

8. Vertraulichkeit und Datensicherheit
Für personenbezogene Daten gilt das Datengeheimnis. Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden. Alle Mitarbeiter haben dafür zu sorgen, dass durch die Verarbeitung personenbezogener Daten den Dateneigentümern kein Schaden zugefügt wird und die personenbezogenen Daten vor Einsicht und Verwendung durch Unbefugte geschützt sind.

9. Zulässigkeit der Datenverarbeitung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.

9.1 Kunden, Lieferanten- Interessenten- oder Partnerdaten

9.1.1 Datenverarbeitung für eine vertragliche Beziehung
Wenn die Datenverarbeitung personenbezogener Daten der Vertragserfüllung oder der Erfüllung vorvertraglicher Maßnahmen wie der Erstellung von Angeboten dient, so ist die Verarbeitung zulässig.

Wir übermitteln im Rahmen der Anbahnung einer Geschäftsbeziehung und während der Geschäftsbeziehung personenbezogene Daten an Auskunfteien, um die Bonität von Unternehmen als Interessenten/Kunden zu prüfen. Der Datenaustausch mit Auskunfteien dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung von Kreditwürdigkeitsprüfungen (§ 505a und 506 BGB). Die übermittelten Daten (z.B. auch Zahlungsverhalten) werden durch die Auskunfteien auch zur Profilbildung (Scoring) verwendet. Wir behalten uns zudem vor, nicht vertragsgemäßes oder betrügerisches Verhalten während der Geschäftsbeziehung an die im jeweiligen Einzelfall beauftragten Auskunfteien CRIF Bürgel, Creditreform und/oder Bisnode zu melden, sofern berechtigte Interessen der Hebezone oder deren Vertragspartner dadurch geschützt werden können oder müssen und das Interesse, die Grundrechte oder Grundfreiheiten der betroffenen Personen nicht überwiegen. Rechtsgrundlage dieser Übermittlungen sind Artikel 6 Absatz 1 Buchstabe b und Artikel 6 Absatz 1 Buchstabe f der DSGVO.

9.1.2 Einwilligung in die Datenverarbeitung
Die Datenverarbeitung zu Werbemaßnahmen per Mail kann aufgrund einer Einwilligung des Betroffenen stattfinden. Die Einwilligungserklärung ist schriftlich oder elektronisch einzuholen. Bei telefonischer Beratung kann die Einwilligung auch mündlich erteilt werden. Die Einwilligung muss dokumentiert werden. Für postalische Werbemaßnahmen ist keine Einwillung erforderlich.

9.1.3 Datenverarbeitung zur Erfüllung gesetzlicher Auflagen
Die Verarbeitung personenbezogener Daten erfolgt auch, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten.

9.1.4 Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Daten darf auch dann erfolgen, wenn dies zur Durchsetzung eines berechtigten Interesses der Hebezone erforderlich ist. (z.B. Schuldnerverfolgung, siehe auch 9.1.1).

9.1.5 Verarbeitung besonders schutzwürdiger Daten (Daten besonderer Kategorien)
Die Verarbeitung besonders schutzwürdiger personenbezogener Daten erfolgt ausschließlich, wenn dies gesetzlich erforderlich oder zwingend notwendig ist, um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen.

10. Internet
Über auf Webseiten und öffentlich zugänglichen Apps der Hebezone erhobene Daten, Cookies, die Verarbeitung und Nutzung wird in der Datenschutzerklärung für Hebezone Websites informiert.

11. Übermittlung personenbezogener Daten
Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb der Hebezone oder an Empfänger innerhalb der Hebezone unterliegt den Zulässigkeitsvoraussetzungen der Verarbeitung personenbezogener Daten. Der Empfänger der Daten muss darauf verpflichtet werden, diese nur zu den festgelegten Zwecken zu verwenden. Die Verpflichtung hat schriftlich zu erfolgen und hat folgende Punkte zu beinhalten:

• Definition der Zwecke der Verarbeitung
• Gewährleistung des ausschließlichen Einsatzes von Personal, welches zur Vertraulichkeit und Geheimhaltung verpflichtet wurde
• Gewährleistung der angemessenen Sicherheit gem. Art. 32 DSGVO
• Regelung für Sub-Auftragsverarbeiter
• Verpflichtung zur Einhaltung der Betroffenenrechte
• Datenlöschung oder Rückgabe nach Auftragserfüllung
• Kontrollrecht durch Hebezone oder einen durch Hebezone beauftragten Prüfer
• Im Falle einer Datenübermittlung an einen Empfänger außerhalb der Hebezone in einen Drittstaat muss dieser ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau gewährleisten. Dies gilt nicht, wenn die Übermittlung aufgrund einer gesetzlichen Verpflichtung erfolgt.
• Im Falle einer Datenübermittlung von Dritten an Hebezone muss sichergestellt sein, dass die Daten für die vorgesehenen Zwecke verwendet werden dürfen.

12. Auftragsdatenverarbeitung (Dienstleister)
Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer (z.B. Auftragsverarbeiter oder Dienstleister) mit der Verarbeitung personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird.

In diesen Fällen ist mit externen Auftragnehmern eine Vereinbarung über eine Auftragsdatenverarbeitung abzuschließen.
Dabei behält die Hebezone die volle Verantwortung für die korrekte Durchführung der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen der Hebezone verarbeiten. Bei der Erteilung des Auftrags sind die nachfolgenden Vorgaben einzuhalten; der beauftragende Fachbereich muss ihre Umsetzung sicherstellen.

• Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der erforderlichen technischen und organisatorischen Schutzmaßnahmen auszuwählen.
• Der Auftrag ist in Schriftform zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und die Verantwortlichkeiten von Hebezone und des Auftragnehmers zu dokumentieren.
• Hebezone hat sich vor Beginn der Datenverarbeitung von der Einhaltung der Pflichten des Auftragnehmers zu überzeugen. Die Einhaltung der Anforderungen an die Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage einer geeigneten Zertifizierung (zB ISO 27001) nachweisen. Je nach Risiko der Datenverarbeitung ist die Kontrolle gegebenenfalls während der Vertragslaufzeit regelmäßig zu wiederholen.
• Bei einer grenzüberschreitenden Auftragsdatenverarbeitung sind die jeweiligen nationalen Anforderungen für eine Weitergabe personenbezogener Daten ins Ausland zu erfüllen. Insbesondere darf die Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in einem Drittstaat nur stattfinden, wenn der Auftragnehmer ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau nachweist.
• Anerkennung verbindlicher Unternehmensregeln der Hebezone durch den Auftragnehmer zur Schaffung eines angemessenen Datenschutzniveaus durch die zuständigen Datenschutz-Aufsichtsbehörden.
  
  Derzeit wird keine Auftragsdatenverarbeitung in dieser Form vorgenommen

13. Vertraulichkeit der Verarbeitung
Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte oder unrechtmäßige Erhebung, Verarbeitung oder Nutzung ist den Mitarbeitern untersagt. Die Mitarbeiter nehmen ausdrücklich zur Kenntnis, dass sie gem. § 6 DSG 2018 auf das Datengeheimnis hin verpflichtet sind.

Es ist den Mitarbeitern untersagt, personenbezogene Daten für eigene private oder wirtschaftliche Zwecke zu nutzen, an Unbefugte zu übermitteln oder diese auf andere Weise zugänglich zu machen. Zuwiderhandlungen, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

14. Sicherheit der Verarbeitung
Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Dies gilt unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung neuer Verfahren der Datenverarbeitung, insbesondere neuer IT­Systeme, sind technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen. Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden Risiken und dem Schutzbedarf der Daten (ermittelt durch den Prozess zur Informationsklassifizierung) zu orientieren.
Die technisch organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind Teil des unternehmensweiten Informationssicherheits- und Datenschutz-Managements und müssen kontinuierlich an die technischen Entwicklungen und an organisatorische Änderungen angepasst werden. Es ist den Mitarbeitern/Innen untersagt, personenbezogene Daten außerhalb der von Hebezone zur Verfügung gestellten Services (Programme, Archive) und Prozessen sowie außerhalb nachvollziehbarer und rechtmäßiger Aufträge zu verarbeiten.

15. Datenschutzkontrolle
Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze wird regelmäßig durch Datenschutzaudits im Rahmen des QM-Managements überprüft.

16. Datenschutzvorfälle (Data Breach)
In Fällen von Verstößen gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle) hat jeder Mitarbeiter die für Datenschutzverletzungen zuständige Person (siehe Zuständigkeiten) unverzüglich und in vollem Umfang zu informieren.

Dies betrifft:

• unbefugte oder unrechtmäßiger Verarbeitung
• unbeabsichtigte oder unrechtmäßige Vernichtung
• unbeabsichtigter oder unrechtmäßiger Verlust
• unbeabsichtigte oder unrechtmäßige Veränderung
• unbeabsichtigte oder unrechtmäßige Offenlegung
• Verlust von Firmenhandy, Laptop
• Offenlegung von Kundendaten einem Fremden gegenüber

17. Verantwortlichkeiten und Sanktionen
Die Geschäftsleitung ist für die Richtlinienkonforme Datenverarbeitung der Daten verantwortlich. Damit ist sie verpflichtet sicherzustellen, dass die gesetzlichen und die in der Datenschutzrichtlinie enthaltenen Anforderungen des Datenschutzes eingehalten werden (z.B. nationale Meldepflichten). Es ist eine Managementaufgabe der Geschäftsleitung, durch organisatorische, personelle und technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des Datenschutzes sicherzustellen. Die Umsetzung dieser Vorgaben liegt in der Verantwortung der zuständigen Mitarbeiter.

18. Verschiedenes
Die Geschäftsleitung stellt sicher, dass die Mitarbeiter im erforderlichen Umfang zum Datenschutz geschult werden. Zuwiderhandlungen, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

Jeder Betroffene kann sich mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an den Datenschutzbeauftragten wenden. Anfragen und Beschwerden werden auf Wunsch vertraulich behandelt.

Die ergänzende Datenschutz-Leitlinie Mitarbeiter/Mitarbeiterdaten ist im Intranet unter "Dokumente" abrufbar.