Datenschutzleitlinie der Ladenburger GmbH
Mit dieser Leitlinie übernimmt die Geschäftsführung die Gesamtverantwortung für den Datenschutz bei der Ladenburger GmbH und beschreibt die damit einhergehenden Ziele. Diese Leitlinie erlangt mit Unterschrift der Geschäftsführung und unternehmensinterner Veröffentlichung Gültigkeit.
Ladenburger GmbH ist zur Einhaltung der Datenschutzgesetze verpflichtet und verfährt nach dem Prinzip der betrieblichen Selbstkontrolle. Daraus folgt, dass es bei Ladenburger GmbH zur Firmenkultur gehört, selbst für die angemessene, wirtschaftlich vertretbare und technisch-organisatorisch machbare Umsetzung der gesetzlichen Regelungen zum Datenschutz - insbesondere der Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) - zu sorgen.
Zur Realisierung der betrieblichen Selbstkontrolle tragen alle Geschäftsführer und leitenden Angestellten von Ladenburger GmbH, in deren Bereichen personenbezogene Datenverarbeitung stattfindet, sowie alle Mitarbeiter, die regelmäßig mit personenbezogenen Daten umgehen, persönliche Verantwortung. Die Verwirklichung der datenschutzrechtlichen Anforderungen erfolgt im Rahmen eines Datenschutzmanagementsystems, für das diese Datenschutzleitlinie den Rahmen bildet und welches weitere Richtlinien zum Datenschutz beinhaltet. Darüber hinaus hat Ladenburger GmbH einen Datenschutzbeauftragten bestellt. Dieser ist der Geschäftsführung direkt unterstellt und handelt in deren Auftrag. In Wahrnehmung seiner Fachkunde ist er weisungsfrei. Seine Aufgaben ergeben sich aus der DSGVO und dem BDSG. Seine Kontaktdaten wurden der für Ladenburger GmbH zuständigen Datenschutzaufsichtsbehörde gemeldet.
Jeder Angehörige des Unternehmens kann sich in Sachen Datenschutz direkt an den Datenschutzbeauftragten wenden und auf dessen Verschwiegenheit vertrauen (Art. 38 Abs. 4 und Abs. 5 DSGVO). Die Kontaktdaten stehen auf der letzten Seite dieses Dokuments.
Der Datenschutzbeauftragte ist gesetzlich verpflichtet, Prozesse und Anwendungen, mit denen personenbezogene Daten verarbeitet werden, auf Einhaltung der Datenschutzgesetze zu kontrollieren. Das Gleiche gilt, wenn die personenbezogenen Daten nicht automatisiert (Akten, Karteikarten, Mikrofilme u. ä.) verarbeitet werden (Art. 39 Abs. 1 lit. b). Zu diesem Zweck hat er das Recht auf Zutritt zu allen Räumen und Arbeitsplätzen, in bzw. an denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Bei festgestellten Mängeln wirkt er gemeinsam mit dem zuständigen Leiter auf deren Abstellung hin.
Der Datenschutzbeauftragte ist weiterhin gesetzlich verpflichtet, bei Prozessen und Anwendungen, mit denen personenbezogene Daten verarbeitet werden sollen, die Einhaltung der DSGVO zu überwachen (Art. 39 Abs. 1 lit. b). Zu diesem Zweck ist er über neue Anwendungen, die in Eigen- oder Fremdentwicklung entstehen oder gekauft werden, bereits bei der Erarbeitung der Aufgabenstellung (Pflichtenheft) zu informieren und ihm ist Gelegenheit zur Stellungnahme zu geben. Vor Nutzungsbeginn der Prozesse und Anwendungen ist der Datenschutzbeauftragte in das Freigabeverfahren einzubeziehen, um die Realisierung seiner Hinweise zu überprüfen. Die Freigabe ist vom zuständigen Leiter erst dann zu erteilen, wenn der Datenschutzbeauftragte seine Freigabe erteilt hat.
Das Unternehmen führt, im Falle von Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, eine Datenschutz-Folgenabschätzung durch (Art. 35 Abs. 1 DSGVO). Die Aufsichtsbehörden erstellen Listen von Verarbeitungen, für die eine Folgenabschätzung erfolgen muss. Sollten derartige Verarbeitungen bei Ladenburger GmbH Anwendung finden ist die Durchführung einer Datenschutz-Folgenabschätzung obligatorisch. Der Datenschutzbeauftragte berät auf Anfrage zur Datenschutz-Folgenabschätzung und überwacht ihre Durchführung (Art. 39 Abs. 1 lit. c).
Der Datenschutzbeauftragte ist in das IT-Risikomanagement einzubeziehen. Insbesondere sollte er bei der Erarbeitung und Fortschreibung von IT-Sicherheitskonzeptionen (Policies) bzw. IT-Sicherheitsrichtlinien einbezogen werden. Den Prinzipien des Datenschutzes durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) ist Rechnung zu tragen (Art. 25 DSGVO). Zudem gewährleistet das Unternehmen die Sicherheit der Verarbeitung personenbezogener Daten durch die Implementierung und kontinuierliche Verbesserung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO.
Mitarbeiter, welche regelmäßig personenbezogene Daten verarbeiten sind bei Aufnahme ihrer Tätigkeit auf die Wahrung der Vertraulichkeit und des Datenschutzes und ggf. damit verbundene weitere Geheimhaltungsvorschriften zu verpflichten. Die Verpflichtung gilt über das Ende der Tätigkeit bei Ladenburger GmbH hinaus fort. Eine Kopie der Verpflichtungserklärung ist der Personalakte zuzuführen. Die Verpflichtung trägt zur Sensibilisierung der Belegschaft in Datenschutzbelangen bei und dient der Einhaltung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Betroffene Mitarbeiter sind in geeigneter Weise hinsichtlich ihrer datenschutzrechtlichen Verantwortung zu informieren (Art. 39 Abs. 1 lit b). Dies sollte in Form regelmäßiger Schulungen erfolgen. Die betroffenen Mitarbeiter haben die Pflicht, an der Schulung teilzunehmen. Die Teilnahme ist zu dokumentieren.
Die Geschäftsführung (rechtliche Vertreter des Unternehmens) ist für die Einhaltung der Datenschutzgesetze verantwortlich; demzufolge ist eine Verpflichtung entbehrlich. Der Datenschutzbeauftragte hat die Geschäftsführung insbesondere über neue Entwicklungen im Datenschutzrecht und bei dessen Durchsetzung bei Bedarf zu informieren.
Ladenburger GmbH führt ein Verzeichnis aller Verarbeitungstätigkeiten. Die für personenbezogene automatisierte DV-Anwendungen und sonstige Verarbeitungen mit Personenbezug verantwortlichen Leiter der Fachabteilungen sind verpflichtet, zu allen entsprechenden Anwendungen und Verarbeitungen dem Datenschutzbeauftragten eine Verarbeitungsübersicht gem. Art. 30 Abs. 1 DSGVO zu melden. Zu diesem Zweck stellt der Datenschutzbeauftragte ein entsprechendes Formblatt zur Verfügung und unterstützt die Verantwortlichen auf Anfrage bei dessen Ausfüllung.
Werden personenbezogene Daten durch Stellen außerhalb von Ladenburger GmbH erhoben, verarbeitet oder genutzt bzw. führen diese Wartungs- oder Prüftätigkeiten für Ladenburger GmbH durch, bei denen der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, ist mit der jeweiligen Stelle ein Vertrag zu vereinbaren, in denen die Rechte der betroffenen Personen gesichert werden (Art. 28 DSGVO bei Auftragsverarbeitung, zusätzlich Artt. 44 - 49 DGSVO bei Datenübermittlungen in ein Land außerhalb der Europäischen Union). Der Datenschutzbeauftragte ist in die Vertragsgestaltung einzubeziehen und hält entsprechende Musterverträge bereit. In den Verträgen zur Auftragsverarbeitung ist sicher zu stellen, dass der Datenschutzbeauftragte das Recht erhält, im Bedarfsfall vor Ort die ordnungsgemäße Vertragsdurchführung zu kontrollieren (Art. 28 Abs. 3 lit. h).
Zur Gewährleistung der Betroffenenrechte (Artt. 12-22) sind alle entsprechenden Anliegen (Ansprüche auf Information, Auskunft, Berichtigung, Löschung oder Sperrung/Einschränkung, Datenübertragbarkeit, Widerspruch; Beschwerden oder Hinweise) über den Datenschutzbeauftragten zu leiten (Single Point of Contact – SPOC). Ihm obliegt die Kontrolle über die ordnungsgemäße Abwicklung. Stellt der Datenschutzbeauftragte anhand vorliegender, eindeutiger gesetzlicher Regelungen fest, dass die Betroffenenwünsche unberechtigt sind, teilt er dieses dem Betroffenen mit; andernfalls leitet er das Anliegen an die jeweils verantwortliche Stelle zwecks Bearbeitung weiter. Können aus Anliegen Betroffener rechtliche Konsequenzen für das Unternehmen entstehen, hat der Datenschutzbeauftragte die Leitung des Unternehmens einzubeziehen.
Der Datenschutzbeauftragte arbeitet mit der Aufsichtsbehörde zusammen und dient als Anlaufstelle für diese in mit der Verarbeitung zusammenhängenden Fragen (Art. 39 Abs. 1 litt. d und e). Bei außergewöhnlichen Ereignissen hat der Datenschutzbeauftragte auch zwischenzeitlich ein direktes Vortragsrecht bei dem ihm benannten Geschäftsführer.