STABILUS (STAB) Verfahrensanweisung Lfd. Nr.

:
Datenschutz SCL-V 002
Verteiler : Sxx, DExx (alle Bereiche STDE) Bezug auf IMS (Prozessnr.) : CF11
Gültigkeit für : STAB, STAU, STBR, STCN, STDE, STES, STIT, STKR, STMX, STNZ, STRO, STUS

Zur Information : STAB, STAU, STBR, STCN, STDE, STES, STIT, STKR, STMX, STNZ, STRO, STUS

1. Grundsatz

Diese Verfahrensanweisung (VA) regelt die datenschutzkonforme Informationsverarbeitung und die

insoweit bei Stabilus bestehenden Verantwortlichkeiten. Sie beinhaltet einerseits allgemeine Grundsätze
bei Stabilus und beschreibt andererseits die wesentlichen Anforderungen nach
Bundesdatenschutzgesetz und EU-Datenschutz-Grundverordnung. Daher ist sie als
„Unternehmensrichtlinie“ bezeichnet. Ergänzt wird die Richtlinie durch Verfahrensanweisungen zu
datenschutzrechtlichen Einzelthemen. Alle Mitarbeiter sind zur Einhaltung der VA verpflichtet.

Diese VA gilt für die Stabilus GmbH und die Stable Beteiligungs GmbH.

2. Abwicklung

Siehe Anlage 1: „Unternehmensrichtlinie Datenschutz“

3. Verantwortung, Kontrolle

Die Verantwortung für die Einhaltung dieser VA liegt für jeden Bereich bei jedem einzelnen Mitarbeiter.
Die Kontrolle führt der Bereichsleiter.

Anlage

SQ / J. Balmert SPP / W. Brohl SCL / M. Lang Unterschriften nur auf dem Original.
Änderungsleiste Inhalt
2 Überarbeitung 17.01.2020 SCL/M. Lang 09.03.2020
0 Erstausgabe, ersetzt SCC-V002 30.06.2016 SCL/M. Lang
Revision Grund/Art der Revision Revisionsdatum Revision durch Gültig ab

Änderungsleiste Formular
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
Dieses Dokument wurde am 25.10.23 gedruckt.
Derzeit gültige Dateiversion auf dem PC-Netz der herausgebenden Geschäftseinheit.
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Unternehmensrichtlinie Datenschutz

Stabilus GmbH und Stable Beteiligungs GmbH

Inhalt

1. Allgemeine Bestimmungen.........................................................................................................3
1.1. Einführung...............................................................................................................................3
1.2. Systematik...............................................................................................................................3
1.3. Anwendungsbereich................................................................................................................3
1.3.1. Sachlicher Anwendungsbereich..........................................................................................3
1.3.2. Anwendungsbereich............................................................................................................4
1.4. Rechtsvorschriften...................................................................................................................4
1.5. Änderung der Richtlinie...........................................................................................................4
1.6. Begriffsbestimmungen und Definitionen..................................................................................4
2. Grundsätze.................................................................................................................................6
2.1. Grundprinzipien für die Verarbeitung personenbezogener Daten...........................................6
2.1.1. Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) ................................................................6
2.1.2. Treu und Glauben (Verhältnismäßigkeit) ............................................................................6
2.1.3. Transparenz ........................................................................................................................6
2.1.4. Zweckbindung .....................................................................................................................6
2.1.5. Datenminimierung ...............................................................................................................7
2.1.6. Richtigkeit ...........................................................................................................................7
2.1.7. Speicherbegrenzung ...........................................................................................................7
2.1.8. Integrität und Vertraulichkeit ...............................................................................................7
2.1.9. Rechenschaftspflicht ...........................................................................................................8
2.2. Bedingungen für die Einwilligung ...........................................................................................8
2.3. Verarbeitung besonderer Kategorien personenbezogener Daten und von Daten über
Straftaten............................................................................................................................................8
3. Verantwortlicher und Zuständigkeiten.........................................................................................9
3.1. Geschäftsführung....................................................................................................................9
3.2. Fachabteilungen......................................................................................................................9
3.3. Mitarbeiter.............................................................................................................................10
3.4. Datenschutzbeauftragter.......................................................................................................10
4. Rechte der betroffenen Person.................................................................................................11

Änderungsleiste Formular Rev. 0 ; Seite 1

Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

4.1. Informationspflichten.............................................................................................................11
4.2. Auskunftsrecht der betroffenen Person.................................................................................12
4.3. Recht auf Berichtigung .........................................................................................................12
4.4. Recht auf Löschung („Recht auf Vergessenwerden“) ..........................................................12
4.5. Recht auf Einschränkung der Verarbeitung („Sperrung“) .....................................................13
4.6. Recht auf Datenübertragbarkeit ...........................................................................................13
4.7. Widerspruchsrecht ...............................................................................................................13
5. Auskunftsersuchen Dritter über Betroffene...............................................................................13
6. Verzeichnis von Verarbeitungstätigkeiten.................................................................................14
7. Auftragsverarbeitung und gemeinsam Verantwortlicher...........................................................14
7.1. Auftragsverarbeitung ............................................................................................................14
7.2. Gemeinsam Verantwortlicher ...............................................................................................15
7.3. Datenübermittlung in der Unternehmensgruppe ..................................................................15
8. Externe Dienstleister.................................................................................................................16
9. Sicherheit der Verarbeitung......................................................................................................16
10. Data Protection by Default / by Design.................................................................................17
11. Datenschutz-Folgenabschätzung..........................................................................................17
12. Meldepflichten bei Datenschutzverletzungen........................................................................18
12.1. Meldepflicht gegenüber der Aufsichtsbehörde .................................................................18
12.2. Meldepflicht gegenüber den Betroffenen ..........................................................................19
13. Datengeheimnis....................................................................................................................20
14. Übermittlung personenbezogener Daten..............................................................................20
15. Werbung................................................................................................................................21
16. Datenverarbeitung im Beschäftigungskontext.......................................................................21
17. Schulung...............................................................................................................................21
18. Interne Ermittlungen..............................................................................................................22
19. Rechtsbehelfe, Haftung und Sanktionen...............................................................................22

Änderungsleiste Formular Rev. 0 ; Seite 2

Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

1. Allgemeine Bestimmungen

1.1. Einführung

Für Stabilus ist der Schutz von personenbezogenen Daten („Datenschutz“) ein zentrales Thema. Jeder
hat das Recht, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen
Daten zu bestimmen („Informatielles Selbstbestimmungsrecht“). Datenschutz ist aber auch wichtig für
vertrauensvolle Geschäftsbeziehungen und die Reputation unseres Unternehmens.

Ebenso wichtig ist für Stabilus, dass auch solche Informationen vertraulich behandelt werden, die keine
personenbezogenen Daten beinhalten, und dass die von Stabilus verwendeten Daten richtig und
verfügbar sind. Vertraulichkeit, Integrität und Verfügbarkeit von Daten („Datensicherheit“) sind daher in
unserem Unternehmen zu gewährleisten.

Diese Unternehmensrichtlinie dient zur Umsetzung der oben beschriebenen Grundsätze des
Datenschutzes und der Datensicherheit bei Stabilus. Sie wird von der Geschäftsführung uneingeschränkt
unterstützt.

1.2. Systematik

Diese Unternehmensrichtlinie ist eine Rahmenrichtlinie, die durch Verfahrensanweisungen ergänzt wird.
Zusammen legen sie die Regeln zur Verarbeitung personenbezogener Daten – insbesondere von
Mitarbeitern, Bewerbern, Kunden sowie Geschäftspartnern - in Übereinstimmung mit den anwendbaren
Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit bei Stabilus fest.

Folgende Verfahrensanweisungen sind verbindlich:

a) Verfahrensanweisung Datenlöschung
b) Verfahrensanweisung Telefax
c) Verfahrensanweisung Clean Desk
d) Verfahrensanweisung Entsorgung vertraulicher Unterlagen
e) Verfahrensanweisung Betroffenenrechte
f) Verfahrensanweisung Informationspflichten
g) Verfahrensanweisung Neue Verfahren
h) Verfahrensanweisung Auftragsverarbeiter
i) Verfahrensanweisung Datenschutz-Folgenabschätzung
j) Verfahrensanweisung Meldepflichten

1.3. Anwendungsbereich

1.3.1. Sachlicher Anwendungsbereich

Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten, die elektronisch (automatisiert) oder
in Papierform (nicht automatisiert) verarbeitet und in einem Dateisystem gespeichert werden.1

Bestehende gesetzliche Verpflichtungen sind von dieser Richtlinie nicht berührt und sind somit zusätzlich
zu erfüllen.

1.3.2. Anwendungsbereich

Diese Richtlinie gilt für die Stabilus GmbH und die Stable Beteiligungs GmbH („Stabilus“).
1
Art. 2 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 3
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Sie gilt persönlich für alle Beschäftigten dieser Gesellschaften.

1.4. Rechtsvorschriften

Diese Richtlinie basiert auf den Bestimmungen der am 25. Mai 2018 in Kraft getretenen Datenschutz-
Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

1.5. Änderung der Richtlinie

Die Geschäftsführung von Stabilus behält sich vor, diese Richtlinie zu ändern oder zu ergänzen. Die
Beschäftigten müssen sich an die Bestimmungen dieser Richtlinie halten.

1.6. Begriffsbestimmungen und Definitionen

Für diese Richtlinie gelten die in Art. 4 DSGVO definierten Begriffen:

a) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar
wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die
Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen
oder sozialen Identität dieser natürlichen Person sind; Hierzu zählen z.B. Namensangaben, Adress-
und Kommunikationsdaten einschl. E-Mailadresse, Geburtsdatum, Kreditkartennummer, IP-
Adresse, Benutzername und Kundennummer;

b) „Besondere Kategorien personenbezogener Daten“ sind personenbezogene Daten, aus denen die
rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten,
biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, Art. 9 Abs. 1
DSGVO;

c) „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie
das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder
Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung,
Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung;

d) „Einschränkung der Verarbeitung“ ist die Markierung gespeicherter personenbezogener Daten mit
dem Ziel, ihre künftige Verarbeitung einzuschränken; ein anderer Begriff hierfür ist „Sperren“;

e) „Profiling“ ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin
besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte
bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen,
Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu
analysieren oder vorherzusagen;

Änderungsleiste Formular Rev. 0 ; Seite 4

Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

f) „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die
personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer
spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen
unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder
identifizierbaren natürlichen Person zugewiesen werden;

g) „Dateisystem“ bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach

bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral
oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

h) „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung
von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch
das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche
beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem
Recht der Mitgliedstaaten vorgesehen werden;

i) „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

j) „Empfänger“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr
um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten
Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise
personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser
Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden
Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

k) „Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer
der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die
unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt
sind, die personenbezogenen Daten zu verarbeiten;

l) „Einwilligung“ der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter
Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt,
dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

m) „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit,
die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder
zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen
Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Änderungsleiste Formular Rev. 0 ; Seite 5

Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

2. Grundsätze

2.1. Grundprinzipien für die Verarbeitung personenbezogener Daten2

In Art. 5 DSGVO sind wesentliche Grundsätze für die Verarbeitung personenbezogener Daten
aufgeführt. Dieser Prinzipienkatalog gilt auch bei Stabilus und umfasst folgende Punkte.

2.1.1. Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) 3

Die Verarbeitung personenbezogener Daten muss rechtmäßig erfolgen. Es gilt das „Verbot mit
Erlaubnisvorbehalt“, d.h. die Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn

a) die betroffene Person ihre Einwilligung erteilt hat;

b) die Verarbeitung für die Erfüllung eines Vertrages erforderlich ist;

c) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist;

d) die Verarbeitung erforderlich ist, um lebenswichtige Interesse der betroffenen Person oder einer
anderen natürlichen Person zu schützen;

e) die Verarbeitung für die Wahrung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt
und/oder

f) die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten
erforderlich ist und die Interessen oder Grundrechte und -freiheiten der betroffenen Person nicht
überwiegen.

2.1.2. Treu und Glauben (Verhältnismäßigkeit) 4

Die Verarbeitung personenbezogener Daten erfolgt nach Treu und Glauben und transparent. Dieser
Grundsatz entspricht dem „Verhältnismäßigkeitsprinzip“, d.h. die Verarbeitung personenbezogener
Daten muss zur Verwirklichung eines legitimen Zwecks geeignet und das mildeste aller gleich
effektiven Mittel zur Verwirklichung dieses Zwecks sein.

2.1.3. Transparenz 5

Personenbezogene Daten müssen für die betroffene Person nachvollziehbar verarbeitet werden. Sie
soll wissen, wie und von wem ihre personenbezogenen Daten in welchem Umfang verarbeitet werden
oder künftig verarbeitet werden sollen.

2.1.4. Zweckbindung 6

Personenbezogene Daten werden für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und
dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Änderungen des Verarbeitungszweckes sind nur erlaubt, wenn sie mit dem ursprünglichen

2
Art. 5 DSGVO
3
Art. 5 Abs. 1 lit. a) DSGVO
4
Art. 5 Abs. 1 lit. a) DSGVO
5
Art. 5 Abs. 1 lit. a) DSGVO
6
Art. 5 Abs. 1 lit. b) DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 6
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Erhebungszweck vereinbar sind. Eine Änderung des Verarbeitungszweckes ist daher immer auf seine
datenschutzrechtliche Zulässigkeit zu prüfen.

2.1.5. Datenminimierung 7

Personenbezogene Daten müssen dem Zweck angemessen und sachlich relevant sein. Die
Datenverarbeitung muss auf das für den Zweck notwendige Maß beschränkt sein. Daten sind zu
löschen, wenn sie nicht mehr erforderlich sind. Die Fachabteilungen stellen sicher, dass die deutschen
Aufbewahrungsfristen und Löschungsanforderungen eingehalten werden.

Alle Mitarbeiter überprüfen ihre Unterlagen regelmäßig (mindestens einmal pro Jahr) und löschen sie
gegebenenfalls, um die Einhaltung der deutschen Anforderungen sicherzustellen. Die Abteilungsleiter
kontrollieren, ob ihre Mitarbeiter diese Anforderungen umsetzen.

Für Einzelheiten siehe Verfahrensanweisung Datenlöschung.

2.1.6. Richtigkeit 8

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neusten Stand sein.
Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick
auf den Zweck ihrer Verarbeitung als unrichtig identifiziert werden, unverzüglich gelöscht oder
berichtigt werden.

2.1.7. Speicherbegrenzung 9

Die Verpflichtung zur Speicherbegrenzung überschneidet sich mit dem Gebot der Datenminimierung
und verstärkt die Verpflichtung zu einer regelmäßigen Löschroutine. Es sind Fristen für Löschung und
Überprüfung vorzusehen.

Personenbezogene Daten dürfen nur solange verarbeitet werden, solange dies für die Verwirklichung
der mit ihrer Verarbeitung verfolgten Zwecke erforderlich ist. Dieser Grundsatz wird unterstützt durch
die in Art. 17 DSGVO festgelegten Löschpflichten, insbesondere wenn sie nicht mehr notwendig sind
oder eine erforderliche Einwilligung zur Verarbeitung widerrufen wurde. Auch ist der Grundsatz der
Richtigkeit zu beachten, s. Ziffer 2.1.6: Daten sind auch dann zu löschen oder zu korrigieren, wenn sie
unrichtig oder veraltet sind.

2.1.8. Integrität und Vertraulichkeit 10

Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung durch
geeignete technische oder organisatorische Maßnahmen.

Zu besonders risikobehafteten Themen hat Stabilus spezielle Vorschriften erlassen. Siehe hierzu
Verfahrensanweisung Telefax, Verfahrensanweisung Clean Desk sowie Verfahrensanweisung
Entsorgung vertraulicher Unterlagen.

7
Art. 5 Abs. 1 lit. c) DSGVO
8
Art. 5 Abs. 1 lit. d) DSGVO
9
Art. 5 Abs. 1 lit. e) DSGVO
10
Art. 5 Abs. 1 lit. f) DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 7
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

2.1.9. Rechenschaftspflicht 11

Stabilus ist als Verantwortlicher i.S. Art. 4 lit. 7 DSGVO dafür verantwortlich, dass die Einhaltung der
oben genannten Grundsätze der DSGVO nachgewiesen werden kann.

Stabilus hat zu gewährleisten, dass die datenschutzrechtlichen Vorgaben der Datenschutz-

Grundverordnung eingehalten werden und die Verarbeitung personenbezogener Daten in seinem
Verantwortungsbereich rechtmäßig erfolgt. Er muss die Einhaltung der Verarbeitungsgrundsätze
nachweisen können.

Die DSGVO stellt ausdrücklich klar, dass es die Pflicht des Verantwortlichen ist, sicherzustellen und
nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Regelungen der DSGVO stehen. Es
sind daher alle Bereiche und jeder einzelne Beschäftigte angehalten, zu kontrollieren und
sicherzustellen, dass für Datenverarbeitungen, die von ihnen durchgeführt werden, dieser Nachweis
auch erbracht werden kann.12

2.2. Bedingungen für die Einwilligung 13

Stützt sich die Verarbeitung personenbezogener Daten auf eine Einwilligung, ist sie nur rechtmäßig,
wenn sie durch eine eindeutige bestätigende Handlung erfolgt, mit der freiwillig, für den konkreten Fall,
in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der
Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.14

Zusätzlich müssen folgende Bedingungen erfüllt sein:

a) die Einwilligung ist in einem Format aufzubewahren, das zum Nachweis der Einwilligung der
betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten verwendet werden kann;

b) das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren
und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu
unterscheiden ist;

c) die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Die betroffene
Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.

2.3. Verarbeitung besonderer Kategorien personenbezogener Daten 15 und von Daten über Straftaten

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß der Definition in Ziffer 1.6 b
(z.B. Daten bezüglich Religion oder Gesundheitsdaten) ist nur erlaubt, wenn ein oder mehrere der
folgenden Fälle vorliegen, wobei für Stabilus vor allem die Fälle a, b und f von Bedeutung sind:

a) die betroffene Person hat ausdrücklich eingewilligt;

b) die Verarbeitung ist wegen Rechten oder Pflichten aus dem Arbeitsrecht, dem Recht der sozialen
Sicherheit oder des Sozialschutzes erforderlich;
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich;
d) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
erforderlich;

11
Art. 5 Abs. 2 DSGVO
12
Art. 24 Abs. 1 DSGVO
13
Art. 7 DSGVO
14
Erwägungsgrund 32.
15
Art. 9 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 8
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person
offensichtlich öffentlich gemacht hat;
f) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Beurteilung der Arbeitsfähigkeit der
Beschäftigten oder der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
erforderlich, sofern die Daten von Fachpersonal verarbeitet werden, das dem Berufsgeheimnis
unterlegt;
g) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen
Gesundheit erforderlich. In diesen Fällen müssen diese Daten von Fachpersonal, das dem
Berufsgeheimnis unterliegt, oder unter dessen Verantwortung oder durch eine andere Person
verarbeitet werden, die ebenfalls einer Geheimhaltungspflicht unterliegt (Art. 9 DSGVO).

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder
damit zusammenhängende Sicherungsmaßregeln darf nur unter behördlicher Aufsicht vorgenommen
werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete
Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist (Art. 10
DSGVO).

3. Verantwortlicher und Zuständigkeiten

3.1. Geschäftsführung

 Die Geschäftsführung ist die Leitung des für die Verarbeitung Verantwortlichen i.S. Art. 4 lit. 7
DSGVO.

 Sie ist befugt, die Umsetzung der DSGVO mittels Anweisung und Richtlinienumzusetzen und zu
überwachen, ggf. durch Delegation an die Fachabteilungen.

 Sie stellt erforderliche finanzielle, sachliche und personelle Ressourcen zur Umsetzung der
Datenschutzorganisation bereit.

 Sie bestellt einen Datenschutzbeauftragten und veröffentlicht dessen Kontaktdaten. Sie teilt
dessen Namen und Kontaktdaten der zuständigen Aufsichtsbehörde mit.

3.2. Fachabteilungen

 Die Fachabteilungen führen die Anweisungen der Unternehmensleitung zur Umsetzung der
DSGVO aus.

 Die Fachabteilungen haben die Prozessverantwortung; diese umfasst insbesondere die Definition
der Schnittstellen (auch zum Datenschutz) und die Erfüllung von Dokumentationspflichten (z.B.

Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Nachweis der

Einwilligung)

Änderungsleiste Formular Rev. 0 ; Seite 9

Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

 Sie sind für die Vermeidung datenschutzrechtlicher Risiken durch Prozess-, Produkt- und
Technikgestaltung, d.h. privacy by design/default, Löschkonzept usw. verantwortlich.

 Sie erfüllen die Transparenz- und Informationspflichten sowie Gewährleistung der

Betroffenenrechte.

 Sie sind für die arbeitsplatzbezogene Instruktion des einzelnen Mitarbeiters und für die Ermittlung
des Schulungsbedarfs und Meldung desselben an die Personalabteilung (s.u. Ziff. 17)
verantwortlich.

 Sie überprüfen die Einhaltung der datenschutzrechtlichen Erfordernisse in ihrem Bereich.

 Sie binden den Datenschutzbeauftragten bei Zweifeln zur Rechtmäßigkeit von Maßnahmen oder
Umsetzung des Datenschutzes, insbesondere bei der Planung oder Änderung von Verfahren,
frühzeitig ein.

 Sofern nicht abweichend in der Abteilung geregelt, trägt der jeweilige Bereichsleiter die
Verantwortung für die Einhaltung der obigen Fachabteilungs-Pflichten.

3.3. Mitarbeiter

 Mitarbeiter machen sich mit internen Regelungen und gesetzlichen Vorschriften zum Datenschutz
vertraut und halten diese ein.

 Mitarbeiter sind der Verschwiegenheit verpflichtet. Diese Verpflichtung besteht auch über das
Ende des Beschäftigungsverhältnisses hinaus.

 Sie nehmen regelmäßig an den angebotenen Datenschutz-Schulungen und

Sensibilisierungsmaßnahmen teil.

 Bei Datenschutzverstößen können sie persönlich gegenüber dem Arbeitgeber bzw. den
betroffenen Personen haften; Mitarbeiter können auch möglicher Adressat von
Bußgeldbescheiden sein.

 In datenschutzrechtlichen Zweifelsfällen ziehen sie den Datenschutzbeauftragten zurate.

3.4. Datenschutzbeauftragter

 Der Datenschutzbeauftragte wird aufgrund seiner beruflichen Qualifikation und insbesondere

seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie
seiner Fähigkeit, die Aufgaben gemäß Artikel 39 DSGVO zu erfüllen, benannt (Art. 37 Abs. 5
DSGVO).

 Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen und seine Beschäftigten, die
Verarbeitungen durchführen, hinsichtlich ihrer Datenschutzpflichten (Art. 39 Abs. 1 lit. a DSGVO).

 Der Datenschutzbeauftragte nimmt seine Aufgaben weisungsfrei und unter Anwendung seines
Fachwissens wahr. Er berichtet unmittelbar der Unternehmensleitung (Art. 38 Abs. 3 DSGVO).

 Er überwacht die Einhaltung der Datenschutzvorschriften sowie der Strategien des

Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von
Zuständigkeiten, der Sensibilisierung und Schulung (s. hierzu auch Kapitel 17 dieser Richtlinie)
der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen
Überprüfungen (Art. 39 Abs. 1 lit. b DSGVO).

Änderungsleiste Formular Rev. 0 ; Seite 10

Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

 Er berät im Zusammenhang mit der Datenschutz-Folgenabschätzung und überwacht ihre

Durchführung nach Art. 35 DSGVO und Art. 39 Abs. 1 lit. c DSGVO.

 Er arbeitet mit der Aufsichtsbehörde zusammen und ist Anlaufstelle für die Aufsichtsbehörde (Art.
39 Abs. 1 lit. e DSGVO).

 Er berät die betroffenen Personen zu allen mit der Verarbeitung ihrer personenbezogenen Daten
und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehenden
Fragen (Art. 38 Abs. 4 DSGVO).

 Der Datenschutzbeauftragte nimmt seine Aufgaben risikoorientiert wahr. Er trägt bei der Erfüllung
seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung,
wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt (Art.
39 Abs. 2 DSGVO).
 Der Datenschutzbeauftragte von Stabilus ist erreichbar unter datenschutz@stabilus.com bzw.
unter der Telefonnummer 0261/8900 621.

4. Rechte der betroffenen Person

Jede Person hat nach der DSGVO folgende Rechte:

 Auskunftsrecht

 Recht auf Berichtigung

 Recht auf Löschung

 Recht auf Einschränkung der Verarbeitung

 Recht auf Datenübertragbarkeit

 Widerspruchsrecht

Stabilus hat erforderliche Maßnahmen zu treffen, um die Identität der betroffenen Person zu
überprüfen, bevor sie auf die Geltendmachung der oben genannten Rechte antwortet. Alle
Informationen und Mitteilungen im Zusammenhang mit der Datenverarbeitung müssen für die
betroffene Person in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer
klaren und verständlichen Sprache vorliegen. Die Informationen sind schriftlich oder auf andere Weise,
gegebenenfalls auch elektronisch, zu übermitteln. Der Verantwortliche stellt unverzüglich, in jedem Fall
aber innerhalb eines Monats nach Eingang der Anfrage Informationen zur Verfügung.

Der Umgang mit den Rechten der betroffenen Person ist in der Verfahrensanweisung
Betroffenenrechte geregelt, die Bestandteil dieser Richtlinie ist.

4.1. Informationspflichten16

Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte. Nur wenn die
betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese

Rechte auch ausüben. Unabhängig davon, ob Stabilus personenbezogene Daten direkt von der
betroffenen Person erhebt oder nicht, müssen der betroffenen Person die Informationen zur Verfügung
gestellt werden.

16
Art. 14 und 14 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 11
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Dies muss entweder zum Zeitpunkt der Datenerhebung oder innerhalb einer angemessenen Frist nach
Erlangung der Daten von einer anderen Person erfolgen. Dies muss jedoch spätestens innerhalb eines
Monats erfolgen.

Der Umgang mit den Informationspflichten ist in der Verfahrensanweisung Informationspflichten

geregelt, die Bestandteil dieser Richtlinie ist.

4.2. Auskunftsrecht der betroffenen Person17

Die betroffene Person hat das Recht, von Stabilus als Verantwortlichem eine Bestätigung darüber zu
verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn das der Fall ist, so
ist der betroffenen Person auf Verlangen Auskunft über die personenbezogenen Daten und weitere
Informationen zu erteilen, insbesondere zu den Zwecken der Verarbeitung, den betroffenen Kategorien
personenbezogener Daten und der Rechtsgrundlage der Datenverarbeitung.

Der Umgang mit Auskunftsrechten ist in der Verfahrensanweisung Betroffenenrechte beschrieben.

4.3. Recht auf Berichtigung 18

Da aus unrichtigen und unvollständigen Daten unzutreffende Rückschlüsse auf eine Person
geschlossen werden können, haben Betroffene ein Recht, ihre Daten zu berichtigen und zu ergänzen.

Der Umgang mit dem Recht auf Berichtigung ist in der Verfahrensanweisung Betroffenenrechte
beschrieben.

4.4. Recht auf Löschung („Recht auf Vergessenwerden“) 19

Betroffene Personen haben das Recht, eine Löschung ihrer personenbezogenen Daten zu verlangen,
z.B. wenn die Daten für die Zwecke der Stabilus, für die sie ursprünglich erhoben wurden, nicht mehr
benötigt werden oder wenn die betroffene Person ihre Einwilligung widerruft.

Wenn Stabilus als Verantwortlicher die Informationen öffentlich gemacht hat, sind angemessene
Maßnahmen zu treffen, um die für die Datenverarbeitung Verantwortlichen darüber zu informieren,
dass die betroffene Person die Löschung beantragt hat („Recht auf Vergessenwerden“).

Jedoch müssen die Daten dann nicht gelöscht werden, wenn gesetzliche Verpflichtungen oder
gesetzliche Aufbewahrungsfristen erfüllt werden müssen (z.B. nach Handelsgesetzbuch,
Abgabenordnung oder Geldwäschegesetz).

Der Umgang mit dem Recht auf Löschung ist in der Verfahrensanweisung Betroffenenrechte
beschrieben.

4.5. Recht auf Einschränkung der Verarbeitung („Sperrung“) 20

Betroffene Personen haben das Recht, eine Einschränkung der Verarbeitung ihrer Daten zu verlangen,
z.B. wenn Stabilus als Verantwortlicher diese nicht mehr für die Zwecke der Verarbeitung benötigt, sie
aber von der betroffenen Person zur Begründung, Geltendmachung oder Abwehr von
Rechtsansprüchen benötigt werden.
17
Art. 15 DSGVO
18
Art. 16 DSGVO
19
Art. 17 DSGVO
20
Art. 18 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 12
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Stabilus wird als Verantwortlicher für die Verarbeitung der Daten angemessene Maßnahmen ergreifen,
um alle Personen, mit denen die Daten ausgetauscht wurden, über die geforderte Einschränkung zu
informieren.

Der Umgang mit dem Recht auf Einschränkung der Verarbeitung ist in der Verfahrensanweisung
Betroffenenrechte beschrieben.

4.6. Recht auf Datenübertragbarkeit 21

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie Stabilus
zur Verfügung gestellt hat, in einer strukturierten, gängigen und maschinenlesbaren Form zu erhalten.
Sie hat überdies das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch
Stabilus, zu übermitteln. Das gilt, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag
beruht und die Verarbeitung mithilfe automatisierte Verfahren erfolgt.

Der Umgang mit dem Recht auf Datenübertragbarkeit ist in der Verfahrensanweisung
Betroffenenrechte beschrieben.

4.7. Widerspruchsrecht 22

Betroffene Personen haben das Recht, jederzeit gegen die Verarbeitung sie betreffender
personenbezogener Daten Widerspruch einzulegen. Dies gilt speziell für Direktmarketing und Profiling.
Stabilus als Verantwortlicher verarbeitet diese personenbezogenen Daten dann nicht mehr, es sei
denn, Stabilus kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen oder die
Verarbeitung dient der Geltendmachung von Rechtsansprüchen.

Der Umgang mit dem Recht auf Datenübertragbarkeit ist in der Verfahrensanweisung
Betroffenenrechte beschrieben.

5. Auskunftsersuchen Dritter über Betroffene

Sollte eine Stelle personenbezogene Daten über Betroffene fordern (z.B. über Händler oder
Beschäftigte des Unternehmens), ist eine Weitergabe von Informationen nur zulässig, wenn

 die Auskunft gebende Stelle ein berechtigtes Interesse hierfür darlegen kann, und

 eine gesetzliche Norm zur Auskunft verpflichtet, sowie

 die Identität des Anfragenden oder der anfragenden Stelle zweifelsfrei feststeht.

6. Verzeichnis von Verarbeitungstätigkeiten23

Stabilus führt ein Verzeichnis über alle Verarbeitungstätigkeiten. Der Begriff der „Verarbeitung“24 ergibt
sich aus Ziffer 1.6 c und umfasst auch die Verarbeitung durch nicht computergestützte Verfahren.

Das Verzeichnis der Verarbeitungstätigkeiten ist ein Baustein, um der Rechenschaftspflicht zu

genügen. Es kann über die reine Dokumentation hinaus sinnvollerweise auch verwendet werden:

21
Art. 20 DSGVO
22
Art. 21 DSGVO
23
Art. 30 DSGVO
24
Art. 4 Nr. 2 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 13
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

 für eine Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b) DSGVO;

 für Zwecke der Rechenschafts- und Dokumentationspflicht, Art. 5 Abs. 2, Art. 24 DSGVO;

 als geeignete Maßnahme zur Erfüllung der Betroffenenrechte nach Art. 12 Abs. 1 DSGVO;

 zur Schaffung und als Nachweis geeigneter technisch-organisatorischer Maßnahmen nach Art. 24
Abs. 1 und Art. 32 DSGVO;

 zur Prüfung, ob eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO erfolgen muss;

 als Arbeitsgrundlage für den Datenschutzbeauftragten nach Art. 39 DSGVO.

Jede Fachabteilung stellt zu den bei ihnen eingesetzten Verfahren die Auszüge für das Verzeichnis
dem Datenschutzbeauftragten zur Verfügung. Dieser führt die einzelnen Teile zu einem
Gesamtverzeichnis zusammen.

Stabilus stellt bei Bedarf der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. Zuständig
hierfür ist der Datenschutzbeauftragte im Einvernehmen mit der Unternehmensleitung.

Die Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten ist in der
Verfahrensanweisung Neue Verfahren beschrieben, die Bestandteil dieser Richtlinie ist.

7. Auftragsverarbeitung und gemeinsam Verantwortlicher

7.1. Auftragsverarbeitung 25

Eine Auftragsverarbeitung liegt vor, wenn eine Stelle im Auftrag des Verantwortlichen
personenbezogene Daten verarbeitet. Verantwortlicher ist dabei die Stelle, die allein oder gemeinsam
mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Jede
Verarbeitung im Auftrag erfolgt nur auf Weisung des Verantwortlichen.

Die Verantwortung für die Einhaltung der Regelungen der DSGVO verbleibt grundsätzlich beim
Verantwortlichen. Dieser entscheidet über Zwecke und Mittel der Verarbeitung von
personenbezogenen Daten“. Er beauftragt den Auftragsverarbeiter als seinen „verlängerten Arm“ und
als quasi interne Stelle. Das ist z.B. beim Einsatz von Dienstleistern im IT- oder Personalbereich der
Fall, sofern diese auf Weisung des Verantwortlichen arbeiten.

Die Verarbeitung im Auftrag der Stabilus ist nur zulässig, wenn der Auftragsverarbeiter hinreichende
Garantien für den Schutz und die Rechte der betroffenen Person bietet und ein Vertrag entsprechend
den Vorgaben der DSGVO abgeschlossen wurde. Der Auftragsverarbeiter muss sorgfältig ausgewählt
und regelmäßig überprüft werden.

Dasselbe gilt, wenn eine Gesellschaft der Unternehmensgruppe personenbezogene Daten im Auftrag
einer anderen Gesellschaft derselben Unternehmensgruppe verarbeitet (z.B. im Bereich von IT-
Dienstleistungen).

Der Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne vorherige gesonderte oder
allgemeine Zustimmung des Verantwortlichen einsetzen. Bei allgemeiner vorheriger Zustimmung gibt
es eine Informationspflicht des Auftragsverarbeiters über vorgesehene Änderungen im Einzelfall und
ein Einspruchsrecht des Verantwortlichen.

25
Art. 28 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 14
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um

bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so sind diesem
weiteren Auftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten aufzuerlegen, die
in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem
Auftragsverarbeiter festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden
müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden,
dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere
Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter
gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters
(Art. 28 Abs. 4 DSGVO).

Die Verarbeitung personenbezogener Daten von EU-Bürgern ist untersagt, wenn die Verarbeitung
außerhalb der EU erfolgt, es sei denn, die besonderen Bedingungen für die Datenübermittlung sind
erfüllt (siehe hierzu Kapitel 15 dieser Richtlinie).

Der Einsatz von Auftragsverarbeitern ist in der Verfahrensanweisung Auftragsverarbeiter geregelt.

7.2. Gemeinsam Verantwortliche 26

Legen zwei oder mehr Verantwortliche (z. B. zwei Gesellschaften der Stabilus-Gruppe) gemeinsam die
Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche und bedürfen
einer schriftlichen Vereinbarung.

Die Unternehmen müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen
welche Verpflichtung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person
angeht, und wer welchen Informationspflichten nachkommt.

Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam
Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der
Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

In solchen Fällen ist der zuständige Datenschutzbeauftragte einzubeziehen.

7.3. Datenübermittlung in der Unternehmensgruppe 27

Der konzerninterne Datenaustausch auf gesetzlicher Grundlage wird durch die DSGVO vereinfacht. Er
richtet sich im Wesentlichen nach Art. 6 Abs. 1 lit. f DSGVO („berechtigtes Interesse“), wobei bei
sensitiven Daten, also im Fall von besonderen Kategorien personenbezogener Daten i.S.v. Ziffer 1.6.b,
zusätzlich die Anforderungen des Art. 9 DSGVO zu beachten sind, s. hierzu Ziff. 2.3 oben.

Die Vorschrift erlaubt die Datenverarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen
oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen
Person überwiegen. Der konzerninterne Datenaustausch ist als „berechtigtes Interesse“ privilegiert.
Teile einer Unternehmensgruppe können ein berechtigtes Interesse daran haben, personenbezogene
Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der
Verarbeitung personenbezogener Daten von Kunden oder Beschäftigen, zu übermitteln. Der Begriff
Verwaltungszwecke ist hier weit zu verstehen. Im Ergebnis folgt daraus, dass ein Datenaustausch im
Konzern damit grundsätzlich möglich ist und zwar ohne dass es dazu einer Auftragsdatenverarbeitung
bedarf (z.B. zentrale HR-Abteilung). Allerdings muss in diesen Fällen in jedem Einzelfall die Prüfung
26
Art. 26 DSGVO
27
Erwägungsgrund 48
Änderungsleiste Formular Rev. 0 ; Seite 15
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

der oben angesprochenen Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO (berechtigtes Interesse und
keine überwiegenden Interessen des Betroffenen) erfolgen und dokumentiert werden.

8. Externe Dienstleister

Dienstleister mit einem möglichen Zugriff auf personenbezogene Daten sind vor der Auftragserteilung
sorgfältig auszuwählen. Die Auswahl ist zu dokumentieren und sollte insbesondere die folgenden
Aspekte berücksichtigen:

 Fachliche Eignung des Auftragnehmers für den konkreten Datenumgang

 Technisch-organisatorische Sicherheitsmaßnahmen

 Erfahrung des Anbieters im Markt

 Sonstige Aspekte, die auf eine Zuverlässigkeit des Anbieters schließen lassen (Datenschutz-
Dokumentationen, Kooperationsbereitschaft, Reaktionszeiten etc.)

Soll ein Dienstleister personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, bedarf es
des Abschlusses eines Vertrags zur Auftragsverarbeitung, s. Ziffer 7.1. Hierin sind Datenschutz- und
IT-Sicherheitsaspekte zu regeln.

Der Dienstleister ist im Hinblick auf die mit ihm vertraglich vereinbarten technisch-organisatorischen
Maßnahmen regelmäßig zu überprüfen. Das Ergebnis ist zu dokumentieren.

Daneben sind die allgemeinen datenschutzrechtlichen Vorschriften zu beachten. Insbesondere muss

der Zugriff des externen Dienstleisters auf personenbezogene Daten rechtmäßig sein, d.h. es müssen
die Voraussetzungen eines oder mehrerer der in Ziff. 2.1.1 genannten Fälle erfüllt sein.

9. Sicherheit der Verarbeitung28

Stabilus trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten. Dabei werden der Stand der Technik, die
Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung
sowie die unterschiedlichen Eintrittswahrscheinlichkeiten berücksichtigt.

Damit werden die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
sichergestellt.

Zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten wird ein allgemeines
Sicherheitskonzept in Abhängigkeit der Schutzbedarfsfeststellung und Risikoanalyse erstellt, das für
alle Verfahren verbindlich ist. Hierin ist insbesondere der Stand der Technik ebenso zu
berücksichtigen, wie Mittel und Maßnahmen zur Verschlüsselung und Datensicherung. Das
Sicherheitskonzept ist hinsichtlich der Wirksamkeit der dort vorgesehenen technisch-organisatorischen
Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren.

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Türen
unbesetzter Räume sind zu verschließen. Wirksame Maßnahmen zur Zugangskontrolle an Geräten
müssen vorhanden und aktiviert sein. Systemzugänge sind in Abwesenheit stets zu sperren.

28
Art. 32 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 16
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Zugriffe auf personenbezogene Daten sollen nur diejenigen Personen erhalten, die im Zuge ihrer
Aufgabenwahrnehmung Kenntnis von den jeweiligen Daten erhalten müssen („Need-to-know-Prinzip“).
Zugriffsberechtigungen müssen genau und vollständig festgelegt und dokumentiert sein.

Datenübertragungen durch öffentliche Netze sind nach Möglichkeit zu verschlüsseln. Eine

Verschlüsselung hat zwingend zu erfolgen, falls der Schutzbedarf der personenbezogenen Daten dies
erfordert.

Zu unterschiedlichen Zwecken erhobene personenbezogene Daten sind getrennt voneinander zu

verarbeiten. Die Trennung von Daten ist durch geeignete technische und organisatorische Maßnahmen
sicherzustellen.

Die IT-Sicherheitsrichtlinien von Stabilus sind von allen Mitarbeitern strikt einzuhalten.

Die Dokumentationen im Bereich der Informationstechnologie werden von der IT-Abteilung erstellt und
gepflegt.

10. Data Protection by Default / by Design29

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen bedeutet, dass der

Schutz der Privatsphäre in allen Stufen der Datenverarbeitung („data life cycle management“) beachtet
und durch geeignete technische und organisatorische Maßnahmen gewährleistet wird. Primär geht es
um das Thema Datensparsamkeit – es sollen nur die personenbezogenen Daten verarbeitet werden,
die für den konkreten Verarbeitungszweck erforderlich sind.

Bei Einsatz neuer Verfahren ist dem Datenschutzbeauftragten ein entsprechender Auszug für das in
Kapitel 6 beschriebene Verzeichnis zur Verfügung zu stellen. Bei datenschutzrechtlichen Unklarheiten
ist der Datenschutzbeauftragte frühzeitig vor Einführung des Verfahrens zu kontaktieren.

11. Datenschutz-Folgenabschätzung30

Da auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten Risiken für die betroffenen
Personen entstehen können, sieht die DSGVO in bestimmten Fällen eine Datenschutz-
Folgenabschätzung (DSFA) vor.

Dabei handelt es sich um ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung
von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung
personenbezogener Daten. Die DSFA ist durchzuführen, wenn die Form der Verarbeitung,
insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände
und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat.

Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten
sichergestellt und die Einhaltung der DSGVO nachgewiesen werden kann.

Ob eine DSFA durchzuführen ist, d.h. die Erforderlichkeit einer DSFA, ergibt sich aus einer
Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“). Ergibt diese ein
voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der
Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich.

29
Art. 25 DSGVO
30
Art. 37 DSGVO; § 38 BDSG
Änderungsleiste Formular Rev. 0 ; Seite 17
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung
weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko),
muss nach Art. 36 DSGVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. Er trifft
unter Berücksichtigung der Empfehlungen der Aufsichtsbehörde eine Entscheidung, ob die
Verarbeitungsvorgänge angesichts der verbleibenden Restrisiken durchgeführt werden können und
ggf. welche zusätzlichen Abhilfemaßnahmen in diesem Fall zum Einsatz kommen sollen. Die
Aufsichtsbehörde kann ihrerseits die in Art. 58 DSGVO genannten Befugnisse ausüben und z. B. eine
Warnung, Anweisung oder Untersagung aussprechen.

Für die DSFA ist der betreffende Mitarbeiter verantwortlich, der das Verfahren einführt bzw. nutzt. Der
Rat des Datenschutzbeauftragten ist einzuholen, wenn eine DSFA durchzuführen ist, also
voraussichtlich ein hohes Risiko im oben beschriebenen Sinn besteht.31

Die Umsetzung der Datenschutz-Folgenabschätzung ist in der Verfahrensanweisung Datenschutz-

Folgenabschätzung beschrieben.

12. Meldepflichten bei Datenschutzverletzungen

Die Datenschutzgrundverordnung sieht im Falle einer Datenpanne („Verletzung des Schutzes

personenbezogener Daten“) eine abgestufte Meldepflicht vor:

 Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne
„voraussichtlich nicht zu einem Risiko“ oder „voraussichtlich nur zu einem geringen Risiko“ für den
Betroffenen führt.

 Eine Benachrichtigung der betroffenen Person muss dagegen nur erfolgen, wenn ein „hohes Risiko“
für deren Rechte und Freiheiten besteht.

12.1. Meldepflicht gegenüber der Aufsichtsbehörde 32

Jede Verletzung des Schutzes personenbezogener Daten (s. Definition in Ziffer 1.6 m) ist der
zuständigen Aufsichtsbehörde zu melden, es sei denn, dass sie „voraussichtlich nicht zu einem Risiko“
oder „voraussichtlich nur zu einem geringen Risiko“ für den Betroffenen führt.33 Die Meldepflicht besteht
für alle personenbezogenen Daten unabhängig von deren Sensitivität.

 Die Meldepflicht gilt nicht nur dann, wenn Dritte unbefugt Zugriff auf Daten erlangen, sondern in
jedem Fall der rechtswidrigen Datenverarbeitung.

 Die Meldepflicht gilt insbesondere auch bei jeder rechtswidrigen Zerstörung oder Veränderung von
Daten sowie beim rechtswidrigen Datenverlust.

 Die Meldepflicht besteht auch bei einer versehentlichen Zerstörung oder Veränderung von Daten
sowie bei einem versehentlichen Datenverlust.

 Für die Meldung gilt grundsätzlich eine Frist von maximal 72 Stunden. Kann die 72-Stunden-Frist
nicht eingehalten werden, hat Stabilus bei der Meldung an die Datenschutzbehörde die Gründe für
die Verzögerung anzugeben.

31
Art. 35 Abs. 2 DSGVO; Art. 39 Abs. 1 DSGVO
32
Art. 33 DSGVO
33
Art. 33 Abs. 1 DSGVO´; zu der erweiternden Auslegung von Art. 33 Abs. 1 DSGVO („voraussichtlich nur zu einem
geringen Risiko“) s. DSK-Kurzpapier Nr. 18 v. 26.04.2018, Ziffer III
Änderungsleiste Formular Rev. 0 ; Seite 18
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

 Die Meldung muss den Datenschutzverstoß ausführlich beschreiben einschließlich einer

Einschätzung der Auswirkungen und einer Beschreibung der Maßnahmen, die zur Begrenzung
der Auswirkungen ergriffen worden sind.

 Die Datenpanne, deren Auswirkungen und die nach der Panne ergriffenen Maßnahmen sind
umfassend zu dokumentieren.

Der Prozess ist im Einzelnen in der Verfahrensanweisung Meldepflichten beschrieben.

12.2. Meldepflicht gegenüber den Betroffenen 34

Wenn eine Datenpanne mit einem „hohen Risiko“ für die Betroffenen verbunden ist, schreibt die
Datenschutzgrundverordnung deren Benachrichtigung vor. Diese muss klar und in einfacher Sprache
formuliert sein.35 Entscheidend ist, dass der Betroffene verstehen kann, was passiert ist um
einzuschätzen, welche Risiken für ihn durch das Ereignis bestehen und welche Maßnahmen er
ergreifen kann.

Unter bestimmten Voraussetzungen ist die Benachrichtigung der betroffenen Person entbehrlich. Das
gilt für folgende Konstellationen:

 Der Verantwortliche hat in Bezug auf die vom sicherheitsrelevanten Ereignis betroffenen Daten
vorab geeignete Sicherheitsvorkehrungen getroffen die einen Drittzugriff ausschließen, z.B. durch
Verschlüsselung. In einem solchen Fall kann sich das Risiko für die Betroffenen also praktisch
nicht verwirklichen.

 Das Unternehmen hat durch nachträgliche Maßnahmen dafür gesorgt, dass das hohe Risiko für
die Betroffenen „aller Wahrscheinlichkeit nach“ nicht mehr besteht. Das wäre z.B. der Fall, wenn
gestohlene Zugangsdaten durch neue Daten ersetzt werden.

 Wenn eine individuelle Benachrichtigung einen unverhältnismäßigen Aufwand bedeuten würde, ist
auch eine öffentliche Bekanntmachung zulässig, wenn hierdurch eine wirksame Information der
Betroffenen gewährleistet ist.

Der Prozess ist im Einzelnen in der Verfahrensanweisung Meldepflichten beschrieben.

12.3 Meldung an den Datenschutzbeauftragten

Jede Datenpanne, also auch eine solche, die nur zu einem geringen Risiko für den Betroffenen führt,
ist dem Datenschutzbeauftragten zu melden, damit er eine Dokumentation gemäß Art. 33 Abs. 5
DSGVO führen kann. Dabei sind unter Verwendung des Meldeformulars SCL-007 alle im
Zusammenhang mit der Datenpanne stehenden Fakten, ihre Auswirkungen und die ergriffenen
Abhilfemaßnahmen anzugeben.

Der Prozess ist im Einzelnen in der Verfahrensanweisung Meldepflichten beschrieben.

34
Art. 34 DSGVO
35
Art. 34 Abs. 2 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 19
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

13. Datengeheimnis

Beschäftigten ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu

nutzen. Sie sind vor Aufnahme ihrer Tätigkeit auf einen vertraulichen Umgang mit personenbezogenen
Daten zu verpflichten. Die Verpflichtung erfolgt durch die Personalabteilung unter Verwendung des
hierzu vorgesehenen Formulars.

Mitarbeiter mit besonderen Geheimhaltungsverpflichtungen (z. B. Fernmeldegeheimnis nach § 88

TKG) werden ergänzend darauf schriftlich verpflichtet.

14. Übermittlung personenbezogener Daten

a) Eine Übermittlung personenbezogener Daten innerhalb des Landes, in dem die Daten erhoben
wurden, innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR)
(einschließlich der Verarbeitung in einem Drittland nach der Übermittlung) ist grundsätzlich
zulässig, wenn die Verarbeitung der Daten auch nach der DSGVO zulässig ist.

b) Die Übermittlung personenbezogener Daten aus einem EU/EWR-Land in ein Drittland (außerhalb
der EU/EWR) ist nur zulässig, wenn zusätzliche Voraussetzungen erfüllt sind. Die Übermittlung ist
erlaubt,

 wenn die Europäische Kommission entschieden hat, dass das Drittland ein angemessenes
Schutzniveau gewährleistet ("Angemessenheitsentscheidung", z. B. Schweiz); 36 oder

 wenn die empfangende Partei angemessene Garantien geboten hat (z. B. verbindliche
interne Datenschutzvorschriften/Binding Corporate Rules, von der Kommission
angenommene Standarddatenschutzklauseln, genehmigte Verhaltensregeln); 37 oder

 aufgrund von Urteilen eines Gerichts oder einer Entscheidung einer Verwaltungsbehörde,
wenn diese auf ein internationales Abkommen gestützt sind; 38 oder

 wenn die Übermittlung in besonderen Situationen erfolgt (z. B. ausdrückliche Einwilligung der
betroffenen Person, die für die Erfüllung eines Vertrags erforderlich ist und zur Begründung,
Geltendmachung oder Verteidigung rechtlicher Ansprüche erforderlich ist, die zum Schutz
lebenswichtiger Interessen der betroffenen Person erforderlich sind); 39 oder

 wenn die Übermittlung für die Wahrung der zwingenden berechtigten Interessen des
Verantwortlichen erforderlich ist und der Verantwortliche die Aufsichtsbehörde unterrichtet.40

Allerdings ist die Übermittlung in ein Drittland auch in diesen Fällen kritisch zu sehen.
Insbesondere zeigt die so genannte Safe Harbor-Entscheidung des EuGH vom 06.10.2015, dass
scheinbar ausreichende Rechtfertigungsgründe für den Datentransfer in ein Drittland im
Nachhinein als unzureichend angesehen werden können. Daher sind grundsätzlich Verfahren
vorzugswürdig, bei denen es nicht zur Übermittlung in Drittländer kommt.

36
Art. 45 DSGVO
37
Art. 46 DSGVO
38
Art. 48 DSGVO
39
Art. 49 DSGVO
40
Art. 49 (1) DSGVO.
Änderungsleiste Formular Rev. 0 ; Seite 20
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

15. Werbung

Die werbliche Ansprache von Betroffenen per Brief, Telefon, Fax, oder E-Mail ist grundsätzlich nur
zulässig, wenn der Betroffene zuvor in die Verwendung seiner Daten zu Werbezwecken eingewilligt
hat.

Ausnahmen sind nur beim Vorliegen einer Erlaubnisnorm zulässig. Bitte konsultieren Sie im Zweifel
den Datenschutzbeauftragten.

16. Datenverarbeitung im Beschäftigungskontext

Im Beschäftigungskontext gelten die speziellen Regelungen nach § 26 BDSG für die Verarbeitung
personenbezogener Daten von Mitarbeitern.

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses

verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des
Beschäftigungsverhältnisses erforderlich ist.41

Die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen ist zulässig. 42
Dazu gehören Tarifverträge sowie Betriebsvereinbarungen.43 Die Verhandlungspartner haben die
inhaltlichen Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten. Demnach sind angemessene und
besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der
Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass
Kollektivvereinbarungen nicht das Schutzniveau der DSGVO absenken.

17. Schulung

Beschäftigte, die ständig oder regelmäßig Zugang zu personenbezogenen Daten haben, solche Daten
erheben oder Systeme zur Verarbeitung solcher Daten entwickeln, sind in geeigneter Weise über die
datenschutzrechtlichen Vorgaben zu schulen. Die Schulungen sind in regelmäßigen Abständen zu
wiederholen, wobei Wiederholungsschulungen ggf. kürzer gehalten werden können als
Erstschulungen.

Die Schulung findet über eine Präsenzschulung oder als E-Learning statt.

Die Personalabteilung dokumentiert die Teilnahme und ermittelt regelmäßig mit der Fachabteilung den
Schulungsbedarf.

Die Personalabteilung stimmt sich mit der Fachabteilung über die Schulungen ab und organisiert sie
(Einladung der Teilnehmer, Räumlichkeiten, Nachweise der erfolgten Teilnahme). Der
Datenschutzbeauftragte soll bei der Organisation hinzugezogen werden.

18. Interne Ermittlungen

Maßnahmen zur Sachverhaltsaufklärung und zur Vermeidung oder Aufdeckung von Straftaten oder
schwerwiegenden Pflichtverletzungen im Arbeitsverhältnis sind unter genauer Beachtung der

41
§ 26 Abs. 1 Satz 1 BDSG
42
§ 26 Abs. 1 Satz 1 und Abs. 4 BDSG
43
Erwägungsgrund 155
Änderungsleiste Formular Rev. 0 ; Seite 21
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1

einschlägigen gesetzlichen Datenschutzvorschriften durchzuführen. Insbesondere muss die damit

einhergehende Datenerhebung und -verwendung zum Erreichen des Ermittlungszwecks erforderlich,
angemessen und mit Blick auf die schutzwürdigen Interessen des Betroffenen verhältnismäßig sein.

Der Betroffene ist so bald wie möglich über die zu seiner Person durchgeführten Maßnahmen zu
informieren.

Bei allen Formen der internen Ermittlungen ist der Datenschutzbeauftragte hinsichtlich der Auswahl
und Ausgestaltung der Maßnahmen vorab einzubeziehen.

19. Rechtsbehelfe, Haftung und Sanktionen

Es gibt folgende Rechtsbehelfe:

 Recht der betroffenen Person auf Beschwerde bei einer Aufsichtsbehörde44,

 Recht einer natürlichen oder juristischen Person auf einen wirksamen Rechtsbehelf gegen eine
Aufsichtsbehörde45,

 Recht der betroffenen Person auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen
Verantwortlichen oder einen Auftragsverarbeiter 46 und

 Recht der betroffenen Person, eine gemeinnützige Einrichtung, Organisation oder Vereinigung zu
beauftragen.47

Verletzungen des Datenschutzes können zu Ansprüchen der betroffenen Personen auf Ersatz von
materiellen oder immateriellen Schäden führen.48 Die Behörden können erhebliche Bußgelder
verhängen.48

Verstöße können nach BDSG strafrechtlich verfolgt werden.49

Ein Verstoß gegen diese Richtlinie oder die Verfahrensanweisungen kann arbeitsrechtliche
Maßnahmen bis hin zur Kündigung des Arbeitsverhältnisses nach sich ziehen. Bei einem Verstoß
gegen die gesetzlichen Anforderungen des Datenschutzes kommen auch strafrechtliche und
zivilrechtliche Folgen in Betracht.

44
Art. 77 DSGVO
45
Art. 78 DSGVO
46
Art. 79 DSGVO
47
Art. 80 DSGVO
48
Art. 83 DSGVO
49
Art. 84 DSGVO; §§ 41ff. BDSG
Änderungsleiste Formular Rev. 0 ; Seite 22
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005