1. Zuständigkeiten
Datenschutz-Leitlinie und Vorgaben |
Geschäftsführung, Datenschutzbeauftragter |
Betroffenenrechte |
Datenschutzbeauftragter |
Datenschutzverletzungen |
Datenschutzbeauftragter |
Auftragsverarbeiter |
Geschäftsführung, Datenschutzbeauftragter,
Abteilungsleiter |
Informationspflicht/Transparenz |
Geschäftsführung, Datenschutzbeauftragter,
Abteilungsleiter |
Einhaltung der Vorgaben |
Geschäftsführung, Datenschutzbeauftragter,
Abteilungsleiter, QMB |
Datenschutz-Schulungen |
Datenschutzbeauftragter, Abteilungsleiter |
2. Geltungsbereich der Datenschutzleitlinie
Diese Datenschutzrichtlinie basiert auf den Vorgaben der
Bundesdatenschutzgesetzes (BDSG) und der Datenschutz-Grundverordnung (DSGVO) und
gilt für alle Bereiche der Hebezone an allen Standorten.
3. Prinzipien für die Verarbeitung personenbezogener Daten
3.1 Rechtmäßigkeit
Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte
der Betroffenen
gewahrt werden. Sämtliche Daten müssen müssen auf rechtmäßige Weise erhoben und
verarbeitet werden. Rechtmäßigkeit bedeutet:
die Verarbeitung wurde durch den Dateneigentümer genehmigt
die Verarbeitung dient einer Vertragserfüllung oder einer vorvertraglichen
Maßnahme
die Verarbeitung erfolgt aufgrund einer rechtlichen Verpflichtung
die Verarbeitung dient dem öffentlichen Interesse
die Verarbeitung dient der Wahrung berechtigter Interessen der Hebezone
3.2 Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich für die Zwecke
verfolgen, die vor der
Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Nutzung sind
nur eingeschränkt möglich und bedürfen einer Begründung und/oder der Genehmigung
durch den Dateneigentümer.
3.3 Transparenz
Personenbezogene Daten sind bei dem Betroffenen selbst zu erheben. Der
Betroffene muss sich über den Umgang mit seinen Daten informieren können:
- Identität der verantwortlichen Stelle
- Zweck der Datenverarbeitung
- Aufbewahrungsfristen
- Dritte, an die die Daten gegebenenfalls übermittelt werden
4. Datenvermeidung und Datensparsamkeit
Vor der Verarbeitung personenbezogener Daten muss geprüft werden, ob und in
welchem Umfang
diese notwendig sind, um den mit Erhebung und Verarbeitung angestrebten Zweck zu
erreichen.
5. Rechte der Betroffenen
Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist
umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für den
Betroffenen zu keinerlei Nachteilen führen.
- Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen
Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind.
- Werden personenbezogene Daten an Dritte übermittelt, muss auch über die
Identität des Empfängers oder über die Kategorien von Empfängern Auskunft
gegeben werden.
- Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann
der Betroffene ihre Berichtigung oder Ergänzung verlangen.
- Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten zu
Zwecken der Werbung oder der Markt und Meinungsforschung widersprechen. Für
diese Zwecke müssen die Daten dann gesperrt werden.
- Der Betroffene ist berechtigt, die Löschung seiner Daten zu verlangen,
wenn die Rechtsgrundlage für die Verarbeitung der Daten fehlt oder
weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der
Datenverarbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist.
Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende
schutzwürdige Interessen müssen beachtet werden.
- Der Betroffene hat ein grundsätzliches Widerspruchsrecht gegen die
Verarbeitung seiner Daten, das zu berücksichtigen ist, wenn sein
schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation
das Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn eine
Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.
6. Automatische Löschung, Dauer der Datenspeicherung
Soweit keine gesetzlichen Vorschriften oder berechtigten Interessen der Hebezone
entgegenstehen, werden personenbezogene Daten, denen keine Geschäftsbeziehung
zugrunde liegt und die während der Geschäftsanbahnung aufgrund der Anforderung
von Informationen, telefonischen Anfragen, Beratungen und/oder Angeboten erhoben
wurden, 6 Jahre nach der letzten Kontaktaufnahme durch den Interessenten
gelöscht. Handelt es sich bei den personenbezogenen Daten nicht um
Ansprechpartner/Mitarbeiter des Unternehmens, sondern um den Namen des
Unternehmens, nach 11 Jahren. Bei Bestehen einer Geschäftsbeziehung erfolgt die
automatische Löschung 11 Jahre nach dem letzten Geschäftsvorfall, soweit keine
anderen gesetzlichen Vorschriften oder berechtigten Interessen der Hebezone
entgegenstehen.
7. Sachliche Richtigkeit und Datenaktualität
Personenbezogene Daten sind richtig und auf dem aktuellen Stand zu speichern. Es
werden Maßnahmen getroffen, um sicherzustellen, dass nicht zutreffende,
unvollständige oder veraltete Daten gelöscht, berichtigt oder aktualisiert
werden.
8. Vertraulichkeit und Datensicherheit
Für personenbezogene Daten gilt das Datengeheimnis. Sie müssen im persönlichen
Umgang vertraulich behandelt werden und durch angemessene organisatorische und
technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung
oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung
gesichert werden. Alle Mitarbeiter haben dafür zu sorgen, dass durch die
Verarbeitung personenbezogener Daten den Dateneigentümern kein Schaden zugefügt
wird und die personenbezogenen Daten vor Einsicht und Verwendung durch Unbefugte
geschützt sind.
9. Zulässigkeit der Datenverarbeitung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig,
wenn einer der nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher
Erlaubnistatbestand ist auch dann erforderlich, wenn der Zweck für die Erhebung,
Verarbeitung und Nutzung der personenbezogenen Daten gegenüber der
ursprünglichen Zweckbestimmung geändert werden soll.
9.1 Kunden, Lieferanten- Interessenten- oder Partnerdaten
9.1.1 Datenverarbeitung für eine vertragliche Beziehung
Wenn die Datenverarbeitung personenbezogener Daten der Vertragserfüllung oder
der Erfüllung vorvertraglicher Maßnahmen wie der Erstellung von Angeboten dient,
so ist die Verarbeitung zulässig.
Wir übermitteln im Rahmen der Anbahnung einer Geschäftsbeziehung und während der
Geschäftsbeziehung personenbezogene Daten an Auskunfteien, um die Bonität von
Unternehmen als Interessenten/Kunden zu prüfen. Der Datenaustausch mit
Auskunfteien dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung
von Kreditwürdigkeitsprüfungen (§ 505a und 506 BGB). Die übermittelten Daten
(z.B. auch Zahlungsverhalten) werden durch die Auskunfteien auch zur
Profilbildung (Scoring) verwendet. Wir behalten uns zudem vor, nicht
vertragsgemäßes oder betrügerisches Verhalten während der Geschäftsbeziehung an
die im jeweiligen Einzelfall beauftragten Auskunfteien CRIF Bürgel, Creditreform
und/oder Bisnode zu melden, sofern berechtigte Interessen der Hebezone oder
deren Vertragspartner dadurch geschützt werden können oder müssen und das
Interesse, die Grundrechte oder Grundfreiheiten der betroffenen Personen nicht
überwiegen. Rechtsgrundlage dieser Übermittlungen sind Artikel 6 Absatz 1
Buchstabe b und Artikel 6 Absatz 1 Buchstabe f der DSGVO.
9.1.2 Einwilligung in die Datenverarbeitung
Die Datenverarbeitung zu Werbemaßnahmen per Mail kann aufgrund einer
Einwilligung des Betroffenen stattfinden. Die Einwilligungserklärung ist
schriftlich oder elektronisch einzuholen. Bei telefonischer Beratung kann die
Einwilligung auch mündlich erteilt werden. Die Einwilligung muss dokumentiert
werden. Für postalische Werbemaßnahmen ist keine Einwillung erforderlich.
9.1.3 Datenverarbeitung zur Erfüllung gesetzlicher Auflagen
Die Verarbeitung personenbezogener Daten erfolgt auch, wenn staatliche
Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten.
9.1.4 Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Daten darf auch dann erfolgen, wenn dies zur
Durchsetzung eines berechtigten Interesses der Hebezone erforderlich ist. (z.B.
Schuldnerverfolgung, siehe auch 9.1.1).
9.1.5 Verarbeitung besonders schutzwürdiger Daten (Daten besonderer
Kategorien)
Die Verarbeitung besonders schutzwürdiger personenbezogener Daten erfolgt
ausschließlich, wenn dies gesetzlich erforderlich oder zwingend notwendig ist,
um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben
oder zu verteidigen.
10. Internet
Über auf Webseiten und öffentlich zugänglichen Apps der Hebezone erhobene Daten,
Cookies, die Verarbeitung und Nutzung wird in der
Datenschutzerklärung für Hebezone Websites informiert.
11. Übermittlung personenbezogener Daten
Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb der
Hebezone oder an Empfänger innerhalb der Hebezone unterliegt den
Zulässigkeitsvoraussetzungen der Verarbeitung personenbezogener Daten. Der
Empfänger der Daten muss darauf verpflichtet werden, diese nur zu den
festgelegten Zwecken zu verwenden. Die Verpflichtung hat schriftlich zu erfolgen
und hat folgende Punkte zu beinhalten:
- Definition der Zwecke der Verarbeitung
- Gewährleistung des ausschließlichen Einsatzes von Personal, welches zur
Vertraulichkeit und Geheimhaltung verpflichtet wurde
- Gewährleistung der angemessenen Sicherheit gem. Art. 32 DSGVO
- Regelung für Sub-Auftragsverarbeiter
- Verpflichtung zur Einhaltung der Betroffenenrechte
- Datenlöschung oder Rückgabe nach Auftragserfüllung
- Kontrollrecht durch Hebezone oder einen durch Hebezone beauftragten
Prüfer
- Im Falle einer Datenübermittlung an einen Empfänger außerhalb der
Hebezone in einen Drittstaat muss dieser ein zu dieser Datenschutzrichtlinie
gleichwertiges Datenschutzniveau gewährleisten. Dies gilt nicht, wenn die
Übermittlung aufgrund einer gesetzlichen Verpflichtung erfolgt.
- Im Falle einer Datenübermittlung von Dritten an Hebezone muss
sichergestellt sein, dass die Daten für die vorgesehenen Zwecke verwendet
werden dürfen.
12. Auftragsdatenverarbeitung (Dienstleister)
Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer (z.B.
Auftragsverarbeiter oder Dienstleister) mit der Verarbeitung personenbezogener
Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen
Geschäftsprozess übertragen wird.
In diesen Fällen ist mit externen Auftragnehmern eine Vereinbarung über eine
Auftragsdatenverarbeitung abzuschließen.
Dabei behält die Hebezone die volle Verantwortung für die korrekte Durchführung
der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur im
Rahmen der Weisungen der Hebezone verarbeiten. Bei der Erteilung des Auftrags
sind die nachfolgenden Vorgaben einzuhalten; der beauftragende Fachbereich muss
ihre Umsetzung sicherstellen.
- Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der
erforderlichen technischen und organisatorischen Schutzmaßnahmen
auszuwählen.
- Der Auftrag ist in Schriftform zu erteilen. Dabei sind die Weisungen zur
Datenverarbeitung und die Verantwortlichkeiten von Hebezone und des
Auftragnehmers zu dokumentieren.
- Hebezone hat sich vor Beginn der Datenverarbeitung von der Einhaltung
der Pflichten des Auftragnehmers zu überzeugen. Die Einhaltung der
Anforderungen an die Datensicherheit kann ein Auftragnehmer insbesondere
durch Vorlage einer geeigneten Zertifizierung (zB ISO 27001) nachweisen. Je
nach Risiko der Datenverarbeitung ist die Kontrolle gegebenenfalls während
der Vertragslaufzeit regelmäßig zu wiederholen.
- Bei einer grenzüberschreitenden Auftragsdatenverarbeitung sind die
jeweiligen nationalen Anforderungen für eine Weitergabe personenbezogener
Daten ins Ausland zu erfüllen. Insbesondere darf die Verarbeitung
personenbezogener Daten aus dem Europäischen Wirtschaftsraum in einem
Drittstaat nur stattfinden, wenn der Auftragnehmer ein zu dieser
Datenschutzrichtlinie gleichwertiges Datenschutzniveau nachweist.
- Anerkennung verbindlicher Unternehmensregeln der Hebezone durch den
Auftragnehmer zur Schaffung eines angemessenen Datenschutzniveaus durch die
zuständigen Datenschutz-Aufsichtsbehörden.
Derzeit wird keine Auftragsdatenverarbeitung in dieser Form vorgenommen
13. Vertraulichkeit der Verarbeitung
Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte oder
unrechtmäßige Erhebung, Verarbeitung oder Nutzung ist den Mitarbeitern
untersagt. Die Mitarbeiter nehmen ausdrücklich zur Kenntnis, dass sie gem. § 6
DSG 2018 auf das Datengeheimnis hin verpflichtet sind.
Es ist den Mitarbeitern untersagt, personenbezogene Daten für eigene private
oder wirtschaftliche Zwecke zu nutzen, an Unbefugte zu übermitteln oder diese
auf andere Weise zugänglich zu machen. Zuwiderhandlungen, für die einzelne
Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.
14. Sicherheit der Verarbeitung
Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff,
unrechtmäßige Verarbeitung oder Weitergabe, sowie gegen Verlust, Verfälschung
oder Zerstörung zu schützen. Dies gilt unabhängig davon, ob die
Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung neuer
Verfahren der Datenverarbeitung, insbesondere neuer ITSysteme, sind technische
und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen
und umzusetzen. Diese Maßnahmen haben sich am Stand der Technik, den von der
Verarbeitung ausgehenden Risiken und dem Schutzbedarf der Daten (ermittelt durch
den Prozess zur Informationsklassifizierung) zu orientieren.
Die technisch organisatorischen Maßnahmen zum Schutz personenbezogener Daten
sind Teil des unternehmensweiten Informationssicherheits- und
Datenschutz-Managements und müssen kontinuierlich an die technischen
Entwicklungen und an organisatorische Änderungen angepasst werden. Es ist den
Mitarbeitern/Innen untersagt, personenbezogene Daten außerhalb der von Hebezone
zur Verfügung gestellten Services (Programme, Archive) und Prozessen sowie
außerhalb nachvollziehbarer und rechtmäßiger Aufträge zu verarbeiten.
15. Datenschutzkontrolle
Die Einhaltung der Richtlinien zum Datenschutz und der geltenden
Datenschutzgesetze wird regelmäßig durch Datenschutzaudits im Rahmen des
QM-Managements überprüft.
16. Datenschutzvorfälle (Data Breach)
In Fällen von Verstößen gegen diese Datenschutzrichtlinie oder andere
Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle) hat jeder
Mitarbeiter die für Datenschutzverletzungen zuständige Person (siehe
Zuständigkeiten) unverzüglich und in vollem Umfang zu informieren.
Dies betrifft:
- unbefugte oder unrechtmäßiger Verarbeitung
- unbeabsichtigte oder unrechtmäßige Vernichtung
- unbeabsichtigter oder unrechtmäßiger Verlust
- unbeabsichtigte oder unrechtmäßige Veränderung
- unbeabsichtigte oder unrechtmäßige Offenlegung
- Verlust von Firmenhandy, Laptop
- Offenlegung von Kundendaten einem Fremden gegenüber
17. Verantwortlichkeiten und Sanktionen
Die Geschäftsleitung ist für die Richtlinienkonforme Datenverarbeitung der Daten
verantwortlich. Damit ist sie verpflichtet sicherzustellen, dass die
gesetzlichen und die in der Datenschutzrichtlinie enthaltenen Anforderungen des
Datenschutzes eingehalten werden (z.B. nationale Meldepflichten). Es ist eine
Managementaufgabe der Geschäftsleitung, durch organisatorische, personelle und
technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des
Datenschutzes sicherzustellen. Die Umsetzung dieser Vorgaben liegt in der
Verantwortung der zuständigen Mitarbeiter.
18. Verschiedenes
Die Geschäftsleitung stellt sicher, dass die Mitarbeiter im erforderlichen
Umfang zum Datenschutz geschult werden. Zuwiderhandlungen, für die einzelne
Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.
Jeder Betroffene kann sich mit Anregungen, Anfragen, Auskunftsersuchen oder
Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der
Datensicherheit an den Datenschutzbeauftragten wenden. Anfragen und Beschwerden
werden auf Wunsch vertraulich behandelt.
Die ergänzende Datenschutz-Leitlinie Mitarbeiter/Mitarbeiterdaten ist im
Intranet unter "Dokumente" abrufbar. |