Startseite Datenschutzerklärung

Datenschutzerklärung

DATENSCHUTZRICHTLINIE
I. Dieses Dokument mit dem Titel „Datenschutzerklärung” (nachfolgend als „Richtlinie” bezeichnet) soll eine Karte der Anforderungen, Grundsätze und Vorschriften zum Schutz personenbezogener Daten (nachfolgend: PD) bei BGM Sp. z o.o. (nachfolgend als „Unternehmen” bezeichnet) darstellen.
Diese Richtlinie ist eine Datenschutzrichtlinie im Sinne der DSGVO – der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung von PD und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU L 119, S. 1) und den nationalen Vorschriften (nachfolgend zusammen: DSGVO).
II. Die Richtlinie enthält:
  • Beschreibung der Grundsätze des PD-Schutzes, die im Unternehmen gelten.
  • Verweise auf detaillierende Anhänge (Musterverfahren oder Anweisungen zu einzelnen Bereichen des PD-Schutzes, die in separaten Dokumenten präzisiert werden müssen).
III. Verantwortlich für die Umsetzung und Aufrechterhaltung dieser Richtlinie ist die Geschäftsführung des Unternehmens, und innerhalb der Geschäftsführung:
  • ………………………, dem die Aufsicht über den Bereich des PD-Schutzes übertragen wurde.
  • Die vom Unternehmen benannte Person zur Gewährleistung der Einhaltung des PD-Schutzes.
Für die Aufsicht und Überwachung der Einhaltung der Richtlinie sind verantwortlich:
  • Der Datenschutzbeauftragte, falls er im Unternehmen bestellt wurde.
Für die Anwendung dieser Richtlinie sind verantwortlich:
  • Das Unternehmen.
  • Die organisatorische Einheit, die für den Bereich Informationssicherheit verantwortlich ist.
  • Die organisatorischen Einheiten, die PD verarbeiten.
  • Das Personal des Unternehmens.
Das Unternehmen gewährleistet die Übereinstimmung des Handelns der Vertragspartner des Unternehmens mit dieser Richtlinie in angemessenem Umfang, wenn es zur Übergabe von PD durch das Unternehmen an diese kommt.
IV. Abkürzungen und Definitionen:
  • Richtlinie bedeutet diese Datenschutzrichtlinie, sofern aus dem Kontext nichts anderes eindeutig hervorgeht.
  • DSGVO bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung von PD und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU L 119, S. 1).
  • Daten bedeuten PD, sofern aus dem Kontext nichts anderes eindeutig hervorgeht.
  • Sensible Daten bedeuten besondere Daten und Strafdaten.
  • Besondere Daten bedeuten die in Art. 9 Abs. 1 DSGVO genannten Daten, d.h. PD, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder Daten über Gesundheit, Sexualität oder sexuelle Orientierung offenbaren.
  • Strafdaten bedeuten die in Art. 10 DSGVO genannten Daten, d.h. Daten über Verurteilungen und Rechtsverstöße.
  • Kindesdaten bedeuten Daten von Personen unter 16 Jahren.
  • Person bedeutet die betroffene Person, sofern aus dem Kontext nichts anderes eindeutig hervorgeht.
  • Auftragsverarbeiter bedeutet eine Organisation oder Person, der das Unternehmen die Verarbeitung von PD anvertraut hat (z.B. IT-Dienstleister, externe Buchhaltung).
  • Profiling bedeutet jede Form der automatisierten Verarbeitung von PD, die darin besteht, PD zur Bewertung bestimmter persönlicher Aspekte einer natürlichen Person zu verwenden, insbesondere zur Analyse oder Vorhersage von Aspekten bezüglich der Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, persönlichen Präferenzen, Interessen, Zuverlässigkeit, Verhalten, Standort oder Bewegung dieser Person.
  • Datenexport bedeutet die Übermittlung von PD an ein Drittland oder eine internationale Organisation.
  • DSB oder Inspektor bedeutet den Datenschutzbeauftragten.
  • VPV oder Register bedeutet das Verzeichnis von Verarbeitungstätigkeiten.
  • Unternehmen bedeutet das in der Präambel genannte Unternehmen.
V. PD-Schutz – allgemeine Grundsätze
Säulen des PD-Schutzes:
  • Rechtmäßigkeit – Das Unternehmen achtet auf den Schutz der Privatsphäre und verarbeitet Daten rechtskonform.
  • Sicherheit – Das Unternehmen gewährleistet ein angemessenes Datensicherheitsniveau durch kontinuierliche Maßnahmen in diesem Bereich.
  • Rechte der Person – Das Unternehmen ermöglicht Personen, deren Daten verarbeitet werden, die Ausübung ihrer Rechte und setzt diese um.
  • Rechenschaftspflicht – Das Unternehmen dokumentiert, wie es seinen Pflichten nachkommt, um jederzeit die Einhaltung nachweisen zu können.
Grundsätze des Datenschutzes.
Das Unternehmen verarbeitet PD unter Beachtung folgender Grundsätze:
  • Auf Grundlage einer Rechtsgrundlage und rechtskonform (Rechtmäßigkeit).
  • Redlich und fair (Redlichkeit).
  • In für die betroffene Person transparenter Weise (Transparenz).
  • Für konkrete Zwecke und nicht „auf Vorrat” (Minimierung).
  • Nicht mehr als nötig (Angemessenheit).
  • Mit Sorgfalt für die Richtigkeit der Daten (Richtigkeit).
  • Nicht länger als nötig (Zeitlichkeit).
  • Unter Gewährleistung angemessener PD-Sicherheit (Sicherheit).
PD-Schutzsystem
Das PD-Schutzsystem im Unternehmen besteht aus folgenden Elementen:
  • Dateninventar. Das Unternehmen führt eine Identifizierung der PD-Ressourcen im Unternehmen, Datenklassen, Abhängigkeiten zwischen Datenressourcen, Identifizierung der Datenverwendungsweisen (Inventar) durch, einschließlich:
  • Fälle der Verarbeitung besonderer Daten und „krimineller” Daten (sensible Daten).
  • Fälle der Verarbeitung von Daten von Personen, die das Unternehmen nicht identifiziert (nicht identifizierte Daten/UFO).
  • Fälle der Verarbeitung von Kindesdaten.
  • Profiling.
  • Gemeinsame Datenverwaltung.
  • Register. Das Unternehmen erstellt, führt und pflegt das Verzeichnis von Verarbeitungstätigkeiten im Unternehmen (Register). Das Register ist ein Instrument zur Rechenschaftslegung über die Einhaltung des Datenschutzes im Unternehmen. Das Register wird erst dann angelegt, wenn das Unternehmen die in der DSGVO ausgedrückten Grenzwerte überschreitet.
  • Rechtsgrundlagen. Das Unternehmen gewährleistet, identifiziert, überprüft Rechtsgrundlagen der Datenverarbeitung und registriert sie im Register, einschließlich:
  • Aufrechterhaltung eines Systems zur Verwaltung von Einwilligungen zur Datenverarbeitung und Fernkommunikation,
  • Inventarisierung und Detaillierung der Begründung von Fällen, in denen das Unternehmen Daten auf Grundlage des berechtigten Interesses des Unternehmens verarbeitet.
  • Bearbeitung von Personenrechten. Das Unternehmen erfüllt Informationspflichten gegenüber Personen, deren Daten verarbeitet werden, und gewährleistet die Bearbeitung ihrer Rechte, indem es erhaltene Anträge in diesem Bereich umsetzt, einschließlich:
  • Informationspflichten. Das Unternehmen übermittelt Personen die gesetzlich erforderlichen Informationen bei der Datenerhebung und in anderen Situationen und organisiert und gewährleistet die Dokumentation der Erfüllung dieser Pflichten.
  • Möglichkeit zur Ausführung von Anträgen. Das Unternehmen überprüft und gewährleistet die Möglichkeit einer effektiven Ausführung jedes Antragstyps durch sich selbst und seine Auftragsverarbeiter.
  • Bearbeitung von Anträgen. Das Unternehmen gewährleistet angemessene Ressourcen und Verfahren, damit Anträge von Personen innerhalb der von der DSGVO geforderten Fristen und in der geforderten Weise umgesetzt und dokumentiert werden.
  • Benachrichtigung über Verstöße. Das Unternehmen wendet Verfahren an, die es ermöglichen, die Notwendigkeit der Benachrichtigung von Personen festzustellen, die von einem identifizierten Datenschutzverstoß betroffen sind.
  • Minimierung. Das Unternehmen verfügt über Grundsätze und Methoden zur Verwaltung der Minimierung (Privacy by Default), einschließlich:
  • Grundsätze zur Verwaltung der Angemessenheit von Daten.
  • Grundsätze zur Reglementierung und Verwaltung des Datenzugriffs.
  • Grundsätze zur Verwaltung der Aufbewahrungsdauer von Daten und Überprüfung des weiteren Nutzens.
  • Sicherheit. Das Unternehmen gewährleistet ein angemessenes Datensicherheitsniveau, einschließlich:
  • Durchführung von Risikoanalysen für Verarbeitungstätigkeiten von PD oder deren Kategorien.
  • Durchführung von Folgenabschätzungen für den PD-Schutz dort, wo das Risiko einer Verletzung der Rechte und Freiheiten von Personen hoch ist.
  • Anpassung der Datenschutzmaßnahmen an das festgestellte Risiko.
  • Vorhandensein eines Informationssicherheitsmanagementsystems.
  • Anwendung von Verfahren zur Identifizierung, Bewertung und Meldung eines identifizierten Datenschutzverstoßes an die Datenschutzbehörde – Verwaltung von Vorfällen.
  • Auftragsverarbeiter. Das Unternehmen verfügt über Grundsätze zur Auswahl von Auftragsverarbeitern von Daten für das Unternehmen, Anforderungen an die Bedingungen der Verarbeitung (Auftragsverarbeitungsvertrag), Grundsätze zur Überprüfung der Erfüllung von Auftragsverarbeitungsverträgen.
  • Datenexport. Das Unternehmen verfügt über Grundsätze zur Überprüfung, ob das Unternehmen Daten nicht an Drittländer (d.h. außerhalb der EU, Norwegen, Liechtenstein, Island) oder an internationale Organisationen übermittelt, und zur Gewährleistung rechtskonformer Bedingungen einer solchen Übermittlung, falls diese stattfindet.
  • Privacy by Design. Das Unternehmen verwaltet Änderungen, die sich auf die Privatsphäre auswirken. Zu diesem Zweck berücksichtigen die Verfahren zur Einleitung neuer Projekte und Investitionen im Unternehmen die Notwendigkeit der Bewertung der Auswirkungen der Änderung auf den Datenschutz, die Gewährleistung der Privatsphäre (einschließlich der Übereinstimmung der Verarbeitungszwecke, Datensicherheit und Minimierung) bereits in der Entwurfsphase der Änderung, Investition oder zu Beginn eines neuen Projekts.
  • Grenzüberschreitende Verarbeitung. Das Unternehmen verfügt über Grundsätze zur Überprüfung, wann Fälle grenzüberschreitender Verarbeitung auftreten, und Grundsätze zur Festlegung der führenden Aufsichtsbehörde und der Hauptniederlassung im Sinne der DSGVO.
VI. Inventar
  • Sensible Daten – Das Unternehmen identifiziert Fälle, in denen es sensible Daten (besondere Daten und Strafdaten) verarbeitet oder verarbeiten kann, und unterhält dedizierte Mechanismen zur Gewährleistung der Rechtskonformität der Verarbeitung sensibler Daten. Bei der Identifizierung von Fällen der Verarbeitung sensibler Daten handelt das Unternehmen gemäß den in diesem Bereich angenommenen Grundsätzen.
  • Nicht identifizierte Daten – Das Unternehmen identifiziert Fälle, in denen es nicht identifizierte Daten verarbeitet oder verarbeiten kann, und unterhält Mechanismen zur Erleichterung der Umsetzung der Rechte von Personen, deren nicht identifizierte Daten betroffen sind.
  • Profiling – Das Unternehmen identifiziert Fälle, in denen es Profiling der verarbeiteten Daten durchführt, und unterhält Mechanismen zur Gewährleistung der Rechtskonformität dieses Prozesses. Bei der Identifizierung von Fällen des Profilings und der automatisierten Entscheidungsfindung handelt das Unternehmen gemäß den in diesem Bereich angenommenen Grundsätzen.
  • Gemeinsame Verwaltung – Das Unternehmen identifiziert Fälle der gemeinsamen Datenverwaltung und handelt in diesem Bereich gemäß den angenommenen Grundsätzen.
VII. Verzeichnis von Verarbeitungstätigkeiten – Teil inaktiv bis zum durch Vorschriften festgelegten Zeitpunkt.
Das VPV stellt eine Form der Dokumentation von Verarbeitungstätigkeiten dar, erfüllt die Rolle einer Karte der Datenverarbeitung und ist eines der Schlüsselelemente, die die Umsetzung des fundamentalen Grundsatzes ermöglichen, auf dem das gesamte PD-Schutzsystem basiert, nämlich des Grundsatzes der Rechenschaftspflicht.
Das Unternehmen führt das Verzeichnis von Verarbeitungstätigkeiten, in dem es die Art und Weise, wie es PD verwendet, inventarisiert und überwacht.
Das Register ist eines der grundlegenden Instrumente, die es dem Unternehmen ermöglichen, sich über die meisten Datenschutzpflichten zu rechtfertigen.
Im Register vermerkt das Unternehmen für jede Verarbeitungstätigkeit, die es für die Zwecke des Registers als getrennt erachtet hat, mindestens:
  • Den Namen der Tätigkeit,
  • Den Zweck der Verarbeitung,
  • Die Beschreibung der Kategorien von Personen,
  • Die Beschreibung der Kategorien von Daten,
  • Die Rechtsgrundlage der Verarbeitung, zusammen mit der Aufschlüsselung der Kategorien des berechtigten Interesses des Unternehmens, falls die Grundlage das berechtigte Interesse ist,
  • Die Art der Datenerhebung,
  • Die Beschreibung der Kategorien von Datenempfängern (einschließlich Auftragsverarbeiter),
  • Informationen über die Übermittlung außerhalb der EU/des EWR,
  • Die allgemeine Beschreibung der technischen und organisatorischen Datenschutzmaßnahmen.
Die Vorlage des Registers bildet Anhang Nr. 1 zur Richtlinie – „Vorlage des Verzeichnisses von Verarbeitungstätigkeiten”. Die Registervorlage enthält auch optionale Spalten. In den optionalen Spalten registriert das Unternehmen Informationen nach Bedarf und Möglichkeit, unter Berücksichtigung dessen, dass ein vollständigerer Inhalt des Registers die Verwaltung der Datenschutzeinhaltung und die Rechenschaftslegung erleichtert.
VIII. Verarbeitungsgrundlagen.
Das Unternehmen dokumentiert im Register die Rechtsgrundlagen der Datenverarbeitung für einzelne Verarbeitungstätigkeiten.
Bei der Angabe der allgemeinen Rechtsgrundlage (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe/öffentliche Gewalt, berechtigtes Interesse des Unternehmens) präzisiert das Unternehmen die Grundlage auf verständliche Weise, wenn dies erforderlich ist. Z.B. bei der Einwilligung durch Angabe ihres Umfangs, wenn die Grundlage das Recht ist – durch Angabe der konkreten Vorschrift und anderer Dokumente, z.B. Vertrag, Verwaltungsvereinbarung, lebenswichtige Interessen – durch Angabe der Kategorien von Ereignissen, in denen sie sich materialisieren, berechtigtes Interesse – durch Angabe des konkreten Zwecks, z.B. Eigenwerbung, Geltendmachung von Ansprüchen.
Das Unternehmen implementiert Methoden zur Verwaltung von Einwilligungen, die die Registrierung und Überprüfung des Vorhandenseins der Einwilligung einer Person zur Verarbeitung ihrer konkreten Daten zu einem konkreten Zweck, der Einwilligung zur Fernkommunikation (E-Mail, Telefon, SMS, usw.) sowie die Registrierung der Verweigerung der Einwilligung, des Widerrufs der Einwilligung und ähnlicher Handlungen (Widerspruch, Einschränkung usw.) ermöglichen.
Der Leiter der organisatorischen Einheit des Unternehmens ist verpflichtet, die Rechtsgrundlagen zu kennen, auf denen die von ihm geleitete Einheit konkrete Verarbeitungstätigkeiten von PD durchführt. Wenn die Grundlage das berechtigte Interesse des Unternehmens ist, ist der Leiter der Einheit verpflichtet, das konkrete durch die Verarbeitung realisierte Interesse des Unternehmens zu kennen.
IX. Art der Bearbeitung von Personenrechten und Informationspflichten.
Das Unternehmen achtet auf Klarheit und Stil der übermittelten Informationen und Kommunikation mit Personen, deren Daten verarbeitet werden.
Das Unternehmen erleichtert Personen die Nutzung ihrer Rechte durch verschiedene Maßnahmen, einschließlich: Platzierung von Informationen oder Verweisen (Links) zu Informationen über die Rechte von Personen, die Art ihrer Nutzung im Unternehmen, einschließlich Anforderungen zur Identifizierung, Kontaktmethoden mit dem Unternehmen zu diesem Zweck, eventueller Preisliste für „zusätzliche” Anträge usw. auf der Website des Unternehmens.
Das Unternehmen achtet auf die Einhaltung der gesetzlichen Fristen zur Erfüllung von Pflichten gegenüber Personen.
Das Unternehmen führt angemessene Methoden zur Identifizierung und Authentifizierung von Personen für die Zwecke der Umsetzung von Personenrechten und Informationspflichten ein.
Zur Umsetzung der Personenrechte gewährleistet das Unternehmen Verfahren und Mechanismen, die es ermöglichen, Daten konkreter Personen, die vom Unternehmen verarbeitet werden, zu identifizieren, diese Daten zu integrieren, Änderungen daran vorzunehmen und sie auf integrierte Weise zu löschen.
Das Unternehmen dokumentiert die Bearbeitung von Informationspflichten, Benachrichtigungen und Anträgen von Personen.
X. Informationspflichten.
Das Unternehmen bestimmt rechtskonforme und effektive Wege zur Erfüllung von Informationspflichten.
Das Unternehmen informiert die Person über die Verlängerung der Frist zur Bearbeitung des Antrags dieser Person um mehr als einen Monat.
Das Unternehmen informiert die Person über die Verarbeitung ihrer Daten bei der Erhebung von Daten von dieser Person.
Das Unternehmen informiert die Person über die Verarbeitung ihrer Daten bei der Erhebung von Daten über diese Person nicht direkt von ihr.
Das Unternehmen bestimmt die Art der Information von Personen über die Verarbeitung nicht identifizierter Daten, wo dies möglich ist (z.B. Schild über die Erfassung des Bereichs durch Videoüberwachung).
Das Unternehmen informiert die Person über die geplante Änderung des Zwecks der Datenverarbeitung.
Das Unternehmen informiert die Person vor der Aufhebung der Einschränkung der Datenverarbeitung.
Das Unternehmen informiert die Datenempfänger über die Berichtigung, Löschung oder Einschränkung der Datenverarbeitung (es sei denn, dies würde unverhältnismäßig großen Aufwand erfordern oder wäre unmöglich).
Das Unternehmen informiert die Person über das Recht auf Widerspruch gegen die Datenverarbeitung spätestens beim ersten Kontakt mit dieser Person.
Das Unternehmen benachrichtigt die Person ohne unzumutbare Verzögerung über einen Verstoß gegen den PD-Schutz, wenn dieser ein hohes Risiko einer Verletzung der Rechte oder Freiheiten dieser Person verursachen kann.
XI. Anträge von Personen
  • Rechte Dritter. Bei der Umsetzung der Rechte von Personen, deren Daten betroffen sind, führt das Unternehmen prozedurale Garantien zum Schutz der Rechte und Freiheiten Dritter ein. Insbesondere im Falle des Erhalts einer glaubwürdigen Nachricht, dass die Ausführung eines Antrags einer Person auf Ausgabe einer Kopie der Daten oder des Rechts auf Datenübertragung die Rechte und Freiheiten anderer Personen nachteilig beeinflussen kann (z.B. Rechte im Zusammenhang mit dem Schutz der Daten anderer Personen, Rechte des geistigen Eigentums, Geschäftsgeheimnis, Persönlichkeitsrechte usw.), kann sich das Unternehmen an die Person wenden, um Zweifel zu klären, oder andere gesetzlich zulässige Schritte unternehmen, einschließlich der Ablehnung der Erfüllung des Antrags.
  • Keine Verarbeitung. Das Unternehmen informiert die Person darüber, dass es keine ihre betreffenden Daten verarbeitet, wenn eine solche Person einen Antrag bezüglich ihrer Rechte gestellt hat.
  • Ablehnung. Das Unternehmen informiert die Person innerhalb eines Monats nach Erhalt des Antrags über die Ablehnung der Bearbeitung des Antrags und über die damit verbundenen Rechte der Person.
  • Zugang zu Daten. Auf Antrag einer Person bezüglich des Zugangs zu ihren Daten informiert das Unternehmen die Person, ob es ihre Daten verarbeitet, und informiert die Person über die Details der Verarbeitung gemäß Art. 15 DSGVO (Umfang entspricht der Informationspflicht bei der Datenerhebung), und gewährt der Person Zugang zu ihren betreffenden Daten. Der Zugang zu Daten kann durch Ausgabe einer Kopie der Daten realisiert werden, mit dem Vorbehalt, dass die Kopie der Daten, die bei der Ausübung des Rechts auf Zugang zu Daten ausgegeben wurde, das Unternehmen nicht als erste unentgeltliche Kopie der Daten für die Zwecke der Gebühren für Datenkopien anerkennt.
  • Datenkopien. Auf Antrag gibt das Unternehmen der Person eine Kopie ihrer betreffenden Daten aus und vermerkt die Tatsache der Ausgabe der ersten Datenkopie. Das Unternehmen führt und unterhält eine Preisliste für Datenkopien, gemäß der es Gebühren für weitere Datenkopien erhebt. Der Preis für Datenkopien wird auf Grundlage der geschätzten Stückkosten für die Bearbeitung eines Antrags auf Ausgabe von Datenkopien kalkuliert.
  • Berichtigung von Daten. Das Unternehmen nimmt auf Antrag der Person eine Berichtigung unrichtiger Daten vor. Das Unternehmen hat das Recht, die Berichtigung von Daten abzulehnen, es sei denn, die Person weist auf angemessene Weise die Unrichtigkeit der Daten nach, deren Berichtigung sie verlangt. Im Falle der Berichtigung von Daten informiert das Unternehmen die Person über die Datenempfänger auf Antrag dieser Person.
  • Vervollständigung von Daten. Das Unternehmen vervollständigt und aktualisiert Daten auf Antrag der Person. Das Unternehmen hat das Recht, die Vervollständigung von Daten abzulehnen, wenn die Vervollständigung nicht mit den Zwecken der Datenverarbeitung übereinstimmen würde (z.B. muss das Unternehmen keine Daten verarbeiten, die für das Unternehmen unnötig sind). Das Unternehmen kann sich auf die Erklärung der Person bezüglich der zu vervollständigenden Daten verlassen, es sei denn, dies wäre im Lichte der vom Unternehmen angenommenen Verfahren (z.B. bezüglich der Erhebung solcher Daten), des Rechts unzureichend oder es bestehen Gründe, die Erklärung als unglaubwürdig anzusehen.
  • Löschung von Daten. Auf Antrag der Person löscht das Unternehmen Daten, wenn:
  • Die Daten nicht mehr für die Zwecke notwendig sind, für die sie erhoben oder zu anderen Zwecken verarbeitet wurden,
  • Die Einwilligung zu ihrer Verarbeitung widerrufen wurde und keine andere Rechtsgrundlage für die Verarbeitung besteht,
  • Die Person einen wirksamen Widerspruch gegen die Verarbeitung dieser Daten eingelegt hat,
  • Die Daten rechtswidrig verarbeitet wurden,
  • Die Notwendigkeit der Löschung aus einer rechtlichen Verpflichtung resultiert,
  • Der Antrag Daten eines Kindes betrifft, die auf Grundlage einer Einwilligung zum Zweck der Erbringung von Diensten der Informationsgesellschaft erhoben wurden, die direkt dem Kind angeboten werden (z.B. Profil eines Kindes in einem sozialen Netzwerk, Teilnahme an einem Wettbewerb auf einer Website).
  • Das Unternehmen bestimmt die Art der Bearbeitung des Rechts auf Löschung von Daten in einer Weise, die eine effektive Umsetzung dieses Rechts bei Achtung aller Datenschutzgrundsätze, einschließlich Sicherheit, sowie die Überprüfung gewährleistet, ob keine Ausnahmen gemäß Art. 17 Abs. 3 DSGVO vorliegen.
  • Wenn die zu löschenden Daten vom Unternehmen veröffentlicht wurden, unternimmt das Unternehmen angemessene Maßnahmen, einschließlich technischer Maßnahmen, um andere Verantwortliche, die diese PD verarbeiten, über die Notwendigkeit der Löschung von Daten und des Zugangs zu ihnen zu informieren.
  • Im Falle der Löschung von Daten informiert das Unternehmen die Person über die Datenempfänger auf Antrag dieser Person.
  • Einschränkung der Verarbeitung. Das Unternehmen nimmt eine Einschränkung der Datenverarbeitung auf Antrag der Person vor, wenn:
  • Die Person die Richtigkeit der Daten bestreitet – für den Zeitraum, der es ermöglicht, ihre Richtigkeit zu überprüfen,
  • Die Verarbeitung rechtswidrig ist und die betroffene Person der Löschung von PD widerspricht und stattdessen die Einschränkung ihrer Nutzung verlangt,
  • Das Unternehmen die PD nicht mehr benötigt, aber sie für die betroffene Person zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind,
  • Die Person einen Widerspruch gegen die Verarbeitung aus Gründen im Zusammenhang mit ihrer besonderen Situation eingelegt hat – bis zur Feststellung, ob auf Seiten des Unternehmens rechtlich gerechtfertigte überwiegende Gründe gegenüber den Gründen des Widerspruchs bestehen.
  • Während der Einschränkung der Verarbeitung speichert das Unternehmen die Daten, verarbeitet sie jedoch nicht (nutzt sie nicht, übermittelt sie nicht), ohne Einwilligung der betroffenen Person, es sei denn, zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aufgrund wichtiger Gründe des öffentlichen Interesses.
  • Das Unternehmen informiert die Person vor der Aufhebung der Einschränkung der Verarbeitung.
  • Im Falle der Einschränkung der Datenverarbeitung informiert das Unternehmen die Person über die Datenempfänger auf Antrag dieser Person.
  • Datenübertragung. Auf Antrag der Person gibt das Unternehmen in einem strukturierten, gängigen und maschinenlesbaren Format aus oder übermittelt an ein anderes Unternehmen, wenn dies möglich ist, die betreffenden Daten dieser Person, die sie dem Unternehmen übermittelt hat, die auf Grundlage der Einwilligung dieser Person oder zum Zweck des Abschlusses oder der Erfüllung eines mit ihr geschlossenen Vertrags in den IT-Systemen des Unternehmens verarbeitet werden.
  • Widerspruch in besonderer Situation. Wenn eine Person einen durch ihre besondere Situation begründeten Widerspruch gegen die Verarbeitung ihrer Daten einlegt und die Daten vom Unternehmen auf Grundlage des berechtigten Interesses des Unternehmens oder einer dem Unternehmen übertragenen Aufgabe im öffentlichen Interesse verarbeitet werden, berücksichtigt das Unternehmen den Widerspruch, es sei denn, es bestehen auf Seiten des Unternehmens wichtige rechtlich gerechtfertigte Gründe für die Verarbeitung, die gegenüber den Interessen, Rechten und Freiheiten der Person, die den Widerspruch einlegt, überwiegen, oder Gründe zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Widerspruch bei wissenschaftlichen, historischen oder statistischen Zwecken. Wenn das Unternehmen wissenschaftliche oder historische Forschungen durchführt oder Daten zu statistischen Zwecken verarbeitet, kann die Person einen durch ihre besondere Situation begründeten Widerspruch gegen eine solche Verarbeitung einlegen. Das Unternehmen berücksichtigt einen solchen Widerspruch, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse durchgeführten Aufgabe erforderlich.
  • Widerspruch gegen Direktwerbung. Wenn eine Person einen Widerspruch gegen die Verarbeitung ihrer Daten durch das Unternehmen für Zwecke der Direktwerbung (einschließlich möglicherweise Profiling) einlegt, berücksichtigt das Unternehmen den Widerspruch und stellt eine solche Verarbeitung ein.
  • Recht auf menschliches Eingreifen bei automatischer Verarbeitung. Wenn das Unternehmen Daten automatisch verarbeitet, insbesondere Personen profiliert, und infolgedessen Entscheidungen gegenüber der Person trifft, die rechtliche Wirkungen haben oder die Person erheblich beeinflussen, gewährleistet das Unternehmen die Möglichkeit, sich an ein menschliches Eingreifen und eine Entscheidung auf Seiten des Unternehmens zu wenden, es sei denn, eine solche automatische Entscheidung:
  • ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der sich wendenden Person und dem Unternehmen erforderlich.
  • ist durch Rechtsvorschriften ausdrücklich erlaubt.
  • beruht auf der ausdrücklichen Einwilligung der sich wendenden Person.
XII. Minimierung.
Das Unternehmen achtet auf die Minimierung der Datenverarbeitung in Bezug auf:
  • Angemessenheit der Daten zu den Zwecken (Datenmenge und Umfang der Verarbeitung),
  • Zugang zu Daten,
  • Aufbewahrungsdauer von Daten.
Minimierung des Umfangs.
Das Unternehmen hat den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung und die Menge der verarbeiteten Daten im Hinblick auf die Angemessenheit zu den Verarbeitungszwecken im Rahmen der Umsetzung der DSGVO überprüft.
Das Unternehmen führt eine periodische Überprüfung der Menge der verarbeiteten Daten und des Umfangs ihrer Verarbeitung nicht seltener als einmal pro Jahr durch.
Das Unternehmen führt eine Überprüfung von Änderungen bezüglich der Menge und des Umfangs der Datenverarbeitung im Rahmen von Änderungsverwaltungsverfahren (Privacy by Design) durch.
Minimierung des Zugangs.
Das Unternehmen wendet Zugangsbeschränkungen für PD an: rechtliche (Verpflichtungen zur Vertraulichkeit, Bereiche der Befugnisse), physische (Zugangszonen, Abschließen von Räumen) und logische (Beschränkungen der Berechtigungen für Systeme, die PD verarbeiten, und Netzwerkressourcen, in denen PD gespeichert sind).
Das Unternehmen wendet physische Zugangskontrolle an.
Das Unternehmen aktualisiert Zugriffsberechtigungen bei Änderungen in der Personalzusammensetzung und Änderungen der Rollen von Personen sowie Änderungen bei Auftragsverarbeitern.
Das Unternehmen führt eine periodische Überprüfung der eingerichteten Benutzer der Systeme durch und aktualisiert sie nicht seltener als einmal pro Jahr.
Detaillierte Grundsätze der physischen und logischen Zugangskontrolle sind in den Verfahren zur physischen Sicherheit und Informationssicherheit des Unternehmens enthalten.
Minimierung der Zeit.
Das Unternehmen implementiert Mechanismen zur Kontrolle des Lebenszyklus von PD im Unternehmen, einschließlich der Überprüfung des weiteren Nutzens von Daten in Bezug auf Termine und Kontrollpunkte, die im Register angegeben sind.
Daten, deren Nutzungsbereich mit der Zeit eingeschränkt wird, werden aus den Produktionssystemen des Unternehmens sowie aus den Hand- und Hauptakten gelöscht. Solche Daten können archiviert werden und sich auf Sicherungskopien von Systemen und Informationen befinden, die vom Unternehmen verarbeitet werden. Die Verfahren zur Archivierung und Nutzung von Archiven, zur Erstellung und Nutzung von Sicherungskopien berücksichtigen die Anforderungen der Kontrolle über den Lebenszyklus von Daten, einschließlich der Anforderungen zur Löschung von Daten.
XIII. Sicherheit.
Das Unternehmen gewährleistet ein Sicherheitsniveau, das dem Risiko einer Verletzung der Rechte und Freiheiten natürlicher Personen infolge der Verarbeitung von PD durch das Unternehmen entspricht.
Risikoanalysen und Angemessenheit von Sicherheitsmaßnahmen.
Das Unternehmen führt Analysen der Angemessenheit von PD-Sicherheitsmaßnahmen durch und dokumentiert sie. Zu diesem Zweck:
  • Das Unternehmen gewährleistet einen angemessenen Wissensstand über Informationssicherheit, Cybersicherheit und Geschäftskontinuität – intern oder mit Unterstützung spezialisierter Unternehmen.
  • Das Unternehmen kategorisiert Daten und Verarbeitungstätigkeiten im Hinblick auf das Risiko, das sie darstellen.
  • Das Unternehmen führt Risikoanalysen für Verletzungen der Rechte oder Freiheiten natürlicher Personen für Verarbeitungstätigkeiten von Daten oder deren Kategorien durch. Das Unternehmen analysiert mögliche Situationen und Szenarien von Verstößen gegen den PD-Schutz unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung, des Risikos einer Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit des Auftretens und Gewicht der Bedrohung.
  • Das Unternehmen bestimmt anwendbare organisatorische und technische Sicherheitsmaßnahmen und bewertet die Kosten ihrer Umsetzung. Dabei bestimmt das Unternehmen die Nützlichkeit und wendet solche Maßnahmen und Ansätze an wie:
  • Pseudonymisierung.
  • Verschlüsselung von PD.
  • Andere Cybersicherheitsmaßnahmen, die die Fähigkeit zur kontinuierlichen Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Systemen und Diensten der Verarbeitung ausmachen.
  • Maßnahmen zur Gewährleistung der Geschäftskontinuität und zur Verhinderung von Katastrophenfolgen, d.h. die Fähigkeit, die Verfügbarkeit von PD und den Zugang zu ihnen im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen.
Folgenabschätzungen für den Datenschutz.
Das Unternehmen führt Folgenabschätzungen für geplante Verarbeitungsvorgänge für den PD-Schutz dort durch, wo gemäß der Risikoanalyse das Risiko einer Verletzung der Rechte und Freiheiten von Personen hoch ist.
Das Unternehmen wendet die im Unternehmen angenommene Methodik der Folgenabschätzung an.
Sicherheitsmaßnahmen.
Das Unternehmen wendet Sicherheitsmaßnahmen an, die im Rahmen von Risikoanalysen und Angemessenheitsanalysen von Sicherheitsmaßnahmen sowie Folgenabschätzungen für den Datenschutz festgelegt wurden.
Die PD-Sicherheitsmaßnahmen sind ein Element der Informationssicherheitsmaßnahmen und der Gewährleistung der Cybersicherheit im Unternehmen und sind in den vom Unternehmen für diese Bereiche angenommenen Verfahren näher beschrieben.
Meldung von Verstößen
Das Unternehmen wendet Verfahren an, die es ermöglichen, einen identifizierten Verstoß gegen den Datenschutz zu identifizieren, zu bewerten und der Datenschutzbehörde innerhalb von 72 Stunden nach Feststellung des Verstoßes zu melden.
XIV. Auftragsverarbeiter.
Das Unternehmen verfügt über Grundsätze zur Auswahl und Überprüfung von Auftragsverarbeitern von Daten für das Unternehmen, die entwickelt wurden, um sicherzustellen, dass Auftragsverarbeiter ausreichende Garantien für die Umsetzung angemessener organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit, Umsetzung von Personenrechten und anderen Datenschutzpflichten, die beim Unternehmen liegen, geben.
Das Unternehmen hat minimale Anforderungen an den Auftragsverarbeitungsvertrag angenommen, die Anhang Nr. 2 zur Richtlinie bilden – „Vorlage des Auftragsverarbeitungsvertrags”.
Das Unternehmen rechnet mit Auftragsverarbeitern über die Nutzung von Unterauftragsverarbeitern sowie über andere Anforderungen ab, die sich aus den Grundsätzen der Auftragsverarbeitung von PD ergeben.
XV. Datenexport.
Das Unternehmen registriert im Register Fälle des Datenexports, d.h. der Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR im Jahr 2018 = Europäische Union, Island, Liechtenstein und Norwegen).
Um Situationen eines nicht autorisierten Datenexports zu vermeiden, insbesondere im Zusammenhang mit der Nutzung öffentlich zugänglicher Cloud-Dienste (Shadow IT), überprüft das Unternehmen periodisch das Verhalten von Benutzern und stellt nach Möglichkeit rechtskonforme Datenschutzlösungen bereit, die gleichwertig sind.
XVI. Privacy by Design.
Das Unternehmen verwaltet Änderungen, die sich auf die Privatsphäre auswirken, in einer Weise, die es ermöglicht, angemessene PD-Sicherheit und Minimierung ihrer Verarbeitung zu gewährleisten.
Zu diesem Zweck verweisen die Grundsätze zur Durchführung von Projekten und Investitionen durch das Unternehmen auf die Grundsätze der PD-Sicherheit und Minimierung und erfordern eine Bewertung der Auswirkungen auf die Privatsphäre und den Datenschutz, Berücksichtigung und Entwurf von Sicherheit und Minimierung der Datenverarbeitung von Anfang an des Projekts oder der Investition.
XVII. Schlussbestimmungen.
Diese Richtlinie tritt am 25.05.2018 in Kraft.