Data protection guideline (german)

Geltungsbereich

Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung und die entsprechenden Verantwortlichkeiten beim obengenannten Unternehmen und seiner/n Niederlassung/en. Alle Mitarbeiter sind zur Einhaltung dieser Richtlinie verpflichtet.

Sie richtet sich insbesondere an Mitarbeiter, Kunden und Interessenten, Zulieferer, Dienstleister und Partner.

Hierbei gelten folgende Grundsรคtze:

Wahrung der Persรถnlichkeitsrechte
Zweckbindung personenbezogener Daten
Transparenz
Datenvermeidung und Datensparsamkeit
Sachliche Richtigkeit / Aktualitรคt der Daten
Vertraulichkeit bei der Datenverarbeitung
Sicherheit bei der Datenverarbeitung
Lรถschung und Sperrung von Daten auf Anforderung
1. Begriffsdefinitionen

Personenbezogene Daten sind Einzelangaben รผber persรถnliche oder sachliche Verhรคltnisse einer natรผrlichen Person (Betroffener).
Beispiele: Name, Vorname, Geburtstag, Adressdaten, Vertragsdaten, E-Mail-Inhalte.

Besondere personenbezogene Daten sind Angaben รผber rassische, ethnische Herkunft, politische Meinungen, religiรถse oder philosophische รœberzeugungen, Gewerkschaftszugehรถrigkeit, Gesundheit oder Sexualleben, sowie wirtschaftliche Verhรคltnisse.

Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten fรผr sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lรคsst.

2. Der betriebliche Datenschutzbeauftragte (DSB)

Die HWR-CHEMIE GmbH hat nach MaรŸgabe des Art. 37 – 39 DSGVO ยง 38 BDSG neu einen betrieblichen Datenschutzbeauftragten bestellt.

Es handelt sich um: Oliver Maisel, Kรคmmereigasse 2, 95444 Bayreuth, oliver.maisel@maisel.co.

Dieser nimmt die ihm aus dieser Richtlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seiner Fachkunde wahr. Fรผr Meldungen, Auskรผnfte etc. gegenรผber den Datenschutzaufsichtsbehรถrden ist der DSB zustรคndig.

Die Unternehmensabteilungen stellen die hierfรผr erforderlichen Informationen, Unterlagen etc. zur Verfรผgung. Gleiches gilt fรผr Anfragen, Beschwerden oder Auskunftsersuche.

Jeder Mitarbeiter unseres Unternehmens kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an den DSB wenden, auf Wunsch wird absolute Vertraulichkeit gewahrt.

3. Erheben, Verarbeiten und Nutzen personenbezogener Daten

Das Erheben, Verarbeiten und Nutzen personenbezogener Daten in unserem Unternehmen geschieht auf Basis des von uns verwendeten Kundenauftrags. Ohne eine konkrete Beauftragung und eine ausdrรผckliche datenschutzrechtliche Einwilligungserklรคrung durch unsere Kunden werden wir nicht tรคtig. Wir dokumentieren unsere Tรคtigkeit vollumfรคnglich รผber unser ERP-System und halten konkrete Verfahrensanweisungen fรผr die Ausfรผhrung unserer Auftrรคge vor. Profiling findet in unserem Unternehmen nicht statt. Die Daten werden ausschlieรŸlich zu den vereinbarten Zwecken verarbeitet. Eine รœbersicht รผber die Geschรคftspartner mit denen wir in der Regel zusammenarbeiten hรคndigen wir Ihnen auf Wunsch aus. An diese findet eine Datenรผbermittlung zur Erfรผllung unseres Auftrages statt.

4. Verpflichtung auf die Vertraulichkeit (Art. 5 DSGVO)

Alle Mitarbeiter werden bei der Aufnahme ihrer Tรคtigkeit zur Verschwiegenheit und der Einhaltung der Arbeitsanweisungen sowie dieser Richtlinie verpflichtet. Die besteht auch nach der Beendigung ihrer Tรคtigkeit fort.

5. Verarbeitungsรผbersichten (Art. 30 DSGVO)

Mittels interner Verfahrensรผbersichten (Verzeichnis der Verarbeitungstรคtigkeiten) schaffen wir Transparenz innerhalb des Unternehmens und รผberprรผfen, ob unsere Verfahren besondere Risiken fรผr die Rechte und Freiheiten der Betroffenen aufweisen und damit einer Vorabkontrolle / Datenschutz-Folgeabschรคtzung unterliegen. Es besteht die Verpflichtung, diese รœbersichten vorzuhalten fรผr eine Einsichtnahme durch die Behรถrden.

6. Beschaffung von Hard- und Software

Sรคmtliche fรผr unsere Arbeitsablรคufe notwendige Hardware (Rechner, Bildschirme, Tastatur, Maus und Peripheriegerรคte wie Scanner oder Drucker) wird รผber den Einkauf unserer IT-Abteilung und unseres IT-Dienstleisters besorgt.

Die Rechner werden in der IT bereits konfiguriert und mit den entsprechenden Programmen, die wir im Standard nutzen, ausgestattet. Weitere Software kann nur in Absprache mit der Geschรคftsfรผhrung installiert werden. Folgende Richtlinien sind zu beachten:

7. Passwortrichtlinien

Um die Zugriffe zu unseren Systemen sicher zu gestalten, ist eine individuelle Authentifizierung notwendig. Fรผr diese wurden interne Regelungen getroffen, an die sich alle Beteiligten halten mรผssen.

8. Technische und organisatorische MaรŸnahmen

Wir ergreifen alle uns mรถglichen MaรŸnahmen, die nach dem aktuellen Stand der Technik, sowie organisatorisch dazu geeignet sind, um Unbefugten keinen Zugriff auf die bei uns gespeicherten personenbezogenen Daten zu gewรคhren. Dazu fรผhren wir eine separate Checkliste, um die Anforderungen an die Sicherheit der Datenverarbeitung zu dokumentieren. Eine รœbermittlung in Drittlรคnder ist zum aktuellen Zeitpunkt nicht geplant.

9. Rechte von Betroffenen

9.1 Der Betroffene kann Auskunft darรผber verlangen, welche personenbezogenen Daten welcher Herkunft รผber ihn zu welchem Zweck gespeichert sind. Falls im Arbeitsverhรคltnis nach dem jeweils anzuwendenden Arbeitsrecht weitergehende Einsichtsrechte in Unterlagen des Arbeitgebers (z.B. Personalakte) vorgesehen sind, so bleiben diese unberรผhrt.

9.2 Werden personenbezogene Daten an Dritte รผbermittelt, muss auch รผber die Identitรคt des Empfรคngers oder รผber die Kategorien von Empfรคngern Auskunft gegeben werden.

9.3 Sollten personenbezogene Daten unrichtig oder unvollstรคndig sein, kann der Betroffene ihre Berichtigung oder Ergรคnzung verlangen.

9.4 Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten zu Zwecken der Werbung oder der Marktยญ und Meinungsforschung widersprechen. Fรผr diese Zwecke mรผssen die Daten gesperrt werden.

9.5 Der Betroffene ist berechtigt, die Lรถschung seiner Daten zu verlangen, wenn die Rechtsgrundlage fรผr die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt fรผr den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf oder aus anderen Grรผnden entfallen ist. Bestehende Aufbewahrungspflichten und einer Lรถschung entgegenstehende schutzwรผrdige Interessen mรผssen beachtet werden.

9.6 Der Betroffene hat ein grundsรคtzliches Widerspruchsrecht gegen die Verarbeitung seiner Daten, das zu berรผcksichtigen ist, wenn sein schutzwรผrdiges Interesse aufgrund einer besonderen persรถnlichen Situation das Interesse an der Verarbeitung รผberwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchfรผhrung der Verarbeitung verpflichtet.

9.7 Der Betroffene hat ein Beschwerderecht bei der folgenden Aufsichtsbehรถrde:

Bayerisches Landesamt fรผr Datenschutzaufsicht
Promenade 27 (Schloss)
91522 Ansbach
Telefon: 0981/53-1300
Telefax: 0981/53-5300
E-Mail: poststelle@lda.bayern.de
Homepage: www.lda.bayern.de

10. Verfahren bei โ€žDatenpannenโ€œ

Jeder Mitarbeiter soll seinem jeweiligen Vorgesetzten, der Geschรคftsfรผhrung oder dem DSB unverzรผglich Fรคlle von VerstรถรŸen gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfรคlle) melden. Die verantwortliche Fรผhrungskraft ist verpflichtet, den DSB umgehend รผber Datenschutzvorfรคlle zu unterrichten.

In Fรคllen von unrechtmรครŸiger รœbermittlung personenbezogener Daten an Dritte, unrechtmรครŸigem Zugriff durch Dritte auf personenbezogene Daten, oder bei Verlust personenbezogener Daten sind die im Unternehmen vorgesehenen Meldungen unverzรผglich vorzunehmen, damit nach staatlichem Recht bestehende Meldepflichten von Datenschutzvorfรคllen erfรผllt werden kรถnnen.