Leitlinien des Datenschutz

DRK Kreisverband Bad Kreuznach e.V.

Diese Präambel enthält die Leitlinien des Datenschutz denen sich der DRK Kreisverband Bad Kreuznach e.V. verpflichtet. Weiterhin sind die zugehörigen Details und die notwendigen Schritte und Maßnahmen zum Aufbau eines funktionierenden Datenschutzprojekts bis Ende 2019 aufgeführt.

Stand:
Juni 2019, 2. Version

verfasst von:
Jörg Herbert (Datenschutzbeauftragter), DRK Kreisverband Bad Kreuznach e.V.

Präambel

Die Unternehmensleitung hat folgende Datenschutzleitlinie als Bestandteil ihrer Unternehmensstrategie verabschiedet:

Stellenwert des Datenschutz

Wir verpflichten uns dem Schutz der Privatsphäre der Personen, mit deren Daten der DRK Kreisverband Bad Kreuznach e.V. umgeht (im Folgenden betroffene Personen, wie Kunden, Lieferanten sowie deren Ansprechpartner, Patienten, Gäste, Praktikanten, Mitarbeiter usw.).

Die Wahrung von Persönlichkeitsrechten und die Einhaltung gesetzlicher Bestimmungen zum Datenschutz sind wesentliche Bestandteile des Selbstverständnisses unseres Unternehmens.

Um diese Verpflichtung zu beschreiben, hat der DRK Kreisverband Bad Kreuznach e.V. diese Leitlinie (im Folgenden: Datenschutzkonzept) zum Schutz und zur Sicherheit der personenbezogenen Daten verfasst, die durch den DRK Kreisverband Bad Kreuznach e.V. erhoben, verarbeitet und genutzt werden.

DS-Ziele

Personenbezogene Daten werden beim DRK Kreisverband Bad Kreuznach e.V. entsprechend den einschlägigen gesetzlichen Bestimmungen zum Datenschutz erhoben, verarbeitet oder genutzt. Die Grundsätze der Datenvermeidung und der Datensparsamkeit sowie der Transparenz sind dabei wichtige Unternehmensziele. Die einzuhaltenden technischen und organisatorischen Maßnahmen zum Datenschutz orientieren sich an der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG-neu) als Artikel 1 des Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU).

Die Datenschutzgesetze und die Interessen unserer Mitarbeiter verlangen eine Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Mitarbeiterdaten. Die Daten, die IT-Anwendungen und die IT- Systeme der Personalabteilung werden daher einem hohen Vertraulichkeitsschutz unterzogen. Gleiches gilt für die Daten unserer Kunden und Geschäftspartner.

Alle Mitarbeiter und die Unternehmensführung sind sich ihrer Verantwortung beim Umgang mit personenbezogenen Daten bewusst und unterstützen die Datenschutz-Strategie nach besten Kräften.

DS-Management

Zur Erreichung der Datenschutzziele ist seit 29.06.2018 ein interner Datenschutzbeauftragter schriftlich bestellt worden:

Herr Jörg Herbert – datenschutz@drk-kh.de – Tel: 0671-84444-706

Der interne Datenschutzbeauftragte wird in seiner Tätigkeit durch die Geschäftsführung und die Leiter der jeweiligen Abteilungen aktiv unterstützt (siehe Datenschutz-Organisation). Der interne Datenschutzbeauftragte berichtet in seiner Funktion direkt an die Geschäftsführung. Es werden ihm von der Unternehmensleitung ausreichende Ressourcen zur Verfügung gestellt, um die von der Geschäftsleitung festgelegten Datenschutzziele zu erreichen. Der interne Datenschutzbeauftragte ist durch die Mitarbeiter ausreichend in seiner Arbeit zu unterstützen.

Der interne Datenschutzbeauftragte ist, sofern personenbezogene Daten betroffen sind, frühzeitig in alle Projekte einzubinden, um schon in der Planungsphase datenschutzrelevante Aspekte zu berücksichtigen. Die Mitarbeiter können sich in datenschutzrechtlichen Fragestellungen an den Datenschutzbeauftragten wenden.

DS-Maßnahme

Die Maßnahmen des Datenschutzes, die der DRK Kreisverband Bad Kreuznach e.V. bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten einzuhalten hat, werden schriftlich im Datenschutzkonzept erfasst.

Verbesserung des Datenschutz

Das Datenschutzkonzept wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt sind, ob sie umsetzbar und in den Betriebsablauf
integrierbar sind.

Die Unternehmensleitung unterstützt die ständige Verbesserung des Datenschutzniveaus. Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die
entsprechenden Stellen weiterzugeben. Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, den Datenschutz zu verbessern und
ständig auf dem aktuellen Stand zu halten.

Bad Kreuznach, den 15.10.2018

Thomas Decker
(Kreisgeschäftsführer)

Im Detail

(Punkte anklicken für Details)

Der Schutz von personenbezogenen Daten rückt zunehmend in den Fokus der betroffenen Personen, der Öffentlichkeit und der Gesellschaft. Dem trägt auch die europäische Datenschutzgrundverordnung (EU-DS-GVO) Rechnung. Der Schutz von personenbezogenen Daten und Informationen (und ein großer Teil davon sind personenbezogene Daten) ist auch ein bedeutender Wirtschaftsfaktor und als solcher für den Kreisverband Bad Kreuznach e.V. von grosser Bedeutung. Andererseits kann ein Missbrauch der Daten und Informationen nicht nur die Wirtschaftstätigkeit unseres Unternehmens und die betriebliche Funktion schwer beeinträchtigen, sondern auch die Umweltbeziehungen oder das Ansehen unseres Unternehmens erheblich beeinträchtigen und dadurch grossen Schaden verursachen. Die mit der Datenschutzgrundverordnung eingeführte Rechenschaftspflicht führt zu einer Beweislastumkehr mit der Folge, dass das Unternehmen in der Lage sein muss, die Einhaltung der Grundsätze und Vorschriften der Datenschutzgrundverordnung nachzuweisen.

Das Anliegen dieser Datenschutzrichtlinie ist es deshalb, im Interesse der betroffenen Personen und auch des Kreisverband Bad Kreuznach e.V. den Schutz der personenbezogenen Daten nach den Vorschriften der DSGVO zu regeln und in jeder Phase der Informationsverarbeitung die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten zu gewährleisten. Um dieses Ziel zu erreichen, müŸssen nicht nur die gesetzlichen Vorschriften zum Schutz der Daten eingehalten, sondern auch geeignete technische und organisatorische Massnahmen und Verfahren eingerichtet und geregelt und deren Einhaltung und Wirksamkeit Šähnlich wie nach den Methoden des Qualitätsmanagementsystems kontrolliert, dokumentiert und weiterentwickelt werden. Nicht zuletzt kommt es aber auch darauf an, dass sich alle Beschäftigten der mit dem Umgang mit personenbezogenen Daten sowie der Datenverarbeitung und der Benutzung der technischen Systeme und Kommunikationstechnologien verbundenen Risiken bewusst sind und mit Daten und Systemen mit der erforderlichen Vorsicht und Sorgfalt umgehen. Bei Fragen zum Umgang mit personenbezogenen Daten ist der Vorgesetzte oder der betriebliche Datenschutzbeauftragte zu konsultieren.e

Dieses Datenschutzhandbuch regelt als Kopfdokument des Datenschutzkonzepts mit den darin angegebenen mitgeltenden Unterlagen die rechtlichen und die zum Schutz der personenbezogenen Daten erforderlichen technischen und organisatorischen Maßnahmen. Die Einzelheiten dazu befinden sich niedergelegt in der aktuellen Datenschutz-ManagementSoftware: (siehe Datenschutzdokumentation). Soweit zu einzelnen Bereichen gesonderte Dokumentationen vorhanden sind (z. B. zu bestimmten Prozessen, technischen Systemen und besonderen Verfahren), wird, sofern es zum Verständnis der Sicherungsmaßnahmen erforderlich ist, auf diese Dokumentationen verwiesen. Ebenso wird im Interesse einer besseren Pflege und Wartbarkeit dieser Richtlinien darauf verzichtet, Sicherungsmaßnahmen auf produktspezifischer Basis zu beschreiben. Insoweit werden in dieser Richtlinie die normierten Zielgrößen und Wirkungen beschrieben. Weitere Informationen befinden sich dann in den produktspezifischen Beschreibungen, Dokumentationen und mitgeltenden Unterlagen.


Weil ein wirksamer Datenschutz nicht alleine durch Regelungen und Bestimmungen erreicht werden kann, sondern von einem ausgeprägten Datenschutz- und Sicherheitsbewusstsein der Mitarbeiterinnen und Mitarbeiter getragen wird, ist es ein besonderes Anliegen dieser Richtlinie, sie für das Anliegen des Datenschutzes zu sensibilisieren und ihnen Informationen und Regelungen an die Hand zu geben, die es ermöglichen, die mit dem Betrieb komplexer und offener Datenverarbeitungs- und Kommunikationssysteme verbundenen Risiken zu erkennen und damit umzugehen.


Diese Richtlinie bildet mit den enthaltenen Verweisen auf korrespondierende Dokumente, mitgeltende Unterlagen und die Datenschutz-ManagementSoftware: eine vollständige Beschreibung aller technischen und organisatorischen Maßnahmen und stellt damit nicht nur eine vollständige und umfassende Informationsquelle für alle Mitarbeiterinnen und Mitarbeiter dar, sondern ist auch eine Prüfgrundlage für Revisoren, Qualitätsmanager und Auditoren.


Auf der Grundlage der Bewertung der datenschutzrechtlichen und betriebswirtschaftlichen Sensibilität der Daten und der anschließenden Einstufung in Schutz- und Vertraulichkeitsstufen wurden die erforderlichen technischen und organisatorischen Maßnahmen definiert und beschrieben. Damit besteht für Revisoren, Auditoren und auch für die Datenschutz-Aufsichtsbehörde eine fundierte und schlüssige Möglichkeit, die Vollständigkeit, Notwendigkeit und Angemessenheit der technischen und organisatorischen Maßnahmen zu beurteilen.

Die Datenschutzgrundsätze sind in Art. 5 Abs. 1 DSGVO beschrieben und für die Verarbeitung von personenbezogenen Daten verbindlich. Die Nichtbeachtung dieser Grundsätze ist gem. Art. 83 DSGVO mit Bußgeld bedroht. Bei Zweifelsfragen zur Interpretation der Grundsätze und deren Anwendung ist der betriebliche Datenschutzbeauftragte zu konsultieren.

Für den Umgang mit personenbezogenen Daten werden nachfolgende Grundsätze besonders beachtet:


Rechtmäßigkeit

Der Grundsatz der Rechtmäßigkeit schreibt vor, dass personenbezogene Daten nur unter dem Vorbehalt einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet werden dürfen. Dieser Grundsatz ist in Art. 8 Abs. 2 GRCh vorgegeben und entspricht auch dem Grundsatz des Verbots mit Erlaubnisvorbehalt nach den Vorschriften der DSGVO. Bei jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist deshalb darauf zu achten, dass eine Rechtsgrundlage nach den Datenschutzvorschriften vorhanden ist.


Verarbeitung nach Treu und Glauben

Der Grundsatz der Verarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihm erhoben werden. Unter diesem Gesichtspunkt sind insbesondere die Rechte der Betroffenen und die Informationspflichten in verständlicher und nachvollziehbarer Form zu erfüllen.


Transparenz

Der Grundsatz der Transparenz verlangt, dass jeder Betroffene wissen soll, wer welche Daten für welche Zwecke über ihn erhebt, speichert und verarbeitet und übermittelt und wie lange die Daten gespeichert werden und dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Natürliche Personen sind über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu informieren und darüber aufzuklären, wie sie ihre diesbezüglichen Rechte geltend machen können. Hier sind die im Einzelnen geregelten Informationspflichten zu beachten.


Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, müssen eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Eine Verarbeitung oder Nutzung von personenbezogenen Daten für andere als den Betroffenen im Zusammenhang mit der Datenerhebung kommunizierten Zwecke ist nur unter den gesetzlich festgelegten Bedingungen (Art. 6 Abs. 5 DSGVO) und ansonsten nur mit Einwilligung der Betroffenen zulässig. Sollen erhobene Daten auch für einen anderen als den der Erhebung zugrundeliegenden Zweck verwendet werden, z. B. zu Zwecken der Werbung oder des Profilings oder für Datenübermittlungen, ist vorher der Datenschutzbeauftragte zu konsultieren.


Datenminimierung

Art und Umfang der Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dies schliesst eine Begrenzung der Speicherfrist auf das erforderliche Mindestmaß ein. Hier ist darauf zu achten, dass nur diejenigen Daten von den Betroffenen erhoben werden, die für den jeweiligen Verarbeitungszweck auch wirklich erforderlich sind. darüberhinausgehende Erhebungen und Verarbeitungen sind unzulässig.

Zweifelsfragen zur Erforderlichkeit der Daten und zur Zulässigkeit der Datenverarbeitung sind mit dem Datenschutzbeauftragten abzuklären.


Richtigkeit

Die personenbezogenen Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Die Verarbeitung unrichtiger Daten ist zu vermeiden. Unrichtige Daten sind unverzüglich zu berichtigen.


Nachvollziehbarkeit, Revisionsfähigkeit

Die Verarbeitung und die Veränderung von personenbezogenen Daten müssen nachvollziehbar und, soweit erforderlich, in geeigneter Weise dokumentiert und Ÿüberprüfbar sein. Einzelheiten, insbesondere zur Nachvollziehbarkeit und zu Protokollierungen, sind mit dem Datenschutzbeauftragten abzustimmen.


Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, sind Fristen für ihre Löschung oder regelmäßige Überprüfung vorzusehen und die Daten regelmäßig zu löschen bzw. zu vernichten. Die Aufbewahrungsfristen sind von den fachverantwortlichen Stellen festzulegen und die Löschung bzw. Vernichtung der Daten ist von diesen Stellen zu veranlassen bzw. zu überwachen.


Integrität & Vertraulichkeit

Der Grundsatz der Integrität und Vertraulichkeit verlangt einen angemessenen Schutz und eine angemessene Sicherheit der personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Bei der Verarbeitung der personenbezogenen Daten ist durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten.


Rechenschaftspflicht

Der Grundsatz der Rechenschaftspflicht verlangt, dass die Einhaltung der o. g. Datenschutz-Grundsätze nachgewiesen werden kann. Zur Erfüllung dieser Rechenschaftspflicht ist ein in sich stimmiges, systematisches und nachvollziehbares Datenschutzmanagement eingerichtet. Auf der Grundlage der darüber geführten Datenschutzdokumentation ist eine Überprüfung der Einhaltung dieser Grundsätze durch Datenschutzprüfungen und Audits möglich. Die in diesem Datenschutzhandbuch zu diesem Zweck festgelegten Dokumentationen und Nachweise sind aktuell und vollständig zu führen.

Der Datenschutzbeauftragte berät in allen Fragen des Datenschutzes und soll, soweit möglich, auch bereits präventiv tätig sein. Aus diesem Grund ist er von den fachbereichs- bzw. projektverantwortlichen Stellen insbesondere bei den folgenden Vorhaben frühzeitig einzubeziehen: 

  • Gestaltung der Telekommunikations-, Internet-, Intranet- oder E-Mail-Nutzung 
  • Gestaltung von Datenerhebungen für automatisierte Verfahren 

Jeder von der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch den DRK Kreisverband Bad Kreuznach e.V. Betroffene kann sich an den Beauftragten für den Datenschutz wenden. Ebenso kann sich jeder Mitarbeiter in allen Fragen des Datenschutzes an ihn wenden. Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen verpflichtet, soweit er nicht durch den Betroffenen davon entbunden ist.

Bestellung eines betrieblichen Datenschutzbeauftragten

Das Bundesdatenschutzgesetz schreibt für unser Unternehmen die Bestellung eines Datenschutzbeauftragten vor. Es ist ein interner Datenschutzbeauftragter bestellt (siehe Punkt 3; Präambel). Der Datenschutzbeauftragte ist gem. Art. 37 Abs. 8 DSGVO der Aufsichtsbehörde für den Datenschutz gemeldet. Für den Datenschutzbeauftragten gelten folgende Regelungen:

Organisatorische Einrichtung im Unternehmen

Der Datenschutzbeauftragte ist unmittelbar der Geschäftsleitung unterstellt und berichtet an den Kreisgeschäftsführer. Der Datenschutzbeauftragte ist nach Beschluss des Kreisgeschäftsführers gegenüber den Abteilungen in allen datenschutzrechtlichen Belangen weisungsbefugt. Erforderliche Ressourcen sind bereitzustellen.

Aufgaben des Datenschutzbeauftragten

  • Unterrichtung und Beratung der Geschäftsleitung und der Beschäftigten, in allen Datenschutzfragen
  • Überwachung der Einhaltung der Datenschutzvorschriften Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
  • Durchführung von Datenschutzprüfungen nach eigenem Ermessen und im Auftrag der Geschäftsleitung
  • Datenschutzrechtliche Freigabe von automatisierten Datenverarbeitungsverfahren zur Verarbeitung von personenbezogenen Daten und von datenschutzrelevanten Änderungen zur Anwendung
  • Zusammenarbeit mit der Aufsichtsbehörde (Hinweis: Das nähere Verfahren, insbesondere Vertretungs- und Zeichnungsbefugnisse, ist hier zu regeln.)

Informationszugangsrechte des Datenschutzbeauftragten

Der Datenschutzbeauftragte besitzt im Zusammenhang mit seiner Tätigkeit ein uneingeschränktes Informationsrecht zu allen Fragen des Umgangs mit personenbezogenen Daten und ein uneingeschränktes Zugangsrecht zu allen damit zusammenhängenden Unterlagen, Informationen und Dokumenten. Die Unterlagen sind dem Datenschutzbeauftragten auf Verlangen vollständig und unverzüglich in geeigneter Weise zur Verfügung zu stellen.

Datenschutzberichte

Der Datenschutzbeauftragte berichtet regelmäßig (mindestens einmal jährlich) der o. g. Stelle über seine Tätigkeit und über seine Feststellungen (Jahresbericht). Bei besonderen Vorkommnissen berichtet er unverzüglich und unterrichtet die beteiligten Stellen zur Einleitung der erforderlichen Maßnahmen. In seinem Jahresbericht beurteilt der Datenschutzbeauftragte nach dem vorgegebenen Dokumentations- und Bewertungssystem den Stand des Datenschutzes und in Abstimmung mit dem IT-Sicherheitsverantwortlichen auch den Stand der technischen und organisatorischen Maßnahmen zum Datenschutz.

Der betriebliche Datenschutzbeauftragte hat beim Betriebsrat keine Prüfrechte und der Datenschutzbeauftragte unterliegt keinen Weisungen des Betriebsrats. Der Betriebsrat kann aber den Datenschutzbeauftragten in Datenschutzfragen konsultieren. Unbeschadet der Unabhängigkeit des Betriebsrats hat der Betriebsrat die rechtlichen und sicherheitsrelevanten Anforderungen des Datenschutzes und die hierzu ergangenen betrieblichen Regelungen zu beachten. Abweichungen von den betrieblichen Regelungen aufgrund der besonderen Stellung des Betriebsrats sind vom Betriebsrat mit den beteiligten Stellen abzustimmen. Mitgeltende Unterlagen: (Bestellung des betrieblichen Datenschutzbeauftragten)

Integration des Datenschutzmanagements in das Unternehmensmanagement

Die Erfüllung der operativen Aufgaben des Datenschutzes ist den für die einzelnen Fachbereiche bzw. für die Geschäftsprozesse verantwortlichen Fachbereichsleitern bzw. Geschäftsprozessverantwortlichen übertragen. Die für die einzelnen Geschäftsprozesse bzw. Fachbereiche relevanten Datenschutzvorgaben sind in den Datenschutzprozessen und in den Verfahrensbeschreibungen zur Übersicht über die Verarbeitungstätigkeiten verbindlich festgelegt. Die Vollständigkeit und Aktualität der Datenschutzprozesse und Verfahrensbeschreibungen wird vom betrieblichen Datenschutzbeauftragten regelmäßig überprüft.

Qualitätsmanagement

Verankerung des Datenschutzes in den QM-Dokumenten

Die datenschutzrechtlichen Vorgaben zu Unternehmenszielen und Strategien werden in den zutreffenden QM-Dokumenten beschrieben und ausgestaltet. Der QM-Verantwortliche und der Datenschutzbeauftragte wirken gemeinsam auf die Entwicklung geeigneter Datenschutzziele und -strategien hin. Der Datenschutzbeauftragte hat für die Entwicklung der Datenschutzziele und Strategien eine besondere Beratungsaufgabe. für die förmliche Ausgestaltung in der QM-Dokumentation ist der QM-Beauftragte verantwortlich.

Integration des Datenschutzes in den PDCA-Zyklus 

(PDCA-Zyklus = kontinuierlicher Verbesserungsprozess)

Zur laufenden Aktualisierung und Fortentwicklung des Datenschutzes und zur Anpassung an sich verändernde Verhältnisse im Unternehmen ist der Datenschutz in den PDCA-Zyklus bzw. den Kontinuierlichen Verbesserungsprozess (KVp) nach den eingerichteten Regeln des Qualitätsmanagements integriert. Der Datenschutzbeauftragte beobachtet die Rechtsentwicklung im Datenschutz und wirkt auf die Anwendung des PDCA-Zyklus und auf die laufende Fortentwicklung des Datenschutzes hin.

Integration des Datenschutzes in das Auditwesen

Der Datenschutzbeauftragte erstellt einen jährlichen Prüfplan über die durchzuführenden Datenschutzprüfungen. Die Prüfungen sind so zu gestalten, dass alle datenschutzrelevanten Bereiche, Prozesse und Datenverarbeitungsverfahren in einem angemessenen Rhythmus überprüft und bewertet werden, ob die Anforderungen der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO erfüllt werden.

Datensicherheitsmanagement

Integration des Datensicherheitsmanagements in das Informations- und IT- Sicherheitsmanagement

Es bestehen zu folgenden Bereichen/Prozessen Zertifizierungen auf der Grundlage: Berücksichtigung des Datenschutzes in den Zielen und Maßnahmen der Normen ISO 27001 und ISO 9001. Da diese für unseren Kreisverband auch mittelfristig nicht erreichbar erscheinen, streben wie ein ISMS nach VdS 10000 an.

Die Forderungen des Datenschutzes sind in den Zielen und Maßnahmen der (DIN EN ISO 9001:2015) beschrieben. Besondere Anforderungen des Datenschutzes und die speziellen technischen und organisatorischen Maßnahmen dazu sind in den einzelnen Nachweisdokumenten beschrieben.

Definition der Datenschutzanforderungen der beteiligten Parteien

(Partei und Erwartungen)

Kunden: 

  • datenschutztechnische Kompetenz
  • Hohe Datensicherheit
  • prompte Auskunftsleistungen
  • Einhaltung gesetzlicher Anforderungen

Mitarbeiter: 

  • datenschutzkonforme Arbeitsplätze
  • umfassende Information zum Thema
  • Einhaltung gesetzlicher Regelungen
  • Transparente Kommunikation

Dachverband: 

  • zügiges Handeln
  • nachhaltige Entwicklung des Datenschutzkontepts
  • Einhaltung verbandsinterner Richtlinien und Vorgaben
  • zertifizierte Lieferanten

Dienstleister: 

  • wirtschaftliches Handeln
  • Offene Kommunikation
  • Zertifizierungen
  • angepasste Verträge

Gesetzgeber: 

  • Einhaltung regulatorischer Vorgaben und Gesetze
  • Berichterstattung bei Nichtkonformitäten

Technische und organisatorische Maßnahmen zum Informations- und Datenschutz

Die in DIN EN ISO 9001:2015 beschriebenen technischen und organisatorischen Maßnahmen gelten auch für die personenbezogenen Daten. Soweit sich für die personenbezogenen Daten zusätzliche Anforderungen ergeben, sind diese hier ebenfalls zu berücksichtigen.

Datenschutzdokumente

Die Datenschutzdokumentation befindet sich vollständig in unserer Datenschutzmanagement-Software: Privacysoft Online (zertifizierte SaaS-Software-Lösung: ISO 9001:2008, ISO 27001, SAE 3402, SAP Certified in Hosting Services, Reliable Data Center CAT III)

Die Datenschutzdokumentation enthält nachfolgend aufgeführte Inhalte: : die Prozess- und Verfahrensübersicht

Die Prozessübersicht enthält folgende Inhalte: : die Prozessübersicht der personalbezogenen Prozesse : die Prozessübersicht der Kunden-/Lieferantenprozesse : die allgemeinen Prozesse

Die Prozess- und Verfahrensübersichten zeigen für die Personal-, Kunden- und Lieferantendaten sowie für sonstige Personenkategorien abschließend welchen Verfahren diese Daten verarbeitet werden.

Soweit nicht bereits verwendbare Prozessübersichten oder Datenflusspläne vorhanden sind, werden diese vom Datenschutzbeauftragten und ansonsten von den jeweiligen Dokumenteneignern in Abstimmung mit dem Datenschutzbeauftragten geführt.

Verzeichnis über die Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO wird ein Verzeichnis über die Verarbeitungstätigkeiten geführt. Das Verzeichnis besteht aus den folgenden Dokumenten: Übersicht über die Datenverarbeitungsverfahren und gemeinsame Angaben zum Verzeichnis über die Verarbeitungstätigkeiten.

Um überflüssige Wiederholungen und Redundanzen zu vermeiden, werden die gemeinsamen Angaben zum Verzeichnis über die Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 lit. a DSGVO in einem Formular „Gemeinsame Angaben zum Verzeichnis über die Verarbeitungstätigkeiten“ vorangestellt. Diese gemeinsamen Angaben enthalten auch eine Auflistung der einzelnen Datenverarbeitungsverfahren, die in den zugehörigen Beschreibungen der einzelnen Verfahren ausführlich beschrieben sind.

Beschreibung der einzelnen Verfahren

Beschreibung der einzelnen Verfahren enthält die Angaben lt. Art. 30 Abs. 1 lit. b bis f DSGVO. Die Beschreibung der Verfahren für Verantwortliche gem. Art. 30 Abs. 1 DSGVO enthält über die Pflichtangaben des Art. 30 Abs. 1 DSGVO hinaus alle zur Prüfung der Rechtmäßigkeit des Verfahrens und der Verarbeitung erforderlichen Angaben und unter Angabe der Rechtsgrundlage auch eine Prüfung der Zulässigkeit der einzelnen Verarbeitungstätigkeiten und der Erfüllung der datenschutzrechtlichen Voraussetzungen. Der Datenschutzbeauftragte bestätigt auf jeder einzelnen Verfahrensbeschreibung die datenschutzrechtliche Ordnungsmäßigkeit bzw. Konformität des Verfahrens und vermerkt das Datum der letzten Prüfung des Verfahrens. Stellt der Datenschutzbeauftragte bei der Prüfung eines Datenverarbeitungsverfahrens Abweichungen fest, vermerkt er diese bei der Verfahrensbeschreibung und berichtet der GeschäŠftsleitung. Der Datenschutzbeauftragte überwacht die Erledigung der Abweichungen.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Diese Beschreibung enthält die übergreifenden und für alle Verarbeitungsverfahren gültigen allgemeinen technischen und organisatorischen Maßnahmen. Bestehende Verfahrensanweisungen und Regelungen zu den technischen und organisatorischen Maßnahmen werden als mitgeltende Unterlagen geführt. Soweit für einzelne Verfahren davon abweichende verfahrensindividuelle Maßnahmen bestehen, sind diese in den Verfahrensbeschreibungen zu den einzelnen Verfahren enthalten.

Der Schutz von personenbezogenen Daten rückt zunehmend in den Fokus der betroffenen Personen, der Öffentlichkeit und der Gesellschaft. Dem trägt auch die Europäische Datenschutzgrundverordnung (EU-DS-GVO) Rechnung. Der Schutz von personenbezogenen Daten und Informationen (und ein großer Teil davon sind personenbezogene Daten) ist auch ein bedeutender Wirtschaftsfaktor und als solcher für den Kreisverband Bad Kreuznach e.V. von grosser Bedeutung. Andererseits kann ein Missbrauch der Daten und Informationen nicht nur die Wirtschaftstätigkeit unseres Unternehmens und die betriebliche Funktion schwer beeinträchtigen, sondern auch die Umweltbeziehungen oder das Ansehen unseres Unternehmens erheblich beeinträchtigen und dadurch grossen Schaden verursachen. Die mit der Datenschutzgrundverordnung eingeführte Rechenschaftspflicht führt zu einer Beweislastumkehr mit der Folge, dass das Unternehmen in der Lage sein muss, die Einhaltung der GrundsŠätze und Vorschriften der Datenschutzgrundverordnung nachzuweisen.

Das Anliegen dieser Datenschutzrichtlinie ist es deshalb, im Interesse der betroffenen Personen und auch des Kreisverband Bad Kreuznach e.V. den Schutz der personenbezogenen Daten nach den Vorschriften der DSGVO zu regeln und in jeder Phase der Informationsverarbeitung die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten zu gewährleisten. Um dieses Ziel zu erreichen, müŸssen nicht nur die gesetzlichen Vorschriften zum Schutz der Daten eingehalten, sondern auch geeignete technische und organisatorische Massnahmen und Verfahren eingerichtet und geregelt und deren Einhaltung und Wirksamkeit Šähnlich wie nach den Methoden des Qualitätsmanagementsystems kontrolliert, dokumentiert und weiterentwickelt werden. Nicht zuletzt kommt es aber auch darauf an, dass sich alle Beschäftigten der mit dem Umgang mit personenbezogenen Daten sowie der Datenverarbeitung und der Benutzung der technischen Systeme und Kommunikationstechnologien verbundenen Risiken bewusst sind und mit Daten und Systemen mit der erforderlichen Vorsicht und Sorgfalt umgehen. Bei Fragen zum Umgang mit personenbezogenen Daten ist der Vorgesetzte oder der betriebliche Datenschutzbeauftragte zu konsultieren.

Dieses Datenschutzhandbuch regelt als Kopfdokument des Datenschutzkonzepts mit den darin angegebenen mitgeltenden Unterlagen die rechtlichen und die zum Schutz der personenbezogenen Daten erforderlichen technischen und organisatorischen Maßnahmen. Die Einzelheiten dazu befinden sich niedergelegt in der aktuellen Datenschutz-ManagementSoftware: (siehe Datenschutzdokumentation). Soweit zu einzelnen Bereichen gesonderte Dokumentationen vorhanden sind (z. B. zu bestimmten Prozessen, technischen Systemen und besonderen Verfahren), wird, sofern es zum Verständnis der Sicherungsmaßnahmen erforderlich ist, auf diese Dokumentationen verwiesen. Ebenso wird im Interesse einer besseren Pflege und Wartbarkeit dieser Richtlinien darauf verzichtet, Sicherungsmaßnahmen auf produktspezifischer Basis zu beschreiben. Insoweit werden in dieser Richtlinie die normierten Zielgrößen und Wirkungen beschrieben. Weitere Informationen befinden sich dann in den produktspezifischen Beschreibungen, Dokumentationen und mitgeltenden Unterlagen.

Weil ein wirksamer Datenschutz nicht alleine durch Regelungen und Bestimmungen erreicht werden kann, sondern von einem ausgeprägten Datenschutz- und Sicherheitsbewusstsein der Mitarbeiterinnen und Mitarbeiter getragen wird, ist es ein besonderes Anliegen dieser Richtlinie, sie für das Anliegen des Datenschutzes zu sensibilisieren und ihnen Informationen und Regelungen an die Hand zu geben, die es ermöglichen, die mit dem Betrieb komplexer und offener Datenverarbeitungs- und Kommunikationssysteme verbundenen Risiken zu erkennen und damit umzugehen.

Diese Richtlinie bildet mit den enthaltenen Verweisen auf korrespondierende Dokumente, mitgeltende Unterlagen und die Datenschutz-ManagementSoftware: eine vollständige Beschreibung aller technischen und organisatorischen Maßnahmen und stellt damit nicht nur eine vollständige und umfassende Informationsquelle für alle Mitarbeiterinnen und Mitarbeiter dar, sondern ist auch eine Prüfgrundlage für Revisoren, Qualitätsmanager und Auditoren.

Auf der Grundlage der Bewertung der datenschutzrechtlichen und betriebswirtschaftlichen Sensibilität der Daten und der anschließenden Einstufung in Schutz- und Vertraulichkeitsstufen wurden die erforderlichen technischen und organisatorischen Maßnahmen definiert und beschrieben. Damit besteht für Revisoren, Auditoren und auch für die Datenschutz-Aufsichtsbehörde eine fundierte und schlüssige Möglichkeit, die Vollständigkeit, Notwendigkeit und Angemessenheit der technischen und organisatorischen Maßnahmen zu beurteilen.

Die Datenschutzgrundsätze sind in Art. 5 Abs. 1 DSGVO beschrieben und für die Verarbeitung von personenbezogenen Daten verbindlich. Die Nichtbeachtung dieser Grundsätze ist gem. Art. 83 DSGVO mit Bußgeld bedroht. Bei Zweifelsfragen zur Interpretation der Grundsätze und deren Anwendung ist der betriebliche Datenschutzbeauftragte zu konsultieren.

Für den Umgang mit personenbezogenen Daten werden nachfolgende Grundsätze besonders beachtet:

Rechtmäßigkeit

Der Grundsatz der Rechtmäßigkeit schreibt vor, dass personenbezogene Daten nur unter dem Vorbehalt einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet werden dürfen. Dieser Grundsatz ist in Art. 8 Abs. 2 GRCh vorgegeben und entspricht auch dem Grundsatz des Verbots mit Erlaubnisvorbehalt nach den Vorschriften der DSGVO. Bei jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist deshalb darauf zu achten, dass eine Rechtsgrundlage nach den Datenschutzvorschriften vorhanden ist.

Verarbeitung nach Treu und Glauben

Der Grundsatz der Verarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihm erhoben werden. Unter diesem Gesichtspunkt sind insbesondere die Rechte der Betroffenen und die Informationspflichten in verständlicher und nachvollziehbarer Form zu erfüllen.

Transparenz

Der Grundsatz der Transparenz verlangt, dass jeder Betroffene wissen soll, wer welche Daten für welche Zwecke über ihn erhebt, speichert und verarbeitet und übermittelt und wie lange die Daten gespeichert werden und dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Natürliche Personen sind über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu informieren und darüber aufzuklären, wie sie ihre diesbezüglichen Rechte geltend machen können. Hier sind die im Einzelnen geregelten Informationspflichten zu beachten.

Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, müssen eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Eine Verarbeitung oder Nutzung von personenbezogenen Daten für andere als den Betroffenen im Zusammenhang mit der Datenerhebung kommunizierten Zwecke ist nur unter den gesetzlich festgelegten Bedingungen (Art. 6 Abs. 5 DSGVO) und ansonsten nur mit Einwilligung der Betroffenen zulässig. Sollen erhobene Daten auch für einen anderen als den der Erhebung zugrundeliegenden Zweck verwendet werden, z. B. zu Zwecken der Werbung oder des Profilings oder für Datenübermittlungen, ist vorher der Datenschutzbeauftragte zu konsultieren.

Datenminimierung

Art und Umfang der Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dies schliesst eine Begrenzung der Speicherfrist auf das erforderliche Mindestmaß ein. Hier ist darauf zu achten, dass nur diejenigen Daten von den Betroffenen erhoben werden, die für den jeweiligen Verarbeitungszweck auch wirklich erforderlich sind. darüberhinausgehende Erhebungen und Verarbeitungen sind unzulässig.

Zweifelsfragen zur Erforderlichkeit der Daten und zur Zulässigkeit der Datenverarbeitung sind mit dem Datenschutzbeauftragten abzuklären.

Richtigkeit

Die personenbezogenen Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Die Verarbeitung unrichtiger Daten ist zu vermeiden. Unrichtige Daten sind unverzüglich zu berichtigen.

Nachvollziehbarkeit, Revisionsfähigkeit

Die Verarbeitung und die Veränderung von personenbezogenen Daten müssen nachvollziehbar und, soweit erforderlich, in geeigneter Weise dokumentiert und Ÿüberprüfbar sein. Einzelheiten, insbesondere zur Nachvollziehbarkeit und zu Protokollierungen, sind mit dem Datenschutzbeauftragten abzustimmen.

Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben worden sind, erforderlich ist. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden, sind Fristen für ihre Löschung oder regelmäßige Überprüfung vorzusehen und die Daten regelmäßig zu löschen bzw. zu vernichten. Die Aufbewahrungsfristen sind von den fachverantwortlichen Stellen festzulegen und die Löschung bzw. Vernichtung der Daten ist von diesen Stellen zu veranlassen bzw. zu überwachen.

Integrität & Vertraulichkeit

Der Grundsatz der Integrität und Vertraulichkeit verlangt einen angemessenen Schutz und eine angemessene Sicherheit der personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Bei der Verarbeitung der personenbezogenen Daten ist durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten.

Rechenschaftspflicht

Der Grundsatz der Rechenschaftspflicht verlangt, dass die Einhaltung der o. g. Datenschutz-Grundsätze nachgewiesen werden kann. Zur Erfüllung dieser Rechenschaftspflicht ist ein in sich stimmiges, systematisches und nachvollziehbares Datenschutzmanagement eingerichtet. Auf der Grundlage der darüber geführten Datenschutzdokumentation ist eine Überprüfung der Einhaltung dieser Grundsätze durch Datenschutzprüfungen und Audits möglich. Die in diesem Datenschutzhandbuch zu diesem Zweck festgelegten Dokumentationen und Nachweise sind aktuell und vollständig zu führen.

Der Datenschutzbeauftragte berät in allen Fragen des Datenschutzes und soll, soweit möglich, auch bereits präventiv tätig sein. Aus diesem Grund ist er von den fachbereichs- bzw. projektverantwortlichen Stellen insbesondere bei den folgenden Vorhaben frühzeitig einzubeziehen: 

  • Gestaltung der Telekommunikations-, Internet-, Intranet- oder E-Mail-Nutzung 
  • Gestaltung von Datenerhebungen für automatisierte Verfahren 

Jeder von der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch den DRK Kreisverband Bad Kreuznach e.V. Betroffene kann sich an den Beauftragten für den Datenschutz wenden. Ebenso kann sich jeder Mitarbeiter in allen Fragen des Datenschutzes an ihn wenden. Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen verpflichtet, soweit er nicht durch den Betroffenen davon entbunden ist.

Bestellung eines betrieblichen Datenschutzbeauftragten

Das Bundesdatenschutzgesetz schreibt für unser Unternehmen die Bestellung eines Datenschutzbeauftragten vor. Es ist ein interner Datenschutzbeauftragter bestellt (siehe Punkt 3; Präambel). Der Datenschutzbeauftragte ist gem. Art. 37 Abs. 8 DSGVO der Aufsichtsbehörde für den Datenschutz gemeldet. Für den Datenschutzbeauftragten gelten folgende Regelungen:

Organisatorische Einrichtung im Unternehmen

Der Datenschutzbeauftragte ist unmittelbar der Geschäftsleitung unterstellt und berichtet an den Kreisgeschäftsführer. Der Datenschutzbeauftragte ist nach Beschluss des Kreisgeschäftsführers gegenüber den Abteilungen in allen datenschutzrechtlichen Belangen weisungsbefugt. Erforderliche Ressourcen sind bereitzustellen.

Aufgaben des Datenschutzbeauftragten

  • Unterrichtung und Beratung der Geschäftsleitung und der Beschäftigten, in allen Datenschutzfragen
  • Überwachung der Einhaltung der Datenschutzvorschriften Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
  • Durchführung von Datenschutzprüfungen nach eigenem Ermessen und im Auftrag der Geschäftsleitung
  • Datenschutzrechtliche Freigabe von automatisierten Datenverarbeitungsverfahren zur Verarbeitung von personenbezogenen Daten und von datenschutzrelevanten Änderungen zur Anwendung
  • Zusammenarbeit mit der Aufsichtsbehörde (Hinweis: Das nähere Verfahren, insbesondere Vertretungs- und Zeichnungsbefugnisse, ist hier zu regeln.)

Informationszugangsrechte des Datenschutzbeauftragten

Der Datenschutzbeauftragte besitzt im Zusammenhang mit seiner Tätigkeit ein uneingeschränktes Informationsrecht zu allen Fragen des Umgangs mit personenbezogenen Daten und ein uneingeschränktes Zugangsrecht zu allen damit zusammenhängenden Unterlagen, Informationen und Dokumenten. Die Unterlagen sind dem Datenschutzbeauftragten auf Verlangen vollständig und unverzüglich in geeigneter Weise zur Verfügung zu stellen.

Datenschutzberichte

Der Datenschutzbeauftragte berichtet regelmäßig (mindestens einmal jährlich) der o. g. Stelle über seine Tätigkeit und über seine Feststellungen (Jahresbericht). Bei besonderen Vorkommnissen berichtet er unverzüglich und unterrichtet die beteiligten Stellen zur Einleitung der erforderlichen Maßnahmen. In seinem Jahresbericht beurteilt der Datenschutzbeauftragte nach dem vorgegebenen Dokumentations- und Bewertungssystem den Stand des Datenschutzes und in Abstimmung mit dem IT-Sicherheitsverantwortlichen auch den Stand der technischen und organisatorischen Maßnahmen zum Datenschutz.

Der betriebliche Datenschutzbeauftragte hat beim Betriebsrat keine Prüfrechte und der Datenschutzbeauftragte unterliegt keinen Weisungen des Betriebsrats. Der Betriebsrat kann aber den Datenschutzbeauftragten in Datenschutzfragen konsultieren. Unbeschadet der Unabhängigkeit des Betriebsrats hat der Betriebsrat die rechtlichen und sicherheitsrelevanten Anforderungen des Datenschutzes und die hierzu ergangenen betrieblichen Regelungen zu beachten. Abweichungen von den betrieblichen Regelungen aufgrund der besonderen Stellung des Betriebsrats sind vom Betriebsrat mit den beteiligten Stellen abzustimmen. Mitgeltende Unterlagen: (Bestellung des betrieblichen Datenschutzbeauftragten)

Integration des Datenschutzmanagements in das Unternehmensmanagement

Die Erfüllung der operativen Aufgaben des Datenschutzes ist den für die einzelnen Fachbereiche bzw. für die Geschäftsprozesse verantwortlichen Fachbereichsleitern bzw. Geschäftsprozessverantwortlichen übertragen. Die für die einzelnen Geschäftsprozesse bzw. Fachbereiche relevanten Datenschutzvorgaben sind in den Datenschutzprozessen und in den Verfahrensbeschreibungen zur Übersicht über die Verarbeitungstätigkeiten verbindlich festgelegt. Die Vollständigkeit und Aktualität der Datenschutzprozesse und Verfahrensbeschreibungen wird vom betrieblichen Datenschutzbeauftragten regelmäßig überprüft.

Qualitätsmanagement

Verankerung des Datenschutzes in den QM-Dokumenten

Die datenschutzrechtlichen Vorgaben zu Unternehmenszielen und Strategien werden in den zutreffenden QM-Dokumenten beschrieben und ausgestaltet. Der QM-Verantwortliche und der Datenschutzbeauftragte wirken gemeinsam auf die Entwicklung geeigneter Datenschutzziele und -strategien hin. Der Datenschutzbeauftragte hat für die Entwicklung der Datenschutzziele und Strategien eine besondere Beratungsaufgabe. für die förmliche Ausgestaltung in der QM-Dokumentation ist der QM-Beauftragte verantwortlich.

Integration des Datenschutzes in den PDCA-Zyklus 

(PDCA-Zyklus = kontinuierlicher Verbesserungsprozess)

Zur laufenden Aktualisierung und Fortentwicklung des Datenschutzes und zur Anpassung an sich verändernde Verhältnisse im Unternehmen ist der Datenschutz in den PDCA-Zyklus bzw. den Kontinuierlichen Verbesserungsprozess (KVp) nach den eingerichteten Regeln des Qualitätsmanagements integriert. Der Datenschutzbeauftragte beobachtet die Rechtsentwicklung im Datenschutz und wirkt auf die Anwendung des PDCA-Zyklus und auf die laufende Fortentwicklung des Datenschutzes hin.

Integration des Datenschutzes in das Auditwesen

Der Datenschutzbeauftragte erstellt einen jährlichen Prüfplan über die durchzuführenden Datenschutzprüfungen. Die Prüfungen sind so zu gestalten, dass alle datenschutzrelevanten Bereiche, Prozesse und Datenverarbeitungsverfahren in einem angemessenen Rhythmus überprüft und bewertet werden, ob die Anforderungen der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO erfüllt werden.

Datensicherheitsmanagement

Integration des Datensicherheitsmanagements in das Informations- und IT- Sicherheitsmanagement

Es bestehen zu folgenden Bereichen/Prozessen Zertifizierungen auf der Grundlage: Berücksichtigung des Datenschutzes in den Zielen und Maßnahmen der Normen ISO 27001 und ISO 9001. Da diese für unseren Kreisverband auch mittelfristig nicht erreichbar erscheinen, streben wie ein ISMS nach VdS 10000 an.

Die Forderungen des Datenschutzes sind in den Zielen und Maßnahmen der (DIN EN ISO 9001:2015) beschrieben. Besondere Anforderungen des Datenschutzes und die speziellen technischen und organisatorischen Maßnahmen dazu sind in den einzelnen Nachweisdokumenten beschrieben.

Definition der Datenschutzanforderungen der beteiligten Parteien

(Partei und Erwartungen)

Kunden: 

  • datenschutztechnische Kompetenz
  • Hohe Datensicherheit
  • prompte Auskunftsleistungen
  • Einhaltung gesetzlicher Anforderungen

Mitarbeiter: 

  • datenschutzkonforme Arbeitsplätze
  • umfassende Information zum Thema
  • Einhaltung gesetzlicher Regelungen
  • Transparente Kommunikation

Dachverband: 

  • zügiges Handeln
  • nachhaltige Entwicklung des Datenschutzkontepts
  • Einhaltung verbandsinterner Richtlinien und Vorgaben
  • zertifizierte Lieferanten

Dienstleister: 

  • wirtschaftliches Handeln
  • Offene Kommunikation
  • Zertifizierungen
  • angepasste Verträge

Gesetzgeber: 

  • Einhaltung regulatorischer Vorgaben und Gesetze
  • Berichterstattung bei Nichtkonformitäten

Technische und organisatorische Maßnahmen zum Informations- und Datenschutz

Die in DIN EN ISO 9001:2015 beschriebenen technischen und organisatorischen Maßnahmen gelten auch für die personenbezogenen Daten. Soweit sich für die personenbezogenen Daten zusätzliche Anforderungen ergeben, sind diese hier ebenfalls zu berücksichtigen.

Datenschutzdokumente

Die Datenschutzdokumentation befindet sich vollständig in unserer Datenschutzmanagement-Software: Privacysoft Online (zertifizierte SaaS-Software-Lösung: ISO 9001:2008, ISO 27001, SAE 3402, SAP Certified in Hosting Services, Reliable Data Center CAT III)

Die Datenschutzdokumentation enthält nachfolgend aufgeführte Inhalte: : die Prozess- und Verfahrensübersicht

Die Prozessübersicht enthält folgende Inhalte: : die Prozessübersicht der personalbezogenen Prozesse : die Prozessübersicht der Kunden-/Lieferantenprozesse : die allgemeinen Prozesse

Die Prozess- und Verfahrensübersichten zeigen für die Personal-, Kunden- und Lieferantendaten sowie für sonstige Personenkategorien abschließend welchen Verfahren diese Daten verarbeitet werden.

Soweit nicht bereits verwendbare Prozessübersichten oder Datenflusspläne vorhanden sind, werden diese vom Datenschutzbeauftragten und ansonsten von den jeweiligen Dokumenteneignern in Abstimmung mit dem Datenschutzbeauftragten geführt.

Verzeichnis über die Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO wird ein Verzeichnis über die Verarbeitungstätigkeiten geführt. Das Verzeichnis besteht aus den folgenden Dokumenten: Übersicht über die Datenverarbeitungsverfahren und gemeinsame Angaben zum Verzeichnis über die Verarbeitungstätigkeiten.

Um überflüssige Wiederholungen und Redundanzen zu vermeiden, werden die gemeinsamen Angaben zum Verzeichnis über die Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 lit. a DSGVO in einem Formular „Gemeinsame Angaben zum Verzeichnis über die Verarbeitungstätigkeiten“ vorangestellt. Diese gemeinsamen Angaben enthalten auch eine Auflistung der einzelnen Datenverarbeitungsverfahren, die in den zugehörigen Beschreibungen der einzelnen Verfahren ausführlich beschrieben sind.

Beschreibung der einzelnen Verfahren

Beschreibung der einzelnen Verfahren enthält die Angaben lt. Art. 30 Abs. 1 lit. b bis f DSGVO. Die Beschreibung der Verfahren für Verantwortliche gem. Art. 30 Abs. 1 DSGVO enthält über die Pflichtangaben des Art. 30 Abs. 1 DSGVO hinaus alle zur Prüfung der Rechtmäßigkeit des Verfahrens und der Verarbeitung erforderlichen Angaben und unter Angabe der Rechtsgrundlage auch eine Prüfung der Zulässigkeit der einzelnen Verarbeitungstätigkeiten und der Erfüllung der datenschutzrechtlichen Voraussetzungen. Der Datenschutzbeauftragte bestätigt auf jeder einzelnen Verfahrensbeschreibung die datenschutzrechtliche Ordnungsmäßigkeit bzw. Konformität des Verfahrens und vermerkt das Datum der letzten Prüfung des Verfahrens. Stellt der Datenschutzbeauftragte bei der Prüfung eines Datenverarbeitungsverfahrens Abweichungen fest, vermerkt er diese bei der Verfahrensbeschreibung und berichtet der GeschäŠftsleitung. Der Datenschutzbeauftragte überwacht die Erledigung der Abweichungen.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Diese Beschreibung enthält die übergreifenden und für alle Verarbeitungsverfahren gültigen allgemeinen technischen und organisatorischen Maßnahmen. Bestehende Verfahrensanweisungen und Regelungen zu den technischen und organisatorischen Maßnahmen werden als mitgeltende Unterlagen geführt. Soweit für einzelne Verfahren davon abweichende verfahrensindividuelle Maßnahmen bestehen, sind diese in den Verfahrensbeschreibungen zu den einzelnen Verfahren enthalten.

Fahrzeugkontrolle