RICHTLINIE ZUM SCHUTZ PERSÖNLICHER DATEN

gültig in

Specpanel mit Sitz in Hanau

§ 1

ALLGEMEINE BESTIMMUNGEN

  1. Dieses Dokument mit dem Titel „ Richtlinie zum Schutz personenbezogener Daten “ (im Folgenden „Richtlinie“ genannt ) soll eine Übersicht über die Anforderungen, Regeln und Vorschriften zum Schutz personenbezogener Daten im Unternehmen Specpanel mit Sitz in Hanau (im Folgenden) darstellen als „Administrator“ oder „Gesellschaft“ bezeichnet ).

  2. Bei dieser Richtlinie handelt es sich um eine Richtlinie zum Schutz personenbezogener Daten im Sinne der DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119, S. 1).

  3. Die Police umfasst:

  1. Beschreibung der für den Administrator geltenden Datenschutzgrundsätze;

  2. Verweise auf detaillierte Anhänge (Musterverfahren oder Anweisungen zu bestimmten Bereichen des Schutzes personenbezogener Daten, die in separaten Dokumenten erläutert werden müssen);

  1. Verantwortlich für die Umsetzung und Aufrechterhaltung dieser Richtlinie ist der Vorstand des Unternehmens und gegebenenfalls eine vom Vorstand des Unternehmens benannte Person, die die Einhaltung des Schutzes personenbezogener Daten gewährleistet;

  2. Für die Anwendung dieser Richtlinie sind verantwortlich:

  1. Unternehmen;

  2. alle Mitarbeiter des Unternehmens.

  1. Der Administrator sollte auch sicherstellen, dass das Verhalten der Auftragnehmer des Administrators diese Richtlinie in angemessenem Umfang einhält, wenn ihnen personenbezogene Daten vom Administrator übermittelt werden.

  2. Der Administrator ist insbesondere verpflichtet:

    1. Entwicklung und Umsetzung einer Informationssicherheitsrichtlinie und einer IKT-Systemsicherheitsrichtlinie;

    2. ständige Überwachung des Inhalts der Informationssicherheitspolitik und der IKT-Systemsicherheitspolitik;

    3. Erteilung und Widerruf der Einwilligung zur Verarbeitung personenbezogener Daten an Personen, die diese Daten verarbeiten sollen;

    4. Führung einer Liste der Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind,

    5. Führung einer Liste der Verarbeitungsbereiche und des Umfangs der in diesen Bereichen verarbeiteten personenbezogenen Daten,

    6. Aktualisierung der oben aufgeführten Dokumente.

§ 2

DEFINITIONEN

Die in diesem Dokument verwendeten Begriffe haben folgende Bedeutung:

  1. Richtlinie bezeichnet diese Richtlinie zum Schutz personenbezogener Daten, sofern aus dem Kontext nicht eindeutig etwas anderes hervorgeht.

  2. DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 /46/EG (Datenschutz-Grundverordnung) (ABl. EU L 119, S. 1).

  3. Daten sind personenbezogene Daten, sofern der Kontext nicht eindeutig etwas anderes erfordert.

  4. Unter sensiblen Daten versteht man Sonderdaten und Strafdaten.

  5. Unter besonderen Daten versteht man die im Artikel aufgeführten Daten 9 Abschnitt 1 DSGVO, also personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder Daten zur Gesundheit, Sexualität oder sexuellen Orientierung.

  6. Unter strafrechtlichen Daten versteht man die in Art. Art. 10 DSGVO, also Daten über Verurteilungen und Gesetzesverstöße.

  7. Unter Kinderdaten versteht man Daten von Personen unter 16 Jahren.

  8. Unter Person versteht man die Person, auf die sich die Daten beziehen, es sei denn, der Kontext erfordert eindeutig etwas anderes.

  9. Unter Auftragsverarbeiter versteht man eine vom Unternehmen mit der Verarbeitung personenbezogener Daten beauftragte Organisation oder Person (z. B. IT-Dienstleister, externe Buchhaltung).

  10. Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit oder der persönlichen Lage dieser natürlichen Person zu analysieren oder vorherzusagen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Standort oder Bewegung.

  11. Unter Datenexport versteht man die Übermittlung von Daten an ein Drittland oder eine internationale Organisation.

  12. DPO oder Inspektor bezeichnet den Inspektor für den Schutz personenbezogener Daten.

  13. RCPD oder Register bezeichnet das Register der Aktivitäten zur Verarbeitung personenbezogener Daten.

    14 . Als Administrator bezeichnet man die Firma Specpanem mit Sitz in Hanau, Benzstraße 16c.

§ 3

SCHUTZ PERSONENBEZOGENER DATEN IM UNTERNEHMEN – ALLGEMEINE REGELN

    1. Für den Administrator gelten die folgenden Säulen des Schutzes personenbezogener Daten:

  1. Rechtmäßigkeit – Der Administrator kümmert sich um den Schutz der Privatsphäre und verarbeitet Daten in Übereinstimmung mit dem Gesetz.

  2. Sicherheit – Der Administrator gewährleistet ein angemessenes Maß an Datensicherheit, indem er in diesem Bereich ständig Maßnahmen ergreift.

  3. Rechte des Einzelnen – Der Administrator ermöglicht den Personen, deren Daten verarbeitet werden, die Ausübung ihrer Rechte und setzt diese Rechte um.

  4. Rechenschaftspflicht – Der Administrator dokumentiert, wie er seinen Verpflichtungen nachkommt, um jederzeit die Einhaltung nachweisen zu können.

    1. Der Administrator verarbeitet personenbezogene Daten gemäß den folgenden Grundsätzen:

  1. auf einer rechtlichen Grundlage und in Übereinstimmung mit dem Gesetz (Legalismus) basieren;

  2. zuverlässig und ehrlich (Zuverlässigkeit);

  3. auf transparente Weise für die betroffene Person (Transparenz);

  4. für bestimmte Zwecke und nicht „in Reserve“ (Minimierung);

  5. nicht mehr als nötig (Angemessenheit);

  6. mit Sorgfalt auf die Richtigkeit der Daten (Korrektheit);

  7. nicht länger als nötig (Zeitlichkeit);

  8. Gewährleistung einer angemessenen Datensicherheit (Security).

    1. Das System zum Schutz personenbezogener Daten des Administrators besteht aus folgenden Elementen:

  1. Dateninventur. Das Unternehmen identifiziert personenbezogene Datenressourcen, Abhängigkeiten zwischen Datenressourcen und identifiziert Möglichkeiten zur Datennutzung (Bestand), einschließlich:

  • Fälle der Verarbeitung spezieller und „krimineller“ Daten ( sensible Daten );

  • Fälle der Verarbeitung von Daten von Personen, die das Unternehmen nicht identifiziert ( nicht identifizierte Daten / UFO);

  • Fälle der Verarbeitung von Kinderdaten;

  • Profilierung;

  • Mitverwaltung von Daten.

  1. Registrieren. Der Administrator entwickelt, pflegt und pflegt das Personaldaten-Aktivitätenregister beim Administrator (Register). Das Register ist ein Instrument zur Regelung der Einhaltung des Datenschutzes mit dem Administrator.

  2. Rechtsgrundlagen. Der Administrator stellt sicher, identifiziert und überprüft die Rechtsgrundlage für die Datenverarbeitung und trägt sie im Register ein, einschließlich:

  1. protokolliert die Einwilligung zur Datenverarbeitung,

  2. Inventare und Einzelheiten zur Begründung für Fälle, in denen der Administrator Daten auf der Grundlage eines berechtigten Interesses verarbeitet.

  1. Unterstützung individueller Rechte. Der Administrator kommt seinen Informationspflichten gegenüber den Personen nach, deren Daten er verarbeitet, und stellt deren Rechte sicher, indem er diesbezügliche Anfragen erfüllt, darunter:

  1. Informationspflichten. Der Administrator stellt den Personen bei der Datenerhebung und in anderen Situationen die gesetzlich vorgeschriebenen Informationen zur Verfügung und organisiert und sorgt für die Dokumentation der Umsetzung dieser Verpflichtungen.

  2. Fähigkeit, Anfragen zu erfüllen. Der Administrator überprüft und stellt sicher, dass jede Art von Anfrage von ihm selbst und seinen Verarbeitern effektiv ausgeführt werden kann.

  3. Bearbeitung von Anfragen. Der Administrator sorgt für angemessene Ausgaben und Verfahren, um sicherzustellen, dass die Anfragen der Personen innerhalb der Fristen und in der von der DSGVO geforderten und dokumentierten Weise erfüllt werden.

  4. Benachrichtigung bei Verstößen. Der Administrator wendet Verfahren an, um festzustellen, ob es notwendig ist, Personen zu benachrichtigen, die von einer festgestellten Datenschutzverletzung betroffen sind.

  1. Minimalisierung. Der Administrator verfügt über Regeln und Methoden zur Verwaltung der Minimierung ( standardmäßig Datenschutz ), darunter:

  1. Grundsätze des Datenangemessenheitsmanagements ;

  2. Grundsätze der Regulierung und Verwaltung des Datenzugriffs ;

  3. Regeln zur Verwaltung des Datenspeicherzeitraums und zur Überprüfung der weiteren Eignung;

  1. Sicherheit. Der Administrator sorgt für ein angemessenes Maß an Datensicherheit, einschließlich:

  1. führt Risikoanalysen für Datenverarbeitungsaktivitäten oder Kategorien davon durch;

  2. führt Datenschutz-Folgenabschätzungen durch, wenn das Risiko einer Verletzung der Rechte und Freiheiten der Menschen hoch ist;

  3. passt Datenschutzmaßnahmen an die identifizierten Risiken an;

  4. wendet Verfahren an, um festgestellte Datenschutzverstöße zu identifizieren, zu bewerten und an die Datenschutzbehörde zu melden – verwaltet Vorfälle.

  1. Prozessor. Bevor er personenbezogene Daten zur Verarbeitung anvertraut, überprüft der Administrator den Auftragsverarbeiter, um sicherzustellen, dass er die gesetzlich festgelegten Anforderungen erfüllt, und überwacht auch die Umsetzung der Betrauungsvereinbarungen.

  2. Datenexport. Jeder Fall der Übermittlung von Daten durch den Administrator an Drittländer (d. h. außerhalb der EU, Norwegen, Liechtenstein, Island) oder an internationale Organisationen unterliegt einer vorherigen Überprüfung, um gegebenenfalls rechtliche Bedingungen für eine solche Übermittlung sicherzustellen.

  3. Datenschutz durch Design . Der Administrator verwaltet Änderungen, die sich auf den Datenschutz auswirken. Zu diesem Zweck berücksichtigen die Verfahren zur Einleitung neuer Projekte beim Administrator die Notwendigkeit, die Auswirkungen der Änderung auf den Datenschutz zu bewerten und den Datenschutz (einschließlich der Einhaltung der Verarbeitungszwecke, der Datensicherheit und -minimierung) bereits in der Entwurfsphase zu gewährleisten Veränderung, Investition oder zu Beginn eines neuen Projekts.

  4. Grenzüberschreitende Abwicklung. Jeder Fall einer grenzüberschreitenden Verarbeitung unterliegt einer vorherigen Überprüfung, um die rechtmäßigen Bedingungen für eine solche Verarbeitung sicherzustellen.

§ 4

INVENTAR

  1. Sensible Daten. Der Verantwortliche identifiziert Fälle, in denen er sensible Daten (Sonder- und Strafdaten) verarbeitet oder verarbeiten kann, und unterhält spezielle Mechanismen, um die Einhaltung der Gesetze zur Verarbeitung sensibler Daten sicherzustellen. Wenn Fälle der Verarbeitung sensibler Daten festgestellt werden, befolgt der Administrator die diesbezüglich festgelegten Grundsätze.

  2. Nicht identifizierte Daten. Der Administrator identifiziert Fälle, in denen er nicht identifizierte Daten verarbeitet oder verarbeiten kann, und unterhält Mechanismen, die die Ausübung der Rechte von Personen, die von nicht identifizierten Daten betroffen sind, erleichtern.

  3. Profilierung. Der Administrator identifiziert Fälle, in denen er ein Profil der verarbeiteten Daten erstellt, und unterhält Mechanismen, um sicherzustellen, dass dieser Prozess mit dem Gesetz übereinstimmt. Wenn Fälle von Profiling und automatisierter Entscheidungsfindung festgestellt werden, befolgt das Unternehmen die diesbezüglich geltenden Grundsätze.

  4. Gemeinsame Verwaltung. Der Administrator identifiziert Fälle der gemeinsamen Datenverwaltung und handelt in dieser Hinsicht gemäß den angenommenen Grundsätzen.

§ 5

REGISTRIER DER DATENVERARBEITUNGSTÄTIGKEITEN

  1. RCPD ist eine Form der Dokumentation von Datenverarbeitungsaktivitäten, fungiert als Datenverarbeitungskarte und ist eines der Schlüsselelemente für die Umsetzung des Grundprinzips, auf dem das gesamte System zum Schutz personenbezogener Daten basiert, d. h. des Grundsatzes der Rechenschaftspflicht.

  2. Der Administrator führt ein Verzeichnis der Datenverarbeitungsaktivitäten, in dem er die Verwendung personenbezogener Daten erfasst und überwacht.

  3. Das Register ist eines der grundlegenden Instrumente, mit denen der Administrator die meisten Datenschutzpflichten erfüllen kann.

  4. Im Register erfasst der Administrator für jede Datenverarbeitungsaktivität, die der Administrator für die Zwecke des Registers als gesondert erachtet, mindestens Folgendes: (i) Name der Aktivität, (ii) Zweck der Verarbeitung, (iii) Beschreibung der Kategorie von Personen, (iv) Beschreibung der Datenkategorie, (v) Rechtsgrundlage für die Verarbeitung, einschließlich einer Angabe der Kategorie des berechtigten Interesses des Administrators, wenn die Grundlage ein berechtigtes Interesse ist, (vi) Methode der Datenerhebung, (vii) Beschreibung der Kategorie der Datenempfänger (einschließlich Auftragsverarbeiter), (viii) Informationen zur Übermittlung außerhalb der EU/des EWR; (ix) eine allgemeine Beschreibung der technischen und organisatorischen Datenschutzmaßnahmen.

  5. Das Muster des Registers ist als Anlage Nr. 1 der Richtlinie beigefügt – „Muster des Registers der Datenverarbeitungstätigkeiten“. Die Registervorlage kann auch optionale Spalten enthalten. Der Administrator registriert Informationen nach Bedarf und Möglichkeit in optionalen Spalten und berücksichtigt dabei, dass ein vollständigerer Inhalt des Registers die Verwaltung und Abwicklung der Datenschutzkonformität erleichtert.

§ 6

GRUNDLAGE DER VERARBEITUNG

  1. Der Administrator dokumentiert die Rechtsgrundlage der Datenverarbeitung für einzelne Verarbeitungsaktivitäten im Register.

  2. Bei der Angabe der allgemeinen Rechtsgrundlage (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe/öffentliche Autorität, legitimer Zweck des Administrators) gibt der Administrator die Grundlage bei Bedarf klar und deutlich an. Z. B. für eine Einwilligung unter Angabe ihres Umfangs, wenn die Grundlage ein Gesetz ist – unter Hinweis auf eine bestimmte Bestimmung und andere Dokumente, z. B. Vertrag, Verwaltungsvereinbarung, lebenswichtige Interessen – unter Angabe der Kategorien von Ereignissen, in denen sie zum Tragen kommen, begründeter Zweck – unter Hinweis auf a konkreter Zweck, z.B. Verfolgung von Ansprüchen.

  3. Der Administrator implementiert Einwilligungsverwaltungsmethoden, die die Registrierung und Überprüfung der Einwilligung einer Person zur Verarbeitung ihrer spezifischen Daten sowie die Registrierung der Verweigerung der Einwilligung, des Widerrufs der Einwilligung und ähnlicher Aktivitäten (Einspruch, Einschränkung usw.) ermöglichen.

§ 7

UMGANG MIT INDIVIDUELLEN RECHTEN UND INFORMATIONSPFLICHTEN

  1. Der Administrator gewährleistet die Lesbarkeit und den Stil der bereitgestellten Informationen sowie die Kommunikation mit Personen, deren Daten verarbeitet werden.

  2. Der Administrator erleichtert Menschen die Ausübung ihrer Rechte durch verschiedene Aktivitäten, darunter: Veröffentlichung von Informationen oder Verweisen (Links) zu Informationen über die Rechte von Personen, wie diese im Unternehmen ausgeübt werden können, einschließlich Identifizierungsanforderungen, Methoden zur Kontaktaufnahme mit dem Administrator zu diesem Zweck.

  3. Der Administrator gewährleistet die Einhaltung der gesetzlichen Fristen für die Erfüllung von Verpflichtungen gegenüber Einzelpersonen.

  4. Der Administrator führt angemessene Methoden zur Identifizierung und Authentifizierung von Personen zur Ausübung individueller Rechte und Informationspflichten ein.

  5. Der Administrator dokumentiert den Umgang mit Informationspflichten, Meldungen und Anfragen von Personen.

§ 8

INFORMATIONSPFLICHTEN

  1. Der Administrator legt rechtmäßige und wirksame Methoden zur Erfüllung der Informationspflichten fest.

  2. Der Administrator informiert die Person über die Verlängerung der Frist zur Prüfung des Antrags der Person um mehr als einen Monat.

  3. Der Administrator informiert die Person über die Verarbeitung ihrer Daten, wenn er Daten von dieser Person erhält.

  4. Der Administrator informiert die Person über die Verarbeitung ihrer Daten, wenn er indirekt Daten über diese Person von ihr erhält.

  5. Der Administrator legt die Art und Weise fest, wie Personen nach Möglichkeit über die Verarbeitung nicht identifizierter Daten informiert werden (z. B. ein Schild über den Bereich, der von der Videoüberwachung abgedeckt wird).

  6. Der Administrator informiert die Person über die geplante Änderung des Zwecks der Datenverarbeitung.

  7. Der Administrator informiert die Person, bevor er die Verarbeitungsbeschränkung aufhebt.

  8. Der Administrator informiert die Datenempfänger über die Berichtigung, Löschung oder Einschränkung der Datenverarbeitung (es sei denn, dies erfordert einen unverhältnismäßigen Aufwand oder ist unmöglich).

  9. Der Administrator informiert die Person spätestens beim ersten Kontakt mit dieser Person über das Recht, der Datenverarbeitung zu widersprechen.

  10. Der Administrator muss eine Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten informieren, wenn dadurch ein hohes Risiko einer Verletzung der Rechte und Freiheiten dieser Person entstehen kann.

§ 9

WÜNSCHE DER MENSCHEN

  1. Rechte Dritter . Bei der Ausübung der Rechte der betroffenen Personen führt der Administrator Verfahrensgarantien zum Schutz der Rechte und Freiheiten Dritter ein. Insbesondere wenn verlässliche Informationen darüber vorliegen, dass die Erfüllung des Wunsches einer Person nach einer Datenkopie oder des Rechts auf Datenübertragung die Rechte und Freiheiten anderer Personen beeinträchtigen kann (z. B. Rechte im Zusammenhang mit dem Schutz der Daten anderer Personen, geistige Eigentumsrechte, Geschäftsgeheimnisse, Persönlichkeitsrechte usw.) kann der Administrator die Person auffordern, Zweifel auszuräumen oder andere gesetzlich zulässige Schritte zu unternehmen, einschließlich der Ablehnung, der Anfrage nachzukommen.

  2. Keine Bearbeitung . Der Administrator informiert die Person darüber, dass er die sie betreffenden Daten nicht verarbeitet, wenn diese Person einen Antrag bezüglich ihrer Rechte gestellt hat.

  3. Ablehnung . Der Administrator informiert die Person innerhalb eines Monats nach Eingang des Antrags über die Ablehnung der Prüfung des Antrags und über die damit verbundenen Rechte der Person.

  4. Zugriff auf die Daten . Auf Anfrage einer Person hinsichtlich des Zugangs zu ihren Daten teilt der Administrator der Person mit, ob sie ihre Daten verarbeitet, und informiert sie über die Einzelheiten der Verarbeitung gemäß Art. Art. 15 DSGVO (der Umfang entspricht der Informationspflicht bei der Datenerhebung) und gewährt der Person zudem Zugriff auf die sie betreffenden Daten. Der Zugriff auf die Daten kann durch die Ausstellung einer Kopie der Daten gewährt werden, vorausgesetzt, dass die in Ausübung des Rechts auf Zugriff auf die Daten ausgestellte Datenkopie vom Administrator nicht als erste kostenlose Kopie der Daten für die Zwecke der Gebühren betrachtet wird für Datenkopien.

  5. Datenkopien . Auf Anfrage stellt der Administrator der Person eine Kopie der sie betreffenden Daten aus und protokolliert die Tatsache der Ausstellung der ersten Kopie der Daten. Der Administrator führt eine Preisliste für Datenkopien ein und pflegt diese, nach der er für nachfolgende Datenkopien Gebühren erhebt. Der Preis einer Datenkopie wird auf der Grundlage der geschätzten Stückkosten für die Bearbeitung einer Anfrage nach einer Datenkopie berechnet.

  6. Korrektur der Daten . Der Administrator korrigiert falsche Daten auf Wunsch der Person. Der Administrator hat das Recht, die Berichtigung der Daten zu verweigern, es sei denn, die Person weist hinreichend nach, dass die Daten, deren Berichtigung beantragt wird, fehlerhaft sind. Im Falle einer Datenkorrektur informiert der Administrator die Person auf Wunsch über die Empfänger der Daten.

  7. Vervollständigung der Daten . Der Administrator vervollständigt und aktualisiert die Daten auf Wunsch der Person. Der Administrator hat das Recht, die Ergänzung der Daten zu verweigern, wenn die Ergänzung mit den Zwecken der Datenverarbeitung unvereinbar wäre (z. B. muss der Administrator keine Daten verarbeiten, die für den Administrator unnötig sind). Der Administrator kann sich auf die Erklärung der Person bezüglich der eingegebenen Daten verlassen, es sei denn, diese ist im Hinblick auf die vom Administrator angewandten Verfahren (z. B. bezüglich der Beschaffung dieser Daten) oder das Gesetz unzureichend oder es liegen Gründe vor, die Erklärung als unzuverlässig zu betrachten.

  8. Datenlöschung. Auf Wunsch einer Person löscht der Administrator Daten, wenn:

  1. die Daten für die Zwecke, für die sie erhoben oder zu anderen Zwecken verarbeitet wurden, nicht erforderlich sind,

  2. Ihre Einwilligung zur Verarbeitung wurde widerrufen und es fehlt eine anderweitige Rechtsgrundlage für die Verarbeitung,

  3. die Person einen wirksamen Widerspruch gegen die Verarbeitung dieser Daten eingelegt hat,

  4. die Daten unrechtmäßig verarbeitet wurden,

  5. die Notwendigkeit, Ergebnisse aus einer rechtlichen Verpflichtung zu entfernen,

  6. Die Anfrage betrifft die Daten des Kindes, die auf der Grundlage einer Einwilligung erhoben werden, um dem Kind direkt angebotene Dienste der Informationsgesellschaft bereitzustellen (z. B. das Profil des Kindes auf einer Website eines sozialen Netzwerks, die Teilnahme an einem Wettbewerb auf einer Website).

Der Administrator legt die Art und Weise fest, wie mit dem Recht auf Datenlöschung umgegangen wird, um die wirksame Umsetzung dieses Rechts unter Wahrung aller Datenschutzgrundsätze, einschließlich der Sicherheit, sicherzustellen und um zu überprüfen, ob es Ausnahmen gemäß Art. 17. Abschnitt 3 DSGVO.

Wenn die zu löschenden Daten vom Administrator veröffentlicht wurden, ergreift der Administrator angemessene Maßnahmen, einschließlich technischer Maßnahmen , um andere Administratoren, die diese personenbezogenen Daten verarbeiten, über die Notwendigkeit der Löschung der Daten und des Zugriffs darauf zu informieren.

Im Falle der Löschung von Daten informiert der Administrator die Person auf Wunsch über die Empfänger der Daten.

  1. Einschränkung der Verarbeitung. Der Administrator schränkt die Datenverarbeitung auf Antrag einer Person ein, wenn:

  1. die Person stellt die Richtigkeit der Daten in Frage – und zwar für eine Dauer, die es ermöglicht, deren Richtigkeit zu überprüfen,

  2. die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung ihrer Nutzung verlangt,

  3. Der Administrator benötigt keine personenbezogenen Daten mehr, die betroffene Person benötigt sie jedoch zur Geltendmachung, Geltendmachung oder Verteidigung von Ansprüchen.

  4. Die Person hat der Verarbeitung aus Gründen im Zusammenhang mit ihrer besonderen Situation widersprochen – bis festgestellt wird, ob der Administrator berechtigte Gründe hat, die Vorrang vor den Einspruchsgründen haben.

Während der Einschränkung der Verarbeitung speichert der Administrator die Daten, verarbeitet sie jedoch nicht (er nutzt sie nicht, übermittelt sie nicht) ohne Zustimmung der betroffenen Person, es sei denn, dies dient der Geltendmachung, Verfolgung oder Verteidigung von Ansprüchen oder zu zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus wichtigen Gründen des öffentlichen Interesses.

Der Administrator informiert die Person, bevor er die Verarbeitungsbeschränkung aufhebt.

Im Falle einer Einschränkung der Datenverarbeitung informiert der Administrator die Person auf Wunsch über die Empfänger der Daten.

  1. Datentransfer. Auf Antrag einer Person stellt der Administrator die Daten über diese Person, die er dem Administrator zur Verfügung gestellt hat und die auf der Grundlage der Einwilligung verarbeitet werden, nach Möglichkeit in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format aus oder überträgt sie an eine andere Stelle dieser Person oder zum Abschluss oder zur Erfüllung eines darin enthaltenen Vertrags in den IT-Systemen des Administrators.

  2. Einspruch in einer besonderen Situation. Wenn eine Person aufgrund ihrer besonderen Situation Einspruch gegen die Verarbeitung ihrer Daten einlegt und die Daten vom Administrator auf der Grundlage des berechtigten Interesses des Administrators oder einer dem Administrator im öffentlichen Interesse übertragenen Aufgabe verarbeitet werden, wird der Administrator dies tun Berücksichtigung des Einspruchs, es sei denn, es liegen stichhaltige, rechtlich begründete Gründe für den Einspruch des Administrators vor. Verarbeitung, die Vorrang vor den Interessen, Rechten und Freiheiten der Person hat, die den Einspruch einlegt, oder als Grundlage für die Feststellung, Verfolgung oder Verteidigung von Ansprüchen.

  3. Widerspruch gegen wissenschaftliche, historische oder statistische Forschungszwecke. Wenn der Administrator wissenschaftliche oder historische Forschungen durchführt oder Daten zu statistischen Zwecken verarbeitet, kann eine Person einer solchen Verarbeitung widersprechen, die durch ihre besondere Situation gerechtfertigt ist . Der Administrator wird einen solchen Einspruch berücksichtigen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

  4. Widerstand gegen Direktmarketing. Wenn eine Person der Verarbeitung ihrer Daten durch den Administrator für Direktmarketingzwecke (einschließlich Profiling) widerspricht, wird der Administrator den Einspruch berücksichtigen und die Verarbeitung einstellen.

  5. Das Recht auf menschliches Eingreifen in die automatisierte Verarbeitung. Wenn der Administrator Daten automatisch verarbeitet, insbesondere Personen profiliert, und infolgedessen Entscheidungen in Bezug auf die Person trifft, die rechtliche Auswirkungen haben oder die Person anderweitig erheblich beeinträchtigen, gewährleistet der Administrator die Möglichkeit, auf menschliches Eingreifen und Entscheidungen seitens des Administrators Berufung einzulegen, sofern nicht eine solche automatische Entscheidung (i) ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der Beschwerdeführerin und dem Administrator erforderlich; oder (ii) ausdrücklich gesetzlich zulässig ist; oder (iii) auf der ausdrücklichen Einwilligung der anfragenden Person beruht.

§ 10

MINIMALISIERUNG

  1. Der Administrator achtet darauf, die Datenverarbeitung im Hinblick auf Folgendes zu minimieren: (i) Eignung der Daten für Zwecke (Datenmenge und Umfang der Verarbeitung), (ii) Zugriff auf Daten, (iii) Datenspeicherzeit.

  2. Minimierung des Umfangs. Der Administrator überprüfte den Umfang der erfassten Daten, den Umfang ihrer Verarbeitung und die Menge der verarbeiteten Daten im Hinblick auf ihre Eignung für die Verarbeitungszwecke im Rahmen der Umsetzung der DSGVO.

  3. Der Administrator überprüft regelmäßig mindestens einmal im Jahr die Menge der verarbeiteten Daten und den Umfang ihrer Verarbeitung.

  4. Der Administrator überprüft Änderungen im Umfang und Umfang der Datenverarbeitung im Rahmen von Change-Management-Verfahren ( Privacy by Design ).

  5. Zugriffsminimierung . Der Administrator wendet Beschränkungen für den Zugriff auf personenbezogene Daten an: rechtliche (Vertraulichkeitspflichten, Umfang der Berechtigungen), physische (Verriegelung von Räumen) und logische (Beschränkungen der Berechtigungen für Systeme, die personenbezogene Daten verarbeiten, und Netzwerkressourcen, in denen sich personenbezogene Daten befinden). Der Administrator aktualisiert die Zugriffsrechte, wenn sich die Zusammensetzung und Rollen des Personals sowie die Verarbeitungseinheiten ändern. Der Administrator überprüft regelmäßig die eingerichteten Systembenutzer. Detaillierte Regeln zur Kontrolle des physischen und logischen Zugriffs sind in den entsprechenden Verfahren enthalten.

  6. Zeitminimierung . Der Administrator implementiert Mechanismen zur Kontrolle des Lebenszyklus personenbezogener Daten beim Administrator, einschließlich der Überprüfung der weiteren Nützlichkeit der Daten in Bezug auf die im Register angegebenen Fristen und Kontrollpunkte. Daten, deren Nutzen im Laufe der Zeit eingeschränkt ist, werden aus den Produktionssystemen des Administrators sowie aus Referenz- und Hauptdateien gelöscht. Solche Daten können archiviert und auf Sicherungskopien von Systemen und Informationen gespeichert werden, die vom Administrator verarbeitet werden. Die Verfahren zur Archivierung und Nutzung von Archiven sowie zur Erstellung und Nutzung von Sicherungskopien berücksichtigen die Anforderungen an die Kontrolle über den Datenlebenszyklus, einschließlich der Anforderungen an die Datenlöschung.

§ 11

SICHERHEIT

  1. Der Administrator gewährleistet ein Sicherheitsniveau, das dem Risiko einer Verletzung der Rechte und Freiheiten natürlicher Personen infolge der Verarbeitung personenbezogener Daten durch den Administrator entspricht.

  2. Risikoanalyse und Angemessenheit der Sicherheitsmaßnahmen. Der Administrator führt und dokumentiert Analysen zur Angemessenheit der Maßnahmen zum Schutz personenbezogener Daten. Für diesen Zweck:

  1. Der Administrator stellt ein angemessenes Maß an Wissen über Informationssicherheit, Cybersicherheit und Geschäftskontinuität sicher – intern oder mit Unterstützung spezialisierter Stellen.

  2. Der Verantwortliche kategorisiert Daten und Verarbeitungstätigkeiten nach dem Risiko, das sie darstellen.

  3. Der Administrator führt Analysen des Risikos einer Verletzung der Rechte und Freiheiten natürlicher Personen bei Datenverarbeitungsaktivitäten oder Kategorien davon durch. Der Administrator analysiert mögliche Situationen und Szenarien von Verstößen gegen den Schutz personenbezogener Daten unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos einer Verletzung der Rechte und Freiheiten natürlicher Personen mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere der Bedrohung .

  4. Der Administrator legt mögliche organisatorische und technische Sicherheitsmaßnahmen fest und bewertet den Aufwand für deren Umsetzung. In diesem Zusammenhang bestimmt der Administrator die Eignung und wendet Maßnahmen und Ansätze an wie:

  1. Pseudonymisierung,

  2. Verschlüsselung personenbezogener Daten,

  3. andere Cybersicherheitsmaßnahmen, die dazu beitragen, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten kontinuierlich sicherzustellen,

  4. Maßnahmen zur Sicherstellung der Geschäftskontinuität und zur Vorbeugung von Katastrophenfolgen, d. h. die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugriff darauf im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen.

  1. Datenschutz-Folgenabschätzungen. Der Administrator bewertet die Auswirkungen geplanter Verarbeitungsvorgänge auf den Schutz personenbezogener Daten, bei denen laut Risikoanalyse das Risiko einer Verletzung der Rechte und Freiheiten von Personen hoch ist.

  2. Sicherheitsmaßnahmen. Der Administrator wendet Sicherheitsmaßnahmen an, die im Rahmen von Risikoanalysen und der Angemessenheit von Sicherheitsmaßnahmen sowie Datenschutz-Folgenabschätzungen festgelegt werden. Maßnahmen zur Sicherheit personenbezogener Daten sind Teil der Informationssicherheits- und Cybersicherheitsmaßnahmen des Administrators und werden in den vom Administrator für diese Bereiche festgelegten Verfahren ausführlicher beschrieben.

  3. Verstöße melden. Der Administrator wendet Verfahren an, die die Identifizierung, Bewertung und Meldung eines festgestellten Datenschutzverstoßes innerhalb von 72 Stunden nach Feststellung des Verstoßes an das Datenschutzamt ermöglichen.

§ 12

PROZESSOR

Der Administrator hat die Mindestanforderungen für die Datenverarbeitungsvereinbarung übernommen, die Anhang Nr. 2 der Richtlinie – „Muster der Datenverarbeitungsvereinbarung“ – darstellt . Der Administrator macht die Auftragsverarbeiter für den Einsatz von Unterauftragsverarbeitern sowie für andere Anforderungen verantwortlich, die sich aus den im Vertrag festgelegten Grundsätzen der Weitergabe personenbezogener Daten ergeben.

§ 13

DATENEXPORT

Der Administrator registriert im Register Fälle von Datenexporten, d. h. Datenübermittlungen außerhalb des Europäischen Wirtschaftsraums (EWR im Jahr 2017 = Europäische Union, Island, Liechtenstein und Norwegen).

§ 14

DATENSCHUTZDESIGN

Der Administrator verwaltet Änderungen, die sich auf den Datenschutz auswirken, so, dass eine angemessene Sicherheit personenbezogener Daten gewährleistet und deren Verarbeitung minimiert wird. Zu diesem Zweck beziehen sich die Grundsätze für die Durchführung von Projekten und Investitionen durch den Administrator auf die Grundsätze der Sicherheit und Minimierung personenbezogener Daten, die eine Bewertung der Auswirkungen auf die Privatsphäre und den Datenschutz erfordern, wobei die Sicherheit und die Minimierung der Datenverarbeitung von Anfang an berücksichtigt und gestaltet werden des Projekts oder der Investition.

§ 15

RISIKOANALYSE

              1. Bei der Folgenabschätzung handelt es sich um eine formelle Folgenabschätzung, wie sie in Art. Gemäß Art. 37 DSGVO das Verfahren zur Durchführung einer Risikoanalyse, für die der Administrator vor der Verarbeitung verantwortlich ist, für den Fall, dass die Wahrscheinlichkeit eines hohen Risikos für die Rechte und Freiheiten natürlicher Personen als Art der Verarbeitung personenbezogener Daten besteht erfolgt unter Berücksichtigung von Art, Umfang, Kontext und Verarbeitungszwecken beim Einsatz neuer Technologien. Dieser Prozess muss die Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten bewerten.

              2. Wird ein Datenschutzbeauftragter (DSB) bestellt, muss die Folgenabschätzung unter seiner Mitwirkung durchgeführt werden.

              3. Das Verfahren beschreibt, wie eine Risikoanalyse durchgeführt wird, um personenbezogene Daten entsprechend den identifizierten Bedrohungen zu schützen, die sich aus versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten ergeben.

              4. Es wird davon ausgegangen, dass die Risikoanalyse für eine Gruppe oder Gruppe von Gruppen (Personenkategorien) oder für Verarbeitungsprozesse (z. B. für eine Gruppe von Mitarbeitern, eine Gruppe von Kunden, für den Prozess des Versendens kommerzieller Informationen aus der Marketingdatenbank) durchgeführt wird ).

              5. Gefahrenbezeichnung:

  1. Der Administrator ist dafür verantwortlich, die Liste der Bedrohungen zu ermitteln, die bei der Verarbeitung von Daten in einer Datei, für eine Personenkategorie oder im Verarbeitungsprozess auftreten können.

  2. Bedrohungen sollten in Bezug auf zuvor identifizierte Vermögenswerte identifiziert werden.

              1. Reaktion auf Risikowert:

  1. Risikoakzeptanz, Sicherheitsmaßnahmen sind angemessen (es sind keine zusätzlichen Sicherheitsmaßnahmen erforderlich),

  2. Maßnahmen zur Risikominderung, die der Administrator anwenden kann:

  • Transfer – Risikoübergang (Outsourcing, Versicherung),

  • Vermeidung – Beseitigung von Aktivitäten, die Risiken verursachen,

  • Reduzierung – Einsatz von Sicherheitsmaßnahmen zur Reduzierung des Risikos (z. B. Verschlüsselung eines USB-Sticks mit Daten, die außerhalb des Unternehmens erfasst wurden).

              1. Eine erneute Risikoanalyse wird in regelmäßigen Abständen oder nach wesentlichen Änderungen in der Datenverarbeitung (z. B. Verarbeitung neuer Dateien, neue Verarbeitungsprozesse, rechtliche Änderungen) durchgeführt.

§ 16

RISIKOMANAGEMENT

  1. Um Aufgaben im Zusammenhang mit der Informationssicherheit effektiv umzusetzen, wird einmal jährlich und bei jeder wesentlichen Änderung im IT-Umfeld eine Risikoanalyse durchgeführt.

  2. Der Prozess besteht aus folgenden Phasen:

    1. Risiko-Einschätzung,

    2. Risikobewertung,

    3. Risikoprävention,

    4. Überwachung und Berichterstattung von IT-Risiken.

  3. Die Ergebnisse der Risikoanalyse bilden die Grundlage für die Gestaltung geeigneter Kontrollmechanismen für die in der Organisation eingesetzten IT-Systeme.

  4. Die implementierten Kontrollmechanismen sollten dem bewerteten Risiko, den identifizierten Bedrohungen und deren Bedeutung angemessen sein und die wirtschaftliche Wirksamkeit gewährleisten.

  5. Die Kontrolle der Angemessenheit und Funktionsfähigkeit der eingesetzten Kontrollmechanismen gehört zu den Aufgaben des Systemadministrators und erfolgt im Rahmen der betrieblichen Risikobewertung.

  6. Der Administrator ist für den Prozess der Analyse und Bewertung des Informationssicherheitsrisikos verantwortlich.

  7. Um das Risiko im Zusammenhang mit Bedrohungen der Informationssicherheit zu minimieren, sollte jeder Benutzer des IT-Systems regelmäßig in der Nutzung des Systems und der Informationssicherheitsverfahren sowie im ordnungsgemäßen Einsatz von IT-Ressourcen geschult werden.

  1. Wann immer der Administrator beschließt, das Risiko zu reduzieren, legt er eine Liste der umzusetzenden Sicherheitsmaßnahmen, eine Frist für die Umsetzung und die verantwortlichen Personen fest.

  2. Der Datenverwalter ist verpflichtet, die Umsetzung der Sicherheitsmaßnahmen zu überwachen.

  3. Der Datenverwalter (oder, falls ernannt, der Datenschutzbeauftragte) ist für die Organisation von Schulungen zur Nutzung des Systems und zu Informationssicherheitsverfahren sowie zur ordnungsgemäßen Nutzung von IT-Ressourcen verantwortlich.

  4. Gemäß Art. Gemäß Art. 32 DSGVO muss der Administrator regelmäßig die Wirksamkeit technischer und organisatorischer Maßnahmen testen, messen und bewerten, um die Sicherheit der Verarbeitung zu gewährleisten. Zu diesem Zweck nutzt der Administrator das Auditverfahren.

  5. Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos einer unterschiedlichen Wahrscheinlichkeit und Schwere einer Verletzung der Rechte und Freiheiten natürlicher Personen hat der Verantwortliche geeignete technische und organisatorische Maßnahmen ergriffen, um die Durchführung der Verarbeitung sicherzustellen gemäß den Vorschriften. Diese Maßnahmen werden laufend überprüft und aktualisiert.

  6. Die Liste der Schutzmaßnahmen wird nach jeder Risikoanalyse und Folgenabschätzung aktualisiert.

  7. Unter Berücksichtigung der Kategorien der verarbeiteten Daten und potenzieller Bedrohungen wird ein hohes Maß an Sicherheit für die Verarbeitung personenbezogener Daten im IT-System eingeführt.

  8. Zum Schutz personenbezogener Daten wurde eine Risikoanalyse zum Schutz vor Verletzungen der Rechte und Freiheiten der betroffenen Personen durchgeführt.

§ 17

INKRAFTTRETEN DER POLITIK

Diese Richtlinie tritt am 1. Januar 2021 in Kraft.