Datenschutzrichtlinie
1 Vorwort
Die Themen gesetzlicher Datenschutz und Informationssicherheit werden für uns, unsere Kunden und Partnern immer wichtiger und bedeutsamer. Wir als Dienstleistungsunternehmen im Bereich der Software und Beratung rund um PLM, genießen ein hohes Vertrauen unserer Kunden.
Vertrauen bedeutet jedoch auch Verantwortung für unser Handeln und für unsere Arbeit sowie für die Systeme und Daten der Kunden. Unsere Kunden legen Ihre persönlichen und betriebswirtschaftlichen Daten und damit auch alle unternehmenswichtigen sowie kritischen Informationen in unsere Hände.
Für uns bei der DSC Software AG ist es besonders wichtig, mit diesen Daten verantwortungsbewusst umzugehen. Daher liegt es sehr nahe, dass wir das Thema gesetzlicher Datenschutz in der Praxis sehr ernst nehmen und uns auch entsprechend organisieren.
Diese Leitlinie soll helfen, die Bedeutung und Wichtigkeit des gesetzlichen Datenschutzes zu verdeutlichen und auch den Mitarbeiter:innen dieses Thema transparenter zu machen.
2 Verantwortlichkeit
2.1 Verantwortliche Stelle
DSC Software AG
Am Sandfeld 17
76149 Karlsruhe
datenschutz@dscsag.com
2.2 Externer Datenschutzbeauftragter
ah-consulting GmbH
Am Sandfeld 17 a
76149 Karlsruhe
+49 721 75408840
privacy@ah-consulting.gmbh
3 Ziel der Datenschutzrichtlinie
Die DSC Software AG verpflichtet sich im Rahmen ihrer gesellschaftlichen Verantwortung zur Einhaltung der DSGVO.
Die Wahrung ist eine Basis für vertrauensvolle Geschäftsbeziehungen und die Reputation der DSC Software AG.
4 Geltungsbereich und Änderung der Datenschutzrichtlinie
Diese Datenschutzrichtlinie beruht auf den Vorgaben der EU-Datenschutzgrundverordnung und BDSG (neu).
Die aktuelle Version der Datenschutzrichtlinie kann auf der Internetseite der DSC Software AG (www.dscsag.com/datenschutzrichtlinie) abgerufen werden.
5 Prinzipien für die Verarbeitung personenbezogener Daten
5.1 Rechtmäßigkeit
Bei der Verarbeitung personenbezogener Daten muss das informationelle Selbstbestimmungsrecht der betroffenen Person gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise erhoben und verarbeitet werden.
5.2 Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich für Zwecke erfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer gesetzlichen Grundlage.
5.3 Transparenz
Die betroffene Person muss über den Umgang mit ihren Daten informiert werden. Grundsätzlich sind personenbezogene Daten bei der betroffenen Person selbst zu erheben. Bei Erhebung der Daten muss die betroffene Person mindestens Folgendes erkennen können oder entsprechend informiert werden über:
- die Identität der verantwortlichen Stelle
- den Zweck der Datenverarbeitung
- die hinterlegten Aufbewahrungsfristen
- Dritte oder Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden
5.4 Datenvermeidung und Datensparsamkeit
Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang diese notwendig sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Personenbezogene Daten dürfen nicht auf Vorrat für potenzielle zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.
5.5 Speicherung und Löschung
Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen nicht mehr erforderlich sind, müssen gelöscht werden.
5.6 Sachliche Richtigkeit und Datenaktualität
Personenbezogene Daten sind richtig, vollständig und auf dem aktuellen Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, die sicherstellen, dass nicht-zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.
5.7 Vertraulichkeit und Datensicherheit
Für personenbezogene Daten gilt das Datengeheimnis.
Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden.
6 Zweck und Zulässigkeit der Datenverarbeitung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.
6.1 Kunden-, Interessenten- und Partnerdaten
6.1.1 Datenverarbeitung für eine vertragliche Beziehung
Wenn die Datenverarbeitung personenbezogener Daten der Vertragserfüllung oder der Erfüllung vorvertraglicher Maßnahmen dient, so ist die Verarbeitung zulässig.
6.1.2 Kategorien personenbezogener Daten
- Unternehmen
- Vorname
- Nachname
- Adressdaten
- Telefonnummer
- E-Mail-Adresse
- Berufliche Position, Abteilung
6.1.3 Einwilligung in die Datenverarbeitung
Eine Datenverarbeitung kann aufgrund einer Einwilligung der betroffenen Person stattfinden.
Zur Einwilligung muss die betroffene Person gemäß dieser Datenschutzrichtlinie informiert werden. Die Einwilligungserklärung ist aus Beweisgründen schriftlich oder elektronisch einzuholen. In Ausnahmefällen, z. B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt werden. Die Erteilung muss dokumentiert werden.
6.1.4 Datenverarbeitung aufgrund gesetzlicher Erlaubnis
Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften.
6.1.5 Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses der DSC Software AG erforderlich ist. Berechtigte Interessen sind in der Regel rechtliche (z. B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z. B. Vermeidung von Vertragsstörungen). Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen der betroffenen Person das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen.
6.1.6 Verarbeitung besonders schutzwürdiger Daten
Die Verarbeitung besonders schutzwürdiger personenbezogener Daten darf nur erfolgen, wenn dies gesetzlich erforderlich ist oder die betroffene Person ausdrücklich eingewilligt hat. Die Verarbeitung dieser Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber der betroffenen Person geltend zu machen, auszuüben oder zu verteidigen.
6.1.7 Automatisierte Einzelentscheidungen
Automatisierte Verarbeitungen personenbezogener Daten, durch die einzelne Persönlichkeitsmerkmale (z. B. Kreditwürdigkeit) bewertet werden, dürfen nicht die ausschließliche Grundlage für Entscheidungen mit negativen rechtlichen Folgen oder erheblichen Beeinträchtigungen für die betroffene Person sein. Der betroffenen Person müssen die Tatsache und das Ergebnis einer automatisierten Einzelentscheidung mitgeteilt und die Möglichkeit zu einer Stellungnahme gegeben werden. Zur Vermeidung von Fehlentscheidungen müssen eine Kontrolle und eine Plausibilitätsprüfung durch eine:n Mitarbeiter:in gewährleistet werden.
6.1.8 Nutzerdaten und Internet
Wenn auf Websites oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt werden, sind die betroffenen Personen hierüber in Datenschutzerklärungen zu informieren. Die Datenschutzhinweise sind so zu integrieren, dass diese für die betroffenen Personen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind.
Werden zur Auswertung des Nutzungsverhaltens von Websites und Apps Nutzungsprofile erstellt (Tracking), so müssen die betroffenen Personen darüber in den Datenschutzerklärungen informiert werden. Erfolgt das Tracking unter einem Pseudonym, so soll der betroffenen Person in den Datenschutzerklärungen eine Widerspruchsmöglichkeit eröffnet werden (Opt-Out).
6.2 Daten von Mitarbeiter:innen
6.2.1 Datenverarbeitung für das Arbeitsverhältnis
Für das Arbeitsverhältnis dürfen die personenbezogenen Daten verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Arbeitsvertrags erforderlich sind.
Bei der Anbahnung eines Arbeitsverhältnisses dürfen personenbezogene Daten von Bewerber:innen verarbeitet werden. Nach Ablehnung sind die Daten der Bewerber:innen unter Berücksichtigung beweisrechtlicher Fristen zu löschen, es sei denn, der:die Bewerber:in hat in eine weitere Speicherung für einen späteren Auswahlprozess eingewilligt.
Im bestehenden Arbeitsverhältnis muss die Datenverarbeitung immer auf den Zweck des Arbeitsvertrags bezogen sein, sofern nicht einer der nachfolgenden Erlaubnistatbestände für die Datenverarbeitung eingreift.
Ist während der Anbahnung des Arbeitsverhältnisses oder im bestehenden Arbeitsverhältnis die Erhebung weiterer Informationen über den:die Bewerber:in bei Dritten erforderlich, sind die jeweiligen nationalen gesetzlichen Anforderungen zu berücksichtigen. Im Zweifel ist eine Einwilligung der betroffenen Person einzuholen.
Für Verarbeitungen von personenbezogenen Daten, die im Kontext des Arbeitsverhältnisses stehen, jedoch nicht ursprünglich der Erfüllung des Arbeitsvertrags dienen, muss jeweils eine rechtliche Legitimation vorliegen. Das können gesetzliche Anforderungen, Kollektivregelungen mit Arbeitnehmervertretungen, eine Einwilligung der Mitarbeiter:innen oder die berechtigten Interessen des Unternehmens sein.
6.2.2 Kategorien personenbezogener Daten
- Vorname
- Nachname
- Familienstand
- Adressdaten
- Geburtsort
- Geburtsdatum
- Telefonnummer
- E-Mail-Adresse
- Berufliche Position, Abteilung
- Bankverbindung
- Abwesenheitstage
- Arbeitszeiten
- Gehalt
- Sozial-, Kranken- und Rentenversicherungsnummer
- Personalausweisnummer
6.2.3 Datenverarbeitung aufgrund gesetzlicher Erlaubnis
Die Verarbeitung personenbezogener Daten von Mitarbeiter:innen ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften. Besteht ein gesetzlicher Handlungsspielraum, müssen die schutzwürdigen Interessen der Mitarbeiter:innen berücksichtigt werden.
6.2.4 Kollektivregelungen für Datenverarbeitungen
Geht eine Verarbeitung über den Zweck der Vertragsabwicklung hinaus, so ist sie auch dann zulässig, wenn sie durch eine Kollektivregelung gestattet wird. Kollektivregelungen sind Tarifverträge oder Vereinbarungen zwischen Arbeitgeber und Arbeitnehmervertretungen im Rahmen der Möglichkeiten des jeweiligen Arbeitsrechts. Die Regelungen müssen sich auf den konkreten Zweck der gewünschten Verarbeitung erstrecken und sind im Rahmen des staatlichen Datenschutzrechts gestaltbar.
6.2.5 Einwilligung in die Datenverarbeitung
Eine Verarbeitung der Daten von Mitarbeiter:innen kann aufgrund einer Einwilligung der betroffenen Person stattfinden.
Einwilligungserklärungen müssen freiwillig abgegeben werden. Unfreiwillige Einwilligungen sind unwirksam. Die Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Erlauben die Umstände dies ausnahmsweise nicht, kann die Einwilligung mündlich erteilt werden. Ihre Erteilung muss in jedem Fall ordnungsgemäß dokumentiert werden. Bei einer informierten freiwilligen Angabe von Daten durch die betroffene Person kann eine Einwilligung angenommen werden, wenn nationales Recht keine explizite Einwilligung vorschreibt. Vor der Einwilligung muss die betroffene Person gemäß dieser Datenschutzrichtlinie informiert werden.
6.2.6 Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Daten von Mitarbeiter:innen kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses der DSC Software AG erforderlich ist. Berechtigte Interessen sind in der Regel rechtlich begründet (z. B. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche) oder wirtschaftlich begründet.
Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen der Mitarbeiter:innen das Interesse an der Verarbeitung überwiegen. Das Vorliegen schutzwürdiger Interessen ist für jede Verarbeitung zu prüfen.
Kontrollmaßnahmen, die eine Verarbeitung der Daten von Mitarbeiter:innen erfordern, dürfen nur durchgeführt werden, wenn dazu eine gesetzliche Verpflichtung besteht oder ein begründeter Anlass gegeben ist. Auch bei Vorliegen eines begründeten Anlasses muss die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z. B. Einhaltung rechtlicher Bestimmungen und unternehmensinterner Regeln) müssen gegen ein mögliches schutzwürdiges Interesse der von der Maßnahme betroffenen Mitarbeiter:innen am Ausschluss der Maßnahme abgewogen werden und dürfen nur durchgeführt werden, wenn sie angemessen sind. Das berechtigte Interesse des Unternehmens und die möglichen schutzwürdigen Interessen der Mitarbeiter:innen müssen vor jeder Maßnahme festgestellt und dokumentiert werden. Zudem müssen ggf. nach staatlichem Recht bestehende weitere Anforderungen (z. B. Mitbestimmungsrechte der Arbeitnehmervertretung und Informationsrechte der betroffenen Personen) berücksichtigt werden.
6.2.7 Verarbeitung besonders schutzwürdiger Daten
Besonders schutzwürdige personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Besonders schutzwürdige Daten sind bezogen auf Daten von Mitarbeiter:innen z. B. Daten über die Herkunft und Ethnie, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit der betroffenen Person.
Ebenso dürfen Daten, die Straftaten betreffen, häufig nur unter besonderen, von staatlichem Recht aufgestellten Voraussetzungen verarbeitet werden.
Die Verarbeitung muss aufgrund staatlichen Rechts ausdrücklich erlaubt oder vorgeschrieben sein. Zusätzlich kann eine Verarbeitung erlaubt sein, wenn sie notwendig ist, damit die verantwortliche Stelle ihren Rechten und Pflichten auf dem Gebiet des Arbeitsrechts nachkommen kann. Der:die Mitarbeiter:in kann freiwillig ausdrücklich in die Verarbeitung einwilligen.
6.2.8 Automatisierte Entscheidungen
Soweit im Beschäftigungsverhältnis personenbezogene Daten automatisiert verarbeitet werden, durch die einzelne Persönlichkeitsmerkmale bewertet werden (z. B. im Rahmen der Personalauswahl oder der Auswertung von Fähigkeitsprofilen), darf eine solche automatisierte Verarbeitung nicht die ausschließliche Grundlage für Entscheidungen mit negativen Folgen oder erheblichen Beeinträchtigungen für die betroffenen Mitarbeiter:innen sein.
Um Fehlentscheidungen zu vermeiden, muss in automatisierten Verfahren gewährleistet sein, dass eine inhaltliche Bewertung des Sachverhalts durch eine natürliche Person erfolgt und diese Bewertung Grundlage für die Entscheidung ist. Den betroffenen Mitarbeiter:innen muss außerdem die Tatsache und das Ergebnis einer automatisierten Einzelentscheidung mitgeteilt und die Möglichkeit einer Stellungnahme gegeben werden.
6.2.9 Telekommunikation und Internet
Telefonanlagen, E-Mail-Adresse, Intranet und Internet sowie interne soziale Netzwerke werden in erster Linie im Rahmen der betrieblichen Aufgabenstellung durch das Unternehmen zur Verfügung gestellt. Sie sind Arbeitsmittel und Unternehmensressource. Sie dürfen im Rahmen der jeweils geltenden Rechtsvorschriften und der unternehmensinternen Richtlinien (Nutzungsvereinbarung IT) genutzt werden.
Eine Überwachung der Telefon- und E-Mail Kommunikation bzw. der Intranet- und Internetnutzung findet nicht statt. Zur Abwehr von Angriffen auf die IT-Infrastruktur oder auf einzelne Nutzer:innen sind Schutzmaßnahmen an den Übergängen in das DSC-Netzwerk implementiert worden, die technisch schädigende Inhalte blockieren oder die Muster von Angriffen analysieren. Aus Gründen der Sicherheit und Nachvollziehbarkeit wird die Nutzung der Telefonanlagen, der E-Mail-Adresse, des Intranets und Internets sowie der internen sozialen Netzwerke protokolliert.
Personenbezogene Auswertungen dieser Daten dürfen nur bei einem konkreten begründeten Verdacht eines Verstoßes gegen Gesetze erfolgen. Diese Kontrollen dürfen nur unter Wahrung des Verhältnismäßigkeitsprinzips erfolgen. Die Auswertungen dienen nicht der Leistungserfassung.
7 Übermittlung personenbezogener Daten
Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb der DSC Software AG oder an Empfänger innerhalb der DSC Software AG unterliegt den Zulässigkeitsvoraussetzungen der Verarbeitung personenbezogener Daten. Der Empfänger der Daten muss darauf verpflichtet werden, diese nur zu den festgelegten Zwecken zu verwenden.
Im Fall einer Datenübermittlung an Dritte innerhalb des Gültigkeitsbereichs der DSGVO sowie in einen Drittstaat muss dieser Dritte ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau gewährleisten. Dies gilt nicht, wenn die Übermittlung aufgrund einer gesetzlichen Verpflichtung erfolgt.
Im Fall einer Datenübermittlung von Dritten an die DSC Software AG muss sichergestellt sein, dass die Daten für die vorgesehenen Zwecke verwendet werden dürfen.
8 Auftragsverarbeitung
Eine Auftragsverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt wird, ohne dass der Person die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. In diesen Fällen ist mit externen Auftragnehmern eine Vereinbarung über eine Auftragsverarbeitung abzuschließen.
Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Bei der Erteilung des Auftrags sind die nachfolgenden Vorgaben einzuhalten, der beauftragende Fachbereich muss ihre Umsetzung sicherstellen.
- Der Auftragnehmer ist nach der Eignung zur Gewährleistung der erforderlichen technischen und organisatorischen Schutzmaßnahmen auszuwählen.
- Der Auftrag ist schriftlich zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und die Verantwortlichkeiten von Auftraggeber und Auftragnehmer zu dokumentieren.
- Der Auftraggeber muss sich vor Beginn der Datenverarbeitung von der Einhaltung der Pflichten des Auftragnehmers bzw. der Auftraggeberin überzeugen. Die Einhaltung der Anforderungen an die Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage einer geeigneten Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung erfolgt die Kontrolle während der Vertragslaufzeit regelmäßig.
- Bei einer grenzüberschreitenden Auftragsverarbeitung sind die jeweiligen nationalen Anforderungen für eine Weitergabe personenbezogener Daten ins Ausland zu erfüllen. Insbesondere darf die Verarbeitung personenbezogener Daten aus dem europäischen Wirtschaftsraum in einem Drittstaat nur stattfinden, wenn der Auftragnehmer ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau nachweist. Zusätzlich ist der Abschluss der neuen EU-Standardvertragsklauseln notwendig.
9 Rechte der betroffenen Person
Jede betroffene Person kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für die betroffene Person zu keinerlei Nachteilen führen.
- Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten, welcher Herkunft und zu welchem Zweck über sie gespeichert sind.
- Werden personenbezogene Daten an Dritte übermittelt, muss über die Identität des Empfängers bzw. der Empfängerin Auskunft gegeben werden.
- Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann die betroffene Person ihre Berichtigung oder Ergänzung verlangen.
- Die betroffene Person kann der Verarbeitung ihrer personenbezogenen Daten widersprechen. Für diese Zwecke müssen die Daten für die weitere Verarbeitung zunächst gesperrt und unter Beachtung der Löschfristen gelöscht werden.
- Die betroffene Person ist berechtigt, die Löschung ihrer Daten zu verlangen. Bestehende gesetzliche Aufbewahrungspflichten und einer Löschung entgegenstehende schutzwürdige Interessen müssen beachtet werden.
- Die betroffene Person hat ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten nach Art. 21 DSGVO, das zu berücksichtigen ist, wenn sein schutzwürdiges Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.
- Die betroffene Person hat jederzeit das Recht zur Beschwerde bei der Aufsichtsbehörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Zur Ausübung der Betroffenenrechte kann sich jede Person formfrei an uns wenden. Zur bestmöglichen Bearbeitung wird darum gebeten, die folgenden Kontaktdaten zu nutzen:
DSC Software AG
Am Sandfeld 17
76149 Karlsruhe
datenschutz@dscsag.com
10 Vertraulichkeit der Verarbeitung
Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung, Verarbeitung oder Nutzung ist den Mitarbeiter:innen untersagt.
Unbefugt ist jede Verarbeitung, die ein:e Mitarbeiter:in vornimmt, ohne damit im Rahmen der Erfüllung der Aufgaben betraut und entsprechend berechtigt zu sein.
Mitarbeiter:innen dürfen nur Zugang zu personenbezogenen Daten erhalten, wenn und soweit dies für ihre jeweiligen Aufgaben erforderlich ist. Dies erfordert die Aufteilung und Trennung von Rollen und Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.
Mitarbeiter:innen dürfen personenbezogene Daten nicht für eigene private oder wirtschaftliche Zwecke nutzen, an Unbefugte übermitteln oder diesen auf andere Weise zugänglich machen.
11 Sicherheit der Verarbeitung
Personenbezogene Daten sind gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Vor Einführung neuer Verfahren der Datenverarbeitung, insbesondere neuer IT-Systeme, sind technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen. Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden Risiken und dem Schutzbedarf der Daten zu orientieren.
Die technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind Teil des unternehmensweiten Informationssicherheits- und Datenschutzmanagements und müssen kontinuierlich an die technischen Entwicklungen und an organisatorische Änderungen angepasst werden.
12 Datenschutzkontrolle
Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze werden regelmäßig durch Kontrollen des Datenschutzbeauftragten überprüft.
Die Ergebnisse der Datenschutzkontrollen sind der Unternehmensleitung mitzuteilen.
13 Datenschutzvorfälle
Alle Mitarbeiter:innen müssen dem Datenschutzbeauftragten, Data Protection Manager oder der Geschäftsleitung unverzüglich Fälle von Verstößen gegen diese Datenschutzrichtlinie oder gegen andere Vorschriften zum Schutz personenbezogener Daten melden.
Diese können sein
- unrechtmäßige Übermittlung personenbezogener Daten an Dritte,
- unrechtmäßiger Zugriff durch Dritte auf personenbezogene Daten, oder
- Verlust personenbezogener Daten.
In solchen Fällen sind die im Unternehmen vorgesehenen Meldungen (Information Security Incident Management, „ISIM“) unverzüglich vorzunehmen, damit nach staatlichem Recht bestehende Meldepflichten von Datenschutzvorfällen erfüllt werden können.
14 Verantwortlichkeiten und Sanktionen
Die Geschäftsleitung ist für die Einhaltung gesetzlicher Vorschriften zum Datenschutz verantwortlich.
Es ist eine Managementaufgabe der Geschäftsleitung, durch organisatorische, personelle und technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des Datenschutzes und der Datensicherheit zu gewährleisten. Die Umsetzung dieser Vorgaben liegt in der Verantwortung der zuständigen Mitarbeiter:innen. Bei Datenschutzkontrollen durch Behörden ist der Datenschutzbeauftragte umgehend zu informieren.
Der Datenschutzbeauftragte sowie der Data Protection Manager sind Ansprechperson für den Datenschutz. Beide können Kontrollen durchführen und haben die Mitarbeiter:innen mit den Inhalten der Datenschutzrichtlinien vertraut zu machen. Die Geschäftsleitung ist verpflichtet, den Datenschutzbeauftragten in der Tätigkeit zu unterstützen. Die für Geschäftsprozesse und Projekte fachlich Verantwortlichen müssen den Datenschutzbeauftragten vor Beginn über Veränderungen der Verarbeitungsprozesse personenbezogener Daten informieren.
Die Geschäftsleitung hat sicherzustellen, dass ihre Mitarbeiter:innen im erforderlichen Umfang zum Datenschutz geschult werden. Eine missbräuchliche Verarbeitung personenbezogener Daten oder andere Verstöße gegen das Datenschutzrecht werden strafrechtlich verfolgt und können Schadensersatzansprüche nach sich ziehen. Zuwiderhandlungen, für die einzelne Mitarbeiter:innen verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.
15 Der Datenschutzbeauftragte
15.1 Der externe Datenschutzbeauftragte
Der Datenschutzbeauftragte als fachlich weisungsunabhängiges Organ wirkt auf die Einhaltung der Datenschutzvorschriften hin. Er wird dabei durch den Data Protection Manager unterstützt.
Er ist verantwortlich für die Überwachung der Einhaltung der Richtlinien zum Datenschutz.
Der Datenschutzbeauftragte unterrichtet die Geschäftsleitung über Datenschutzrisiken.
Jede betroffene Person kann sich mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an den Datenschutzbeauftragten wenden. Anfragen und Beschwerden werden auf Wunsch vertraulich behandelt.
Diese Aufgaben werden weisungsfrei in Abstimmung mit der Unternehmensleitung, ggf. auch auf Anforderung durch die verantwortlichen Fachbereiche durchgeführt.
Der Datenschutzbeauftragte ist für Beschäftigte und Betroffene die Ansprechperson in betrieblichen und außerbetrieblichen Datenschutzfragen. Der Datenschutzbeauftragte ist, auf Wunsch der betroffenen Person, über deren Identität sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, zur Verschwiegenheit verpflichtet. Er ist in der Ausübung der eigenen Fachkenntnis weisungsfrei und übt eine beratende Funktion aus.
Bei der Erfüllung der Aufgaben ist er von allen Mitarbeiter:innen zu unterstützen und es sind ihm alle zur Wahrnehmung der eigenen Aufgaben erforderlichen Informationen und Unterlagen unverzüglich zur Verfügung zu stellen. Insbesondere ist der Datenschutzbeauftragte über alle Datenverarbeitungsverfahren, in denen personenbezogene Daten verarbeitet werden, zu unterrichten und zur Berücksichtigung der datenschutzrechtlichen Anforderungen bei Verfahrensänderungen, Neuentwicklungen oder bei Beschaffungen umgehend in die Planung und Entwicklung einzuschalten.
15.2 Der Data Protection Manager
Der Data Protection Manager ist die Schnittstelle zwischen der DSC Software AG einerseits und dem externen Datenschutzbeauftragten andererseits. Die Aufgabe ist es, den externen Datenschutzbeauftragten soweit im Unternehmen und in den Fachbereichen zu integrieren und in die relevanten Informations- und Kommunikationsflüsse einzubeziehen, dass dieser die eigenen Aufgaben erfüllen kann.
16 Inkraftsetzung
Dieses Dokument wird einmal jährlich sowie bei Bedarf auf Vollständigkeit und Aktualität geprüft.
23.03.2022