Beruflich Dokumente
Kultur Dokumente
:
Datenschutz SCL-V 002
Verteiler : Sxx, DExx (alle Bereiche STDE) Bezug auf IMS (Prozessnr.) : CF11
Gültigkeit für : STAB, STAU, STBR, STCN, STDE, STES, STIT, STKR, STMX, STNZ, STRO, STUS
Zur Information : STAB, STAU, STBR, STCN, STDE, STES, STIT, STKR, STMX, STNZ, STRO, STUS
1. Grundsatz
Diese VA gilt für die Stabilus GmbH und die Stable Beteiligungs GmbH.
2. Abwicklung
3. Verantwortung, Kontrolle
Die Verantwortung für die Einhaltung dieser VA liegt für jeden Bereich bei jedem einzelnen Mitarbeiter.
Die Kontrolle führt der Bereichsleiter.
Anlage
SQ / J. Balmert SPP / W. Brohl SCL / M. Lang Unterschriften nur auf dem Original.
Änderungsleiste Inhalt
2 Überarbeitung 17.01.2020 SCL/M. Lang 09.03.2020
0 Erstausgabe, ersetzt SCC-V002 30.06.2016 SCL/M. Lang
Revision Grund/Art der Revision Revisionsdatum Revision durch Gültig ab
Änderungsleiste Formular
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
Dieses Dokument wurde am 25.10.23 gedruckt.
Derzeit gültige Dateiversion auf dem PC-Netz der herausgebenden Geschäftseinheit.
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Unternehmensrichtlinie Datenschutz
Inhalt
1. Allgemeine Bestimmungen.........................................................................................................3
1.1. Einführung...............................................................................................................................3
1.2. Systematik...............................................................................................................................3
1.3. Anwendungsbereich................................................................................................................3
1.3.1. Sachlicher Anwendungsbereich..........................................................................................3
1.3.2. Anwendungsbereich............................................................................................................4
1.4. Rechtsvorschriften...................................................................................................................4
1.5. Änderung der Richtlinie...........................................................................................................4
1.6. Begriffsbestimmungen und Definitionen..................................................................................4
2. Grundsätze.................................................................................................................................6
2.1. Grundprinzipien für die Verarbeitung personenbezogener Daten...........................................6
2.1.1. Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) ................................................................6
2.1.2. Treu und Glauben (Verhältnismäßigkeit) ............................................................................6
2.1.3. Transparenz ........................................................................................................................6
2.1.4. Zweckbindung .....................................................................................................................6
2.1.5. Datenminimierung ...............................................................................................................7
2.1.6. Richtigkeit ...........................................................................................................................7
2.1.7. Speicherbegrenzung ...........................................................................................................7
2.1.8. Integrität und Vertraulichkeit ...............................................................................................7
2.1.9. Rechenschaftspflicht ...........................................................................................................8
2.2. Bedingungen für die Einwilligung ...........................................................................................8
2.3. Verarbeitung besonderer Kategorien personenbezogener Daten und von Daten über
Straftaten............................................................................................................................................8
3. Verantwortlicher und Zuständigkeiten.........................................................................................9
3.1. Geschäftsführung....................................................................................................................9
3.2. Fachabteilungen......................................................................................................................9
3.3. Mitarbeiter.............................................................................................................................10
3.4. Datenschutzbeauftragter.......................................................................................................10
4. Rechte der betroffenen Person.................................................................................................11
4.1. Informationspflichten.............................................................................................................11
4.2. Auskunftsrecht der betroffenen Person.................................................................................12
4.3. Recht auf Berichtigung .........................................................................................................12
4.4. Recht auf Löschung („Recht auf Vergessenwerden“) ..........................................................12
4.5. Recht auf Einschränkung der Verarbeitung („Sperrung“) .....................................................13
4.6. Recht auf Datenübertragbarkeit ...........................................................................................13
4.7. Widerspruchsrecht ...............................................................................................................13
5. Auskunftsersuchen Dritter über Betroffene...............................................................................13
6. Verzeichnis von Verarbeitungstätigkeiten.................................................................................14
7. Auftragsverarbeitung und gemeinsam Verantwortlicher...........................................................14
7.1. Auftragsverarbeitung ............................................................................................................14
7.2. Gemeinsam Verantwortlicher ...............................................................................................15
7.3. Datenübermittlung in der Unternehmensgruppe ..................................................................15
8. Externe Dienstleister.................................................................................................................16
9. Sicherheit der Verarbeitung......................................................................................................16
10. Data Protection by Default / by Design.................................................................................17
11. Datenschutz-Folgenabschätzung..........................................................................................17
12. Meldepflichten bei Datenschutzverletzungen........................................................................18
12.1. Meldepflicht gegenüber der Aufsichtsbehörde .................................................................18
12.2. Meldepflicht gegenüber den Betroffenen ..........................................................................19
13. Datengeheimnis....................................................................................................................20
14. Übermittlung personenbezogener Daten..............................................................................20
15. Werbung................................................................................................................................21
16. Datenverarbeitung im Beschäftigungskontext.......................................................................21
17. Schulung...............................................................................................................................21
18. Interne Ermittlungen..............................................................................................................22
19. Rechtsbehelfe, Haftung und Sanktionen...............................................................................22
1. Allgemeine Bestimmungen
1.1. Einführung
Für Stabilus ist der Schutz von personenbezogenen Daten („Datenschutz“) ein zentrales Thema. Jeder
hat das Recht, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen
Daten zu bestimmen („Informatielles Selbstbestimmungsrecht“). Datenschutz ist aber auch wichtig für
vertrauensvolle Geschäftsbeziehungen und die Reputation unseres Unternehmens.
Ebenso wichtig ist für Stabilus, dass auch solche Informationen vertraulich behandelt werden, die keine
personenbezogenen Daten beinhalten, und dass die von Stabilus verwendeten Daten richtig und
verfügbar sind. Vertraulichkeit, Integrität und Verfügbarkeit von Daten („Datensicherheit“) sind daher in
unserem Unternehmen zu gewährleisten.
Diese Unternehmensrichtlinie dient zur Umsetzung der oben beschriebenen Grundsätze des
Datenschutzes und der Datensicherheit bei Stabilus. Sie wird von der Geschäftsführung uneingeschränkt
unterstützt.
1.2. Systematik
Diese Unternehmensrichtlinie ist eine Rahmenrichtlinie, die durch Verfahrensanweisungen ergänzt wird.
Zusammen legen sie die Regeln zur Verarbeitung personenbezogener Daten – insbesondere von
Mitarbeitern, Bewerbern, Kunden sowie Geschäftspartnern - in Übereinstimmung mit den anwendbaren
Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit bei Stabilus fest.
a) Verfahrensanweisung Datenlöschung
b) Verfahrensanweisung Telefax
c) Verfahrensanweisung Clean Desk
d) Verfahrensanweisung Entsorgung vertraulicher Unterlagen
e) Verfahrensanweisung Betroffenenrechte
f) Verfahrensanweisung Informationspflichten
g) Verfahrensanweisung Neue Verfahren
h) Verfahrensanweisung Auftragsverarbeiter
i) Verfahrensanweisung Datenschutz-Folgenabschätzung
j) Verfahrensanweisung Meldepflichten
1.3. Anwendungsbereich
Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten, die elektronisch (automatisiert) oder
in Papierform (nicht automatisiert) verarbeitet und in einem Dateisystem gespeichert werden.1
Bestehende gesetzliche Verpflichtungen sind von dieser Richtlinie nicht berührt und sind somit zusätzlich
zu erfüllen.
1.3.2. Anwendungsbereich
Diese Richtlinie gilt für die Stabilus GmbH und die Stable Beteiligungs GmbH („Stabilus“).
1
Art. 2 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 3
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
1.4. Rechtsvorschriften
Diese Richtlinie basiert auf den Bestimmungen der am 25. Mai 2018 in Kraft getretenen Datenschutz-
Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Die Geschäftsführung von Stabilus behält sich vor, diese Richtlinie zu ändern oder zu ergänzen. Die
Beschäftigten müssen sich an die Bestimmungen dieser Richtlinie halten.
a) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar
wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die
Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen
oder sozialen Identität dieser natürlichen Person sind; Hierzu zählen z.B. Namensangaben, Adress-
und Kommunikationsdaten einschl. E-Mailadresse, Geburtsdatum, Kreditkartennummer, IP-
Adresse, Benutzername und Kundennummer;
b) „Besondere Kategorien personenbezogener Daten“ sind personenbezogene Daten, aus denen die
rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten,
biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, Art. 9 Abs. 1
DSGVO;
c) „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie
das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder
Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung,
Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung;
d) „Einschränkung der Verarbeitung“ ist die Markierung gespeicherter personenbezogener Daten mit
dem Ziel, ihre künftige Verarbeitung einzuschränken; ein anderer Begriff hierfür ist „Sperren“;
e) „Profiling“ ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin
besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte
bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen,
Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu
analysieren oder vorherzusagen;
f) „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die
personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer
spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen
unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder
identifizierbaren natürlichen Person zugewiesen werden;
h) „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung
von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch
das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche
beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem
Recht der Mitgliedstaaten vorgesehen werden;
i) „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
j) „Empfänger“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr
um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten
Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise
personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser
Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden
Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
k) „Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer
der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die
unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt
sind, die personenbezogenen Daten zu verarbeiten;
l) „Einwilligung“ der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter
Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt,
dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
m) „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit,
die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder
zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen
Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
2. Grundsätze
In Art. 5 DSGVO sind wesentliche Grundsätze für die Verarbeitung personenbezogener Daten
aufgeführt. Dieser Prinzipienkatalog gilt auch bei Stabilus und umfasst folgende Punkte.
Die Verarbeitung personenbezogener Daten muss rechtmäßig erfolgen. Es gilt das „Verbot mit
Erlaubnisvorbehalt“, d.h. die Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn
d) die Verarbeitung erforderlich ist, um lebenswichtige Interesse der betroffenen Person oder einer
anderen natürlichen Person zu schützen;
e) die Verarbeitung für die Wahrung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt
und/oder
f) die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten
erforderlich ist und die Interessen oder Grundrechte und -freiheiten der betroffenen Person nicht
überwiegen.
Die Verarbeitung personenbezogener Daten erfolgt nach Treu und Glauben und transparent. Dieser
Grundsatz entspricht dem „Verhältnismäßigkeitsprinzip“, d.h. die Verarbeitung personenbezogener
Daten muss zur Verwirklichung eines legitimen Zwecks geeignet und das mildeste aller gleich
effektiven Mittel zur Verwirklichung dieses Zwecks sein.
2.1.3. Transparenz 5
Personenbezogene Daten müssen für die betroffene Person nachvollziehbar verarbeitet werden. Sie
soll wissen, wie und von wem ihre personenbezogenen Daten in welchem Umfang verarbeitet werden
oder künftig verarbeitet werden sollen.
2.1.4. Zweckbindung 6
Personenbezogene Daten werden für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und
dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Änderungen des Verarbeitungszweckes sind nur erlaubt, wenn sie mit dem ursprünglichen
2
Art. 5 DSGVO
3
Art. 5 Abs. 1 lit. a) DSGVO
4
Art. 5 Abs. 1 lit. a) DSGVO
5
Art. 5 Abs. 1 lit. a) DSGVO
6
Art. 5 Abs. 1 lit. b) DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 6
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Erhebungszweck vereinbar sind. Eine Änderung des Verarbeitungszweckes ist daher immer auf seine
datenschutzrechtliche Zulässigkeit zu prüfen.
2.1.5. Datenminimierung 7
Personenbezogene Daten müssen dem Zweck angemessen und sachlich relevant sein. Die
Datenverarbeitung muss auf das für den Zweck notwendige Maß beschränkt sein. Daten sind zu
löschen, wenn sie nicht mehr erforderlich sind. Die Fachabteilungen stellen sicher, dass die deutschen
Aufbewahrungsfristen und Löschungsanforderungen eingehalten werden.
Alle Mitarbeiter überprüfen ihre Unterlagen regelmäßig (mindestens einmal pro Jahr) und löschen sie
gegebenenfalls, um die Einhaltung der deutschen Anforderungen sicherzustellen. Die Abteilungsleiter
kontrollieren, ob ihre Mitarbeiter diese Anforderungen umsetzen.
2.1.6. Richtigkeit 8
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neusten Stand sein.
Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick
auf den Zweck ihrer Verarbeitung als unrichtig identifiziert werden, unverzüglich gelöscht oder
berichtigt werden.
2.1.7. Speicherbegrenzung 9
Die Verpflichtung zur Speicherbegrenzung überschneidet sich mit dem Gebot der Datenminimierung
und verstärkt die Verpflichtung zu einer regelmäßigen Löschroutine. Es sind Fristen für Löschung und
Überprüfung vorzusehen.
Personenbezogene Daten dürfen nur solange verarbeitet werden, solange dies für die Verwirklichung
der mit ihrer Verarbeitung verfolgten Zwecke erforderlich ist. Dieser Grundsatz wird unterstützt durch
die in Art. 17 DSGVO festgelegten Löschpflichten, insbesondere wenn sie nicht mehr notwendig sind
oder eine erforderliche Einwilligung zur Verarbeitung widerrufen wurde. Auch ist der Grundsatz der
Richtigkeit zu beachten, s. Ziffer 2.1.6: Daten sind auch dann zu löschen oder zu korrigieren, wenn sie
unrichtig oder veraltet sind.
Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung durch
geeignete technische oder organisatorische Maßnahmen.
Zu besonders risikobehafteten Themen hat Stabilus spezielle Vorschriften erlassen. Siehe hierzu
Verfahrensanweisung Telefax, Verfahrensanweisung Clean Desk sowie Verfahrensanweisung
Entsorgung vertraulicher Unterlagen.
7
Art. 5 Abs. 1 lit. c) DSGVO
8
Art. 5 Abs. 1 lit. d) DSGVO
9
Art. 5 Abs. 1 lit. e) DSGVO
10
Art. 5 Abs. 1 lit. f) DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 7
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
2.1.9. Rechenschaftspflicht 11
Stabilus ist als Verantwortlicher i.S. Art. 4 lit. 7 DSGVO dafür verantwortlich, dass die Einhaltung der
oben genannten Grundsätze der DSGVO nachgewiesen werden kann.
Die DSGVO stellt ausdrücklich klar, dass es die Pflicht des Verantwortlichen ist, sicherzustellen und
nachzuweisen, dass die Datenverarbeitungen im Einklang mit den Regelungen der DSGVO stehen. Es
sind daher alle Bereiche und jeder einzelne Beschäftigte angehalten, zu kontrollieren und
sicherzustellen, dass für Datenverarbeitungen, die von ihnen durchgeführt werden, dieser Nachweis
auch erbracht werden kann.12
Stützt sich die Verarbeitung personenbezogener Daten auf eine Einwilligung, ist sie nur rechtmäßig,
wenn sie durch eine eindeutige bestätigende Handlung erfolgt, mit der freiwillig, für den konkreten Fall,
in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der
Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.14
a) die Einwilligung ist in einem Format aufzubewahren, das zum Nachweis der Einwilligung der
betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten verwendet werden kann;
b) das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren
und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu
unterscheiden ist;
c) die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Die betroffene
Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.
2.3. Verarbeitung besonderer Kategorien personenbezogener Daten 15 und von Daten über Straftaten
Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß der Definition in Ziffer 1.6 b
(z.B. Daten bezüglich Religion oder Gesundheitsdaten) ist nur erlaubt, wenn ein oder mehrere der
folgenden Fälle vorliegen, wobei für Stabilus vor allem die Fälle a, b und f von Bedeutung sind:
11
Art. 5 Abs. 2 DSGVO
12
Art. 24 Abs. 1 DSGVO
13
Art. 7 DSGVO
14
Erwägungsgrund 32.
15
Art. 9 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 8
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person
offensichtlich öffentlich gemacht hat;
f) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Beurteilung der Arbeitsfähigkeit der
Beschäftigten oder der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
erforderlich, sofern die Daten von Fachpersonal verarbeitet werden, das dem Berufsgeheimnis
unterlegt;
g) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen
Gesundheit erforderlich. In diesen Fällen müssen diese Daten von Fachpersonal, das dem
Berufsgeheimnis unterliegt, oder unter dessen Verantwortung oder durch eine andere Person
verarbeitet werden, die ebenfalls einer Geheimhaltungspflicht unterliegt (Art. 9 DSGVO).
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder
damit zusammenhängende Sicherungsmaßregeln darf nur unter behördlicher Aufsicht vorgenommen
werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete
Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist (Art. 10
DSGVO).
3.1. Geschäftsführung
Die Geschäftsführung ist die Leitung des für die Verarbeitung Verantwortlichen i.S. Art. 4 lit. 7
DSGVO.
Sie ist befugt, die Umsetzung der DSGVO mittels Anweisung und Richtlinienumzusetzen und zu
überwachen, ggf. durch Delegation an die Fachabteilungen.
Sie stellt erforderliche finanzielle, sachliche und personelle Ressourcen zur Umsetzung der
Datenschutzorganisation bereit.
Sie bestellt einen Datenschutzbeauftragten und veröffentlicht dessen Kontaktdaten. Sie teilt
dessen Namen und Kontaktdaten der zuständigen Aufsichtsbehörde mit.
3.2. Fachabteilungen
Die Fachabteilungen führen die Anweisungen der Unternehmensleitung zur Umsetzung der
DSGVO aus.
Die Fachabteilungen haben die Prozessverantwortung; diese umfasst insbesondere die Definition
der Schnittstellen (auch zum Datenschutz) und die Erfüllung von Dokumentationspflichten (z.B.
Sie sind für die Vermeidung datenschutzrechtlicher Risiken durch Prozess-, Produkt- und
Technikgestaltung, d.h. privacy by design/default, Löschkonzept usw. verantwortlich.
Sie sind für die arbeitsplatzbezogene Instruktion des einzelnen Mitarbeiters und für die Ermittlung
des Schulungsbedarfs und Meldung desselben an die Personalabteilung (s.u. Ziff. 17)
verantwortlich.
Sie binden den Datenschutzbeauftragten bei Zweifeln zur Rechtmäßigkeit von Maßnahmen oder
Umsetzung des Datenschutzes, insbesondere bei der Planung oder Änderung von Verfahren,
frühzeitig ein.
Sofern nicht abweichend in der Abteilung geregelt, trägt der jeweilige Bereichsleiter die
Verantwortung für die Einhaltung der obigen Fachabteilungs-Pflichten.
3.3. Mitarbeiter
Mitarbeiter machen sich mit internen Regelungen und gesetzlichen Vorschriften zum Datenschutz
vertraut und halten diese ein.
Mitarbeiter sind der Verschwiegenheit verpflichtet. Diese Verpflichtung besteht auch über das
Ende des Beschäftigungsverhältnisses hinaus.
Bei Datenschutzverstößen können sie persönlich gegenüber dem Arbeitgeber bzw. den
betroffenen Personen haften; Mitarbeiter können auch möglicher Adressat von
Bußgeldbescheiden sein.
3.4. Datenschutzbeauftragter
Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen und seine Beschäftigten, die
Verarbeitungen durchführen, hinsichtlich ihrer Datenschutzpflichten (Art. 39 Abs. 1 lit. a DSGVO).
Der Datenschutzbeauftragte nimmt seine Aufgaben weisungsfrei und unter Anwendung seines
Fachwissens wahr. Er berichtet unmittelbar der Unternehmensleitung (Art. 38 Abs. 3 DSGVO).
Er arbeitet mit der Aufsichtsbehörde zusammen und ist Anlaufstelle für die Aufsichtsbehörde (Art.
39 Abs. 1 lit. e DSGVO).
Er berät die betroffenen Personen zu allen mit der Verarbeitung ihrer personenbezogenen Daten
und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehenden
Fragen (Art. 38 Abs. 4 DSGVO).
Der Datenschutzbeauftragte nimmt seine Aufgaben risikoorientiert wahr. Er trägt bei der Erfüllung
seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung,
wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt (Art.
39 Abs. 2 DSGVO).
Der Datenschutzbeauftragte von Stabilus ist erreichbar unter datenschutz@stabilus.com bzw.
unter der Telefonnummer 0261/8900 621.
Auskunftsrecht
Widerspruchsrecht
Stabilus hat erforderliche Maßnahmen zu treffen, um die Identität der betroffenen Person zu
überprüfen, bevor sie auf die Geltendmachung der oben genannten Rechte antwortet. Alle
Informationen und Mitteilungen im Zusammenhang mit der Datenverarbeitung müssen für die
betroffene Person in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer
klaren und verständlichen Sprache vorliegen. Die Informationen sind schriftlich oder auf andere Weise,
gegebenenfalls auch elektronisch, zu übermitteln. Der Verantwortliche stellt unverzüglich, in jedem Fall
aber innerhalb eines Monats nach Eingang der Anfrage Informationen zur Verfügung.
Der Umgang mit den Rechten der betroffenen Person ist in der Verfahrensanweisung
Betroffenenrechte geregelt, die Bestandteil dieser Richtlinie ist.
4.1. Informationspflichten16
Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte. Nur wenn die
betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese
Rechte auch ausüben. Unabhängig davon, ob Stabilus personenbezogene Daten direkt von der
betroffenen Person erhebt oder nicht, müssen der betroffenen Person die Informationen zur Verfügung
gestellt werden.
16
Art. 14 und 14 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 11
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Dies muss entweder zum Zeitpunkt der Datenerhebung oder innerhalb einer angemessenen Frist nach
Erlangung der Daten von einer anderen Person erfolgen. Dies muss jedoch spätestens innerhalb eines
Monats erfolgen.
Die betroffene Person hat das Recht, von Stabilus als Verantwortlichem eine Bestätigung darüber zu
verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn das der Fall ist, so
ist der betroffenen Person auf Verlangen Auskunft über die personenbezogenen Daten und weitere
Informationen zu erteilen, insbesondere zu den Zwecken der Verarbeitung, den betroffenen Kategorien
personenbezogener Daten und der Rechtsgrundlage der Datenverarbeitung.
Da aus unrichtigen und unvollständigen Daten unzutreffende Rückschlüsse auf eine Person
geschlossen werden können, haben Betroffene ein Recht, ihre Daten zu berichtigen und zu ergänzen.
Der Umgang mit dem Recht auf Berichtigung ist in der Verfahrensanweisung Betroffenenrechte
beschrieben.
Betroffene Personen haben das Recht, eine Löschung ihrer personenbezogenen Daten zu verlangen,
z.B. wenn die Daten für die Zwecke der Stabilus, für die sie ursprünglich erhoben wurden, nicht mehr
benötigt werden oder wenn die betroffene Person ihre Einwilligung widerruft.
Wenn Stabilus als Verantwortlicher die Informationen öffentlich gemacht hat, sind angemessene
Maßnahmen zu treffen, um die für die Datenverarbeitung Verantwortlichen darüber zu informieren,
dass die betroffene Person die Löschung beantragt hat („Recht auf Vergessenwerden“).
Jedoch müssen die Daten dann nicht gelöscht werden, wenn gesetzliche Verpflichtungen oder
gesetzliche Aufbewahrungsfristen erfüllt werden müssen (z.B. nach Handelsgesetzbuch,
Abgabenordnung oder Geldwäschegesetz).
Der Umgang mit dem Recht auf Löschung ist in der Verfahrensanweisung Betroffenenrechte
beschrieben.
Betroffene Personen haben das Recht, eine Einschränkung der Verarbeitung ihrer Daten zu verlangen,
z.B. wenn Stabilus als Verantwortlicher diese nicht mehr für die Zwecke der Verarbeitung benötigt, sie
aber von der betroffenen Person zur Begründung, Geltendmachung oder Abwehr von
Rechtsansprüchen benötigt werden.
17
Art. 15 DSGVO
18
Art. 16 DSGVO
19
Art. 17 DSGVO
20
Art. 18 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 12
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Stabilus wird als Verantwortlicher für die Verarbeitung der Daten angemessene Maßnahmen ergreifen,
um alle Personen, mit denen die Daten ausgetauscht wurden, über die geforderte Einschränkung zu
informieren.
Der Umgang mit dem Recht auf Einschränkung der Verarbeitung ist in der Verfahrensanweisung
Betroffenenrechte beschrieben.
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie Stabilus
zur Verfügung gestellt hat, in einer strukturierten, gängigen und maschinenlesbaren Form zu erhalten.
Sie hat überdies das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch
Stabilus, zu übermitteln. Das gilt, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag
beruht und die Verarbeitung mithilfe automatisierte Verfahren erfolgt.
Der Umgang mit dem Recht auf Datenübertragbarkeit ist in der Verfahrensanweisung
Betroffenenrechte beschrieben.
4.7. Widerspruchsrecht 22
Betroffene Personen haben das Recht, jederzeit gegen die Verarbeitung sie betreffender
personenbezogener Daten Widerspruch einzulegen. Dies gilt speziell für Direktmarketing und Profiling.
Stabilus als Verantwortlicher verarbeitet diese personenbezogenen Daten dann nicht mehr, es sei
denn, Stabilus kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen oder die
Verarbeitung dient der Geltendmachung von Rechtsansprüchen.
Der Umgang mit dem Recht auf Datenübertragbarkeit ist in der Verfahrensanweisung
Betroffenenrechte beschrieben.
Sollte eine Stelle personenbezogene Daten über Betroffene fordern (z.B. über Händler oder
Beschäftigte des Unternehmens), ist eine Weitergabe von Informationen nur zulässig, wenn
die Auskunft gebende Stelle ein berechtigtes Interesse hierfür darlegen kann, und
die Identität des Anfragenden oder der anfragenden Stelle zweifelsfrei feststeht.
Stabilus führt ein Verzeichnis über alle Verarbeitungstätigkeiten. Der Begriff der „Verarbeitung“24 ergibt
sich aus Ziffer 1.6 c und umfasst auch die Verarbeitung durch nicht computergestützte Verfahren.
21
Art. 20 DSGVO
22
Art. 21 DSGVO
23
Art. 30 DSGVO
24
Art. 4 Nr. 2 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 13
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
für eine Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b) DSGVO;
für Zwecke der Rechenschafts- und Dokumentationspflicht, Art. 5 Abs. 2, Art. 24 DSGVO;
als geeignete Maßnahme zur Erfüllung der Betroffenenrechte nach Art. 12 Abs. 1 DSGVO;
zur Schaffung und als Nachweis geeigneter technisch-organisatorischer Maßnahmen nach Art. 24
Abs. 1 und Art. 32 DSGVO;
Jede Fachabteilung stellt zu den bei ihnen eingesetzten Verfahren die Auszüge für das Verzeichnis
dem Datenschutzbeauftragten zur Verfügung. Dieser führt die einzelnen Teile zu einem
Gesamtverzeichnis zusammen.
Stabilus stellt bei Bedarf der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. Zuständig
hierfür ist der Datenschutzbeauftragte im Einvernehmen mit der Unternehmensleitung.
Die Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten ist in der
Verfahrensanweisung Neue Verfahren beschrieben, die Bestandteil dieser Richtlinie ist.
7.1. Auftragsverarbeitung 25
Eine Auftragsverarbeitung liegt vor, wenn eine Stelle im Auftrag des Verantwortlichen
personenbezogene Daten verarbeitet. Verantwortlicher ist dabei die Stelle, die allein oder gemeinsam
mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Jede
Verarbeitung im Auftrag erfolgt nur auf Weisung des Verantwortlichen.
Die Verantwortung für die Einhaltung der Regelungen der DSGVO verbleibt grundsätzlich beim
Verantwortlichen. Dieser entscheidet über Zwecke und Mittel der Verarbeitung von
personenbezogenen Daten“. Er beauftragt den Auftragsverarbeiter als seinen „verlängerten Arm“ und
als quasi interne Stelle. Das ist z.B. beim Einsatz von Dienstleistern im IT- oder Personalbereich der
Fall, sofern diese auf Weisung des Verantwortlichen arbeiten.
Die Verarbeitung im Auftrag der Stabilus ist nur zulässig, wenn der Auftragsverarbeiter hinreichende
Garantien für den Schutz und die Rechte der betroffenen Person bietet und ein Vertrag entsprechend
den Vorgaben der DSGVO abgeschlossen wurde. Der Auftragsverarbeiter muss sorgfältig ausgewählt
und regelmäßig überprüft werden.
Dasselbe gilt, wenn eine Gesellschaft der Unternehmensgruppe personenbezogene Daten im Auftrag
einer anderen Gesellschaft derselben Unternehmensgruppe verarbeitet (z.B. im Bereich von IT-
Dienstleistungen).
Der Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne vorherige gesonderte oder
allgemeine Zustimmung des Verantwortlichen einsetzen. Bei allgemeiner vorheriger Zustimmung gibt
es eine Informationspflicht des Auftragsverarbeiters über vorgesehene Änderungen im Einzelfall und
ein Einspruchsrecht des Verantwortlichen.
25
Art. 28 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 14
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Die Verarbeitung personenbezogener Daten von EU-Bürgern ist untersagt, wenn die Verarbeitung
außerhalb der EU erfolgt, es sei denn, die besonderen Bedingungen für die Datenübermittlung sind
erfüllt (siehe hierzu Kapitel 15 dieser Richtlinie).
Legen zwei oder mehr Verantwortliche (z. B. zwei Gesellschaften der Stabilus-Gruppe) gemeinsam die
Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche und bedürfen
einer schriftlichen Vereinbarung.
Die Unternehmen müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen
welche Verpflichtung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person
angeht, und wer welchen Informationspflichten nachkommt.
Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam
Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der
Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
Der konzerninterne Datenaustausch auf gesetzlicher Grundlage wird durch die DSGVO vereinfacht. Er
richtet sich im Wesentlichen nach Art. 6 Abs. 1 lit. f DSGVO („berechtigtes Interesse“), wobei bei
sensitiven Daten, also im Fall von besonderen Kategorien personenbezogener Daten i.S.v. Ziffer 1.6.b,
zusätzlich die Anforderungen des Art. 9 DSGVO zu beachten sind, s. hierzu Ziff. 2.3 oben.
Die Vorschrift erlaubt die Datenverarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen
oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen
Person überwiegen. Der konzerninterne Datenaustausch ist als „berechtigtes Interesse“ privilegiert.
Teile einer Unternehmensgruppe können ein berechtigtes Interesse daran haben, personenbezogene
Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der
Verarbeitung personenbezogener Daten von Kunden oder Beschäftigen, zu übermitteln. Der Begriff
Verwaltungszwecke ist hier weit zu verstehen. Im Ergebnis folgt daraus, dass ein Datenaustausch im
Konzern damit grundsätzlich möglich ist und zwar ohne dass es dazu einer Auftragsdatenverarbeitung
bedarf (z.B. zentrale HR-Abteilung). Allerdings muss in diesen Fällen in jedem Einzelfall die Prüfung
26
Art. 26 DSGVO
27
Erwägungsgrund 48
Änderungsleiste Formular Rev. 0 ; Seite 15
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
der oben angesprochenen Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO (berechtigtes Interesse und
keine überwiegenden Interessen des Betroffenen) erfolgen und dokumentiert werden.
8. Externe Dienstleister
Dienstleister mit einem möglichen Zugriff auf personenbezogene Daten sind vor der Auftragserteilung
sorgfältig auszuwählen. Die Auswahl ist zu dokumentieren und sollte insbesondere die folgenden
Aspekte berücksichtigen:
Technisch-organisatorische Sicherheitsmaßnahmen
Sonstige Aspekte, die auf eine Zuverlässigkeit des Anbieters schließen lassen (Datenschutz-
Dokumentationen, Kooperationsbereitschaft, Reaktionszeiten etc.)
Soll ein Dienstleister personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, bedarf es
des Abschlusses eines Vertrags zur Auftragsverarbeitung, s. Ziffer 7.1. Hierin sind Datenschutz- und
IT-Sicherheitsaspekte zu regeln.
Der Dienstleister ist im Hinblick auf die mit ihm vertraglich vereinbarten technisch-organisatorischen
Maßnahmen regelmäßig zu überprüfen. Das Ergebnis ist zu dokumentieren.
Stabilus trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten. Dabei werden der Stand der Technik, die
Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung
sowie die unterschiedlichen Eintrittswahrscheinlichkeiten berücksichtigt.
Damit werden die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
sichergestellt.
Zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten wird ein allgemeines
Sicherheitskonzept in Abhängigkeit der Schutzbedarfsfeststellung und Risikoanalyse erstellt, das für
alle Verfahren verbindlich ist. Hierin ist insbesondere der Stand der Technik ebenso zu
berücksichtigen, wie Mittel und Maßnahmen zur Verschlüsselung und Datensicherung. Das
Sicherheitskonzept ist hinsichtlich der Wirksamkeit der dort vorgesehenen technisch-organisatorischen
Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren.
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Türen
unbesetzter Räume sind zu verschließen. Wirksame Maßnahmen zur Zugangskontrolle an Geräten
müssen vorhanden und aktiviert sein. Systemzugänge sind in Abwesenheit stets zu sperren.
28
Art. 32 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 16
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Zugriffe auf personenbezogene Daten sollen nur diejenigen Personen erhalten, die im Zuge ihrer
Aufgabenwahrnehmung Kenntnis von den jeweiligen Daten erhalten müssen („Need-to-know-Prinzip“).
Zugriffsberechtigungen müssen genau und vollständig festgelegt und dokumentiert sein.
Die IT-Sicherheitsrichtlinien von Stabilus sind von allen Mitarbeitern strikt einzuhalten.
Die Dokumentationen im Bereich der Informationstechnologie werden von der IT-Abteilung erstellt und
gepflegt.
Bei Einsatz neuer Verfahren ist dem Datenschutzbeauftragten ein entsprechender Auszug für das in
Kapitel 6 beschriebene Verzeichnis zur Verfügung zu stellen. Bei datenschutzrechtlichen Unklarheiten
ist der Datenschutzbeauftragte frühzeitig vor Einführung des Verfahrens zu kontaktieren.
11. Datenschutz-Folgenabschätzung30
Da auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten Risiken für die betroffenen
Personen entstehen können, sieht die DSGVO in bestimmten Fällen eine Datenschutz-
Folgenabschätzung (DSFA) vor.
Dabei handelt es sich um ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung
von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung
personenbezogener Daten. Die DSFA ist durchzuführen, wenn die Form der Verarbeitung,
insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände
und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat.
Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten
sichergestellt und die Einhaltung der DSGVO nachgewiesen werden kann.
Ob eine DSFA durchzuführen ist, d.h. die Erforderlichkeit einer DSFA, ergibt sich aus einer
Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“). Ergibt diese ein
voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der
Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich.
29
Art. 25 DSGVO
30
Art. 37 DSGVO; § 38 BDSG
Änderungsleiste Formular Rev. 0 ; Seite 17
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung
weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko),
muss nach Art. 36 DSGVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. Er trifft
unter Berücksichtigung der Empfehlungen der Aufsichtsbehörde eine Entscheidung, ob die
Verarbeitungsvorgänge angesichts der verbleibenden Restrisiken durchgeführt werden können und
ggf. welche zusätzlichen Abhilfemaßnahmen in diesem Fall zum Einsatz kommen sollen. Die
Aufsichtsbehörde kann ihrerseits die in Art. 58 DSGVO genannten Befugnisse ausüben und z. B. eine
Warnung, Anweisung oder Untersagung aussprechen.
Für die DSFA ist der betreffende Mitarbeiter verantwortlich, der das Verfahren einführt bzw. nutzt. Der
Rat des Datenschutzbeauftragten ist einzuholen, wenn eine DSFA durchzuführen ist, also
voraussichtlich ein hohes Risiko im oben beschriebenen Sinn besteht.31
Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne
„voraussichtlich nicht zu einem Risiko“ oder „voraussichtlich nur zu einem geringen Risiko“ für den
Betroffenen führt.
Eine Benachrichtigung der betroffenen Person muss dagegen nur erfolgen, wenn ein „hohes Risiko“
für deren Rechte und Freiheiten besteht.
Jede Verletzung des Schutzes personenbezogener Daten (s. Definition in Ziffer 1.6 m) ist der
zuständigen Aufsichtsbehörde zu melden, es sei denn, dass sie „voraussichtlich nicht zu einem Risiko“
oder „voraussichtlich nur zu einem geringen Risiko“ für den Betroffenen führt.33 Die Meldepflicht besteht
für alle personenbezogenen Daten unabhängig von deren Sensitivität.
Die Meldepflicht gilt nicht nur dann, wenn Dritte unbefugt Zugriff auf Daten erlangen, sondern in
jedem Fall der rechtswidrigen Datenverarbeitung.
Die Meldepflicht gilt insbesondere auch bei jeder rechtswidrigen Zerstörung oder Veränderung von
Daten sowie beim rechtswidrigen Datenverlust.
Die Meldepflicht besteht auch bei einer versehentlichen Zerstörung oder Veränderung von Daten
sowie bei einem versehentlichen Datenverlust.
Für die Meldung gilt grundsätzlich eine Frist von maximal 72 Stunden. Kann die 72-Stunden-Frist
nicht eingehalten werden, hat Stabilus bei der Meldung an die Datenschutzbehörde die Gründe für
die Verzögerung anzugeben.
31
Art. 35 Abs. 2 DSGVO; Art. 39 Abs. 1 DSGVO
32
Art. 33 DSGVO
33
Art. 33 Abs. 1 DSGVO´; zu der erweiternden Auslegung von Art. 33 Abs. 1 DSGVO („voraussichtlich nur zu einem
geringen Risiko“) s. DSK-Kurzpapier Nr. 18 v. 26.04.2018, Ziffer III
Änderungsleiste Formular Rev. 0 ; Seite 18
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Die Datenpanne, deren Auswirkungen und die nach der Panne ergriffenen Maßnahmen sind
umfassend zu dokumentieren.
Wenn eine Datenpanne mit einem „hohen Risiko“ für die Betroffenen verbunden ist, schreibt die
Datenschutzgrundverordnung deren Benachrichtigung vor. Diese muss klar und in einfacher Sprache
formuliert sein.35 Entscheidend ist, dass der Betroffene verstehen kann, was passiert ist um
einzuschätzen, welche Risiken für ihn durch das Ereignis bestehen und welche Maßnahmen er
ergreifen kann.
Unter bestimmten Voraussetzungen ist die Benachrichtigung der betroffenen Person entbehrlich. Das
gilt für folgende Konstellationen:
Der Verantwortliche hat in Bezug auf die vom sicherheitsrelevanten Ereignis betroffenen Daten
vorab geeignete Sicherheitsvorkehrungen getroffen die einen Drittzugriff ausschließen, z.B. durch
Verschlüsselung. In einem solchen Fall kann sich das Risiko für die Betroffenen also praktisch
nicht verwirklichen.
Das Unternehmen hat durch nachträgliche Maßnahmen dafür gesorgt, dass das hohe Risiko für
die Betroffenen „aller Wahrscheinlichkeit nach“ nicht mehr besteht. Das wäre z.B. der Fall, wenn
gestohlene Zugangsdaten durch neue Daten ersetzt werden.
Wenn eine individuelle Benachrichtigung einen unverhältnismäßigen Aufwand bedeuten würde, ist
auch eine öffentliche Bekanntmachung zulässig, wenn hierdurch eine wirksame Information der
Betroffenen gewährleistet ist.
Jede Datenpanne, also auch eine solche, die nur zu einem geringen Risiko für den Betroffenen führt,
ist dem Datenschutzbeauftragten zu melden, damit er eine Dokumentation gemäß Art. 33 Abs. 5
DSGVO führen kann. Dabei sind unter Verwendung des Meldeformulars SCL-007 alle im
Zusammenhang mit der Datenpanne stehenden Fakten, ihre Auswirkungen und die ergriffenen
Abhilfemaßnahmen anzugeben.
34
Art. 34 DSGVO
35
Art. 34 Abs. 2 DSGVO
Änderungsleiste Formular Rev. 0 ; Seite 19
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
13. Datengeheimnis
a) Eine Übermittlung personenbezogener Daten innerhalb des Landes, in dem die Daten erhoben
wurden, innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR)
(einschließlich der Verarbeitung in einem Drittland nach der Übermittlung) ist grundsätzlich
zulässig, wenn die Verarbeitung der Daten auch nach der DSGVO zulässig ist.
b) Die Übermittlung personenbezogener Daten aus einem EU/EWR-Land in ein Drittland (außerhalb
der EU/EWR) ist nur zulässig, wenn zusätzliche Voraussetzungen erfüllt sind. Die Übermittlung ist
erlaubt,
wenn die Europäische Kommission entschieden hat, dass das Drittland ein angemessenes
Schutzniveau gewährleistet ("Angemessenheitsentscheidung", z. B. Schweiz); 36 oder
wenn die empfangende Partei angemessene Garantien geboten hat (z. B. verbindliche
interne Datenschutzvorschriften/Binding Corporate Rules, von der Kommission
angenommene Standarddatenschutzklauseln, genehmigte Verhaltensregeln); 37 oder
aufgrund von Urteilen eines Gerichts oder einer Entscheidung einer Verwaltungsbehörde,
wenn diese auf ein internationales Abkommen gestützt sind; 38 oder
wenn die Übermittlung in besonderen Situationen erfolgt (z. B. ausdrückliche Einwilligung der
betroffenen Person, die für die Erfüllung eines Vertrags erforderlich ist und zur Begründung,
Geltendmachung oder Verteidigung rechtlicher Ansprüche erforderlich ist, die zum Schutz
lebenswichtiger Interessen der betroffenen Person erforderlich sind); 39 oder
wenn die Übermittlung für die Wahrung der zwingenden berechtigten Interessen des
Verantwortlichen erforderlich ist und der Verantwortliche die Aufsichtsbehörde unterrichtet.40
Allerdings ist die Übermittlung in ein Drittland auch in diesen Fällen kritisch zu sehen.
Insbesondere zeigt die so genannte Safe Harbor-Entscheidung des EuGH vom 06.10.2015, dass
scheinbar ausreichende Rechtfertigungsgründe für den Datentransfer in ein Drittland im
Nachhinein als unzureichend angesehen werden können. Daher sind grundsätzlich Verfahren
vorzugswürdig, bei denen es nicht zur Übermittlung in Drittländer kommt.
36
Art. 45 DSGVO
37
Art. 46 DSGVO
38
Art. 48 DSGVO
39
Art. 49 DSGVO
40
Art. 49 (1) DSGVO.
Änderungsleiste Formular Rev. 0 ; Seite 20
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
15. Werbung
Die werbliche Ansprache von Betroffenen per Brief, Telefon, Fax, oder E-Mail ist grundsätzlich nur
zulässig, wenn der Betroffene zuvor in die Verwendung seiner Daten zu Werbezwecken eingewilligt
hat.
Ausnahmen sind nur beim Vorliegen einer Erlaubnisnorm zulässig. Bitte konsultieren Sie im Zweifel
den Datenschutzbeauftragten.
Im Beschäftigungskontext gelten die speziellen Regelungen nach § 26 BDSG für die Verarbeitung
personenbezogener Daten von Mitarbeitern.
Die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen ist zulässig. 42
Dazu gehören Tarifverträge sowie Betriebsvereinbarungen.43 Die Verhandlungspartner haben die
inhaltlichen Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten. Demnach sind angemessene und
besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der
Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass
Kollektivvereinbarungen nicht das Schutzniveau der DSGVO absenken.
17. Schulung
Beschäftigte, die ständig oder regelmäßig Zugang zu personenbezogenen Daten haben, solche Daten
erheben oder Systeme zur Verarbeitung solcher Daten entwickeln, sind in geeigneter Weise über die
datenschutzrechtlichen Vorgaben zu schulen. Die Schulungen sind in regelmäßigen Abständen zu
wiederholen, wobei Wiederholungsschulungen ggf. kürzer gehalten werden können als
Erstschulungen.
Die Schulung findet über eine Präsenzschulung oder als E-Learning statt.
Die Personalabteilung dokumentiert die Teilnahme und ermittelt regelmäßig mit der Fachabteilung den
Schulungsbedarf.
Die Personalabteilung stimmt sich mit der Fachabteilung über die Schulungen ab und organisiert sie
(Einladung der Teilnehmer, Räumlichkeiten, Nachweise der erfolgten Teilnahme). Der
Datenschutzbeauftragte soll bei der Organisation hinzugezogen werden.
Maßnahmen zur Sachverhaltsaufklärung und zur Vermeidung oder Aufdeckung von Straftaten oder
schwerwiegenden Pflichtverletzungen im Arbeitsverhältnis sind unter genauer Beachtung der
41
§ 26 Abs. 1 Satz 1 BDSG
42
§ 26 Abs. 1 Satz 1 und Abs. 4 BDSG
43
Erwägungsgrund 155
Änderungsleiste Formular Rev. 0 ; Seite 21
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005
STABILUS (STAB) Verfahrensanweisung Lfd. Nr.: SCL-V 002
Datenschutz
Anlage 1
Der Betroffene ist so bald wie möglich über die zu seiner Person durchgeführten Maßnahmen zu
informieren.
Bei allen Formen der internen Ermittlungen ist der Datenschutzbeauftragte hinsichtlich der Auswahl
und Ausgestaltung der Maßnahmen vorab einzubeziehen.
Recht einer natürlichen oder juristischen Person auf einen wirksamen Rechtsbehelf gegen eine
Aufsichtsbehörde45,
Recht der betroffenen Person auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen
Verantwortlichen oder einen Auftragsverarbeiter 46 und
Recht der betroffenen Person, eine gemeinnützige Einrichtung, Organisation oder Vereinigung zu
beauftragen.47
Verletzungen des Datenschutzes können zu Ansprüchen der betroffenen Personen auf Ersatz von
materiellen oder immateriellen Schäden führen.48 Die Behörden können erhebliche Bußgelder
verhängen.48
Ein Verstoß gegen diese Richtlinie oder die Verfahrensanweisungen kann arbeitsrechtliche
Maßnahmen bis hin zur Kündigung des Arbeitsverhältnisses nach sich ziehen. Bei einem Verstoß
gegen die gesetzlichen Anforderungen des Datenschutzes kommen auch strafrechtliche und
zivilrechtliche Folgen in Betracht.
44
Art. 77 DSGVO
45
Art. 78 DSGVO
46
Art. 79 DSGVO
47
Art. 80 DSGVO
48
Art. 83 DSGVO
49
Art. 84 DSGVO; §§ 41ff. BDSG
Änderungsleiste Formular Rev. 0 ; Seite 22
Form.-Nr. S 08-05/001 Erstellt am 30.08.2005 Ersetzt Form.-Nr. S 09-04/001 Gültig ab 01.09.2005