Datenschutz Richtlinien

1 Begriffsdefinition

1.1 Auftragsverarbeiter

Erhebt, speichert, verarbeitet, nutzt personenbezogene Daten im Auftrag des Verantwortlichen (Auftraggebers) auf Grundlage eines Vertrags (AV-Vertrag) und nur zu den vereinbarten Zwecken; weist dem Verantwortlichen seine geeigneten technischen und organisatorischen Maßnahmen nach; Art. 28 ff. DSGVO

1.2 AV-Vertrag/Vertrag über die Auftragsdatenverarbeitung

Vereinbarung zur Auftragsverarbeitung von personenbezogenen Daten zwischen Aufraggeber und Auftragnehmer im Rahmen einer Dienstleistung; inhaltliche Anforderungen gem. Art. 28 Abs 3 DSGVO

1.3 BDSG

Bundesdatenschutzgesetz

1.4 besondere Kategorien pb Daten

Sensible, besonders schützenswerte Daten (Gesundheit, Religion, politische Meinung etc.)

1.5 Betroffene

Natürliche Personen, deren Daten erhoben, gespeichert und verarbeitet werden

1.6 Betroffenenrechte

Rechte der Bertoffenen gegenüber dem Verantwortlichen: Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung

1.7 DSB

Datenschutzbeauftragter

1.8 Dritter

Dritter im Sinne des Rechts ist jedes Rechtssubjekt (natürliche oder juristische Person), das neben zwei Parteien in einer Rechtsbeziehung (z. B. im Vertrag) auftritt und mit eigenen Rechten oder Pflichten beteiligt sein kann

1.9 Drittstaaten

Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR)

1.10 DSFA

Datenschutz-Folgenabschätzung, Risikoanalyse für Verfahren mit Verarbeitung sensibler personenbezogener Daten

1.11 EU-DSGVO

Datenschutzgrundverordnung in der Europäischen Union

1.12 IMS

Integriertes Managementsystem (ISO 27001 & ISO 9001)

1.13 Grundsätze der Verarbeitung von pb Daten

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung

1.14 personenbezogene (pb) Daten

Angaben über persönliche und sachliche Verhältnisse, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen

1.15 Pflichten des Verantwortlichen

Mitteilungs- und Rechenschaftspflicht gegenüber den Betroffenen und gegenüber den Aufsichtsbehörden;

Dokumentationspflicht, um seiner Rechenschaftspflicht nachkommen zu können;

Meldepflicht von Verletzungen/Verstößen an die Aufsichtsbehörde;

Auftragsverarbeiter auswählen, kontrollieren und verpflichten (AV-Verträge);

Mitarbeiter sensibilisieren, schulen und schriftlich auf das Datengeheimnis verpflichten

1.16 Rechtmäßigkeit der Verarbeitung/Rechtsgrundlagen

Erlaubnis für die Verarbeitung pb Daten durch: Gesetze, Verträge, Einwilligung der Betroffenen

1.17 Schutzziele

Vertraulichkeit (Schutz vor unbefugtem Zugriff), Verfügbarkeit (sicherstellen, dass die Daten zu dem Zeitpunkt zur Verfügung stehen zu dem sie benötigt werden), Integrität (Richtigkeit & Unversehrtheit der Daten, Schutz vor Manipulation und unbeabsichtigter/unbefugter Löschung)

1.18 Technische und organisatorische Maßnahmen

Technische und/oder organisatorische Maßnahmen (kurz: TOM) um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen der Gesetze (DSGVO, BDSG) erfüllt werden

1.19 Verantwortlicher

Das mit der Verarbeitung der pb Daten befasste Unternehmen bzw. dessen Leitung

1.19 Verantwortlicher

Die Übergabe von pb Daten an andere Parteien außer dem Betroffenen und dem Verantwortlichen bezeichnet, z.B. an Dritte oder an Auftragsverarbeiter

2 Das Unternehmen
Die LogSolution GmbH wurde im Februar 2004 in Frechen gegründet und bietet innovative und flexible IT-Systemlösungen mit den folgenden Dienstleistungen an: Konzeption, Entwicklung, Beratung und Service. Auch unterstützen wir unsere Kunden mit Produkten im Bereich der webbasierten Anwendungsentwicklung. Wir verwenden diverse Eigenentwicklungen zur effizienten Steuerung unserer Kernprozesse (Ticketsystem, Dokumentenmanagementsystem, Systemüberwachungstool).

Um den erhöhten Qualitäts- und Sicherheitsanforderungen im IT- und Logistik-Dienstleistungssektor gerecht zu werden, betreiben wir ein „integriertes Managementsystem“ gemäß ISO 9001 und ISO 27001. Seit 2012 sind wir durchgehend nach den Normanforderungen an Informationssicherheits-Managementsysteme (ISO 27001) zertifiziert. Unsere Anstrengungen und Maßnahmen für höchste Datensicherheit und -integrität liefern uns das optimale Rüstzeug, um auch den Anforderungen des Datenschutzes zu entsprechen.

3 Geltungsbereich der Datenschutz-Richtlinie und interessierte Parteien
Die vorliegende Datenschutzrichtlinie bezieht sich auf die Erhebung, Speicherung und Verarbeitung/Nutzung personenbezogener Daten durch die LogSolution GmbH. Sie richtet sich an die Beschäftigten und Auszubildenden des Unternehmens, an unsere Kunden und Lieferanten, an die betroffenen Personen, Aufsichtsbehörden und an mögliche andere Interessierte Parteien, z.B. Bildungseinrichtungen und IHK.

4 Verantwortliche im Unternehmen und zuständige Aufsichtsbehörde
Geschäftsführung: Guido Köhler, Michael Seemann
Datenschutzbeauftragter: Jochen Inden

Informationssicherheitsbeauftragter: Jochen Inden
Leiter HR: Michael Seemann
Leiter IT: Guido Köhler
Zuständige Aufsichtsbehörde: LDI (NRW) – Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (www.ldi.nrw.de)

5 Datenschutzpolitik der LogSolution GmbH
Die Geschäftsleitung der LogSolution GmbH verpflichtet sich zur Einhaltung der Datenschutzvorgaben und benennt zu deren Durchsetzung und Überwachung einen Datenschutzbeauftragten.

Wir betreiben seit 2012 ein zertifiziertes Informationssicherheits-Management nach ISO/IEC 27001. Datenschutz und Datensicherheit sind auf der Gesetzesgrundlage des DSGVO integraler Bestandteil unserer Informationssicherheits-Politik. Dabei haben wir uns folgende Prinzipien gesetzt:

Integrität und Vertraulichkeit
Wir sichern die Integrität und Vertraulichkeit personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen sowie durch Awareness und Kompetenz unseres Personals, welches mit der Erfassung und Verarbeitung der Daten betraut ist.

Rechtmäßigkeit und Transparenz
Personenbezogene Daten werden von uns nur auf rechtmäßige Weise und mit Einverständnis der betroffenen Personen erhoben. Die betroffenen Personen sind dabei über den Zweck der Datenerhebung informiert und erhalten auf Wunsch Einblick in unseren Umgang mit den Daten.

Zweckbindung
Wir erheben, speichern und verarbeiten personenbezogene Daten ausschließlich für zuvor festgelegte, eindeutige und legitime Zwecke. Eine Weiterverarbeitung für andere Zwecke als ursprünglich vereinbart schließen wir aus.

Datenminimierung
Wir erheben personenbezogene Daten nur in dem Maße, wie es angemessen und für den Zweck der Verarbeitung notwendig und erheblich ist.

Richtigkeit
Wir achten darauf, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sind. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, werden unverzüglich gelöscht oder berichtigt.

Speicherbegrenzung
Personenbezogene Daten werden nur so lange vorgehalten/gespeichert, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Eine über diese Zeit hinausgehende Speicherung für einen begrenzten Zeitraum kann erfolgen, wenn die Daten z.B. für die jährliche Steuererklärung oder ähnliche Zwecke oder für die Erfüllung von Verträgen benötigt werden.

6 Datenkategorien, Zwecksbestimmungen und Rechtsgrundlagen
Unser Unternehmen erhebt, speichert und verarbeitet keine personenbezogenen Daten, die zu den sogenannten „besonderen Kategorien personenbezogener Daten“ (Art. 9 DSGVO) gehören.

Die Verarbeitung personenbezogener Daten ist kein primärer Prozess unserer Dienstleistungen. Wir erheben, speichern und verarbeiten personenbezogene Daten im Rahmen der Erfordernisse und der gesetzlichen Vorgaben ausschließlich zum Zweck der Durchführung und Umsetzung folgender unternehmerischer Prozesse:

• Erbringung von Dienstleistungen für unsere Kernprodukte am geschlossenen System gemäß Kundenverträgen und Service Level Agreements
  • Fehlerbehebung (Entwicklung, Konfiguration, Datenbereinigung)
  • Workflow-Unterstützung bei Problemen und Fragen
  • Änderungsmanagement gemäß Kundenauftrag
  • Wartung der Kundensysteme (Hochverfügbarkeitstests, Reorganisation der Datenbanken, Betriebssystem-Wechsel etc.)
  • Hardware-Wartung und Repair-Management
• Webbasierte Anwendungsentwicklungen (Neu-/Weiter-Entwicklungen) und Hosting der Anwendungen für die Kunden
• Personalmanagement (Durchführung von Arbeitsverhältnissen)
• Bewerbungsmanagement
• Einkaufstätigkeiten (Beschaffung von Waren und Dienstleistungen und Pflege von Lieferantenbeziehungen)

 

Als Auftragnehmer können wir die durch unsere Auftraggeber zu verarbeitenden personenbezogenen Daten in den Systemen einsehen, verarbeiten diese aber lediglich, um den logistischen Transport von Waren zu gewährleisten. Die LogSolution GmbH verfolgt keine eigenen Zwecke der Verarbeitung dieser personenbezogenen Daten. Um Projekte, Aufträge und Beratungstätigkeiten (z.B. Hotline Support) durchführen zu können, verarbeiten wir ausschließlich Daten (i.d.R. Namen, Telefonnummern, E-Mail-Adressen) von Interessenten und Bestandskunden.

Die Verarbeitung personenbezogener Daten durch die LogSolution GmbH erfolgt auf folgenden Rechtsgrundlagen:

• DSGVO, BDSG und andere bindenden Rechtsverordnungen zum Datenschutz
• Erfüllung rechtlicher Verpflichtungen, denen der Verantwortliche unterliegt (BGB, Sozialversicherungsgesetze, Rentengesetze, Steuergesetze, etc.)
• Durchführung vertraglicher Maßnahmen, die auf Anfrage von oder im Einverständnis mit den betroffenen Personen (Kunden und Beschäftigte der Vertragspartei) erfolgen

Mit Kunden und Dienstleistern haben wir Verträge über die Auftragsverarbeitung personenbezogener Daten (sogenannte AV-Verträge) abgeschlossen.

7 Risikomanagement
Die Datenschutz-Grundverordnung stellt die Rechte und Freiheiten der betroffenen Personen – also derjenigen, deren Daten verarbeitet werden – in den Vordergrund der (Sicherheits-)Betrachtungen. Es muss abgewogen werden, welchen Schutzbedarf bestimmte personenbezogene Daten haben, d.h. welche negativen Auswirkungen (Gefahren) sich durch ungewollte Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang für die Betroffenen ergeben würden und wie hoch die Eintrittswahrscheinlichkeit von ungewollter Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang ist. Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen bestimmen über die Erforderlichkeit von technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz der personenbezogenen Daten ergreifen muss, d.h. mit welchen Maßnahmen das jeweilige Risiko reduziert werden kann (Art. 24 Abs. 1 Satz 1 und Art. 32 Abs. 1 DSGVO).

Bei der Einführung eines neuen Verfahrens muss eine formale Risikoanalyse durchgeführt werden, welche auch als Grundlage für die Entscheidung dient, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. (Kriterien für die Risikobewertung finden sich vor allem in den Erwägungsgründen 75, 76, 89 bis 91 und 94 der Datenschutz-Grundverordnung.)

Im Verfahrensverzeichnis der LogSolution GmbH nehmen wir für jedes unserer eingesetzten, also auch für die bereits etablierten Verfahren, eine Risikoanalyse für die Schutzziele

• Vertraulichkeit
• Verfügbarkeit
• Integrität

nach dem folgenden Schema vor:

Datenschutzrichtlinien

Gemäß unserer internen Festlegung ist eine Datenschutz-Folgenabschätzung notwendig, wenn mindestens einem der drei Schutzziele ein Wert >= 8 zugemessen wird.

8 Sicherheitsvorgaben und Kontrollen
Neben den in Kapitel 5 genannten Prinzipien verankert die Datenschutz-Grundverordnung in Art. 25 Technikgestaltung („privacy by design“) und datenschutzfreundliche Voreinstellungen (“privacy by default“) als Grundgedanken und fordert damit das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) zum Schutz personenbezogener Daten, bestenfalls bereits bei der Erarbeitung und Inbetriebnahme eines Datenverarbeitungsvorgangs. Unter technischen Maßnahmen sind dabei alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind, oder Maßnahmen, die in Soft- und Hardware umgesetzt werden. Als organisatorische Maßnahmen sind solche Schutzversuche zu verstehen die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden.

Eine Darstellung aller technischen und organisatorischen Maßnahmen, die die LogSolution GmbH zur Erreichung der Schutzanforderung

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungsgebot

implementiert hat, sind in dem Dokument „SEC FB016 ToM zum Datenschutz der LogSolution“ dargestellt. In diesem Dokument verweisen wir auch auf den Bezug der Schutzanforderungen zu den entsprechenden Normenanforderungen an unser Informationssicherheits-Managementsystem nach ISO 27001.

Bei unseren Mitarbeitern sorgen wir durch regelmäßige Schulungen für Bewusstsein und Sensibilisierung für das Thema „Datenschutz“. Jeder Mitarbeiter wird schriftlich auf das Datengeheimnis verpflichtet. Die Verpflichtungserklärung enthält Hinweise auf mögliche Sanktionen bei Verstößen sowie auf das Fortbestehen der Verpflichtung nach Beendigung des Beschäftigungsverhältnisses. Ausgewählte Administratoren mit umfassenden Berechtigungen auf unsere IT-Systeme geben darüber hinaus im Rahmen des IMS eine Verschwiegenheitserklärung ab.

Im Rahmen des IMS werden jährlich interne Audits zu den Kernprozessen und etwa jedes zweite Jahr interne Audits zu den unterstützenden Prozessen der LogSolution GmbH durchgeführt. Dazu kommen die jährlichen Überwachungsaudits bzw. die im Drei-Jahres-Turnus durchgeführten (Re-) Zertifizierungsaudits durch eine anerkannte Zertifizierungsstelle, um die Konformität des Unternehmens mit den Anforderungen an ein Informationssicherheits-Managementsystem gemäß ISO 27001 zu überprüfen und sicherzustellen. Es ist vorgesehen, ab 2018 auch den Aspekt des „Schutzes personenbezogener Daten“ bei den internen IMS-Audits zu berücksichtigen. Komplette Datenschutzaudits sollen anlassbezogen durchgeführt werden.

9 Löschregeln
Es gibt eine gesetzliche Verpflichtung, personenbezogenen Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Die Datenschutz-Grundverordnung benennt in Artikel 5 Abs.1 lit. e: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“

Wie in Kapitel 6 dargestellt, speichert die LogSolution GmbH personenbezogene Daten ihrer Beschäftigten und von Bewerbern sowie von Vertragspartnern (Bestandskunden, Interessenten, Lieferanten) zur Erbringung von Dienstleistungen.

Daten von Bewerbern werden nach 6 Monaten gelöscht oder vernichtet. Für die Daten aus Beschäftigungsverhältnissen, Verträgen und Projekten bestehen nach Beendigung zumeist gesetzliche Aufbewahrungspflichten. Wenn personenbezogene Daten nicht mehr für aktive Geschäftsprozesse benötigt werden, wird der interne Zugriff weiter eingeschränkt, solange die Daten nicht gelöscht werden können. Die Erstellung und Implementierung von Löschroutinen ist in Arbeit.

Kapitel 6 legt des Weiteren dar, dass wir als Auftragnehmer die durch unsere Auftraggeber zu verarbeitenden personenbezogenen Daten in den Systemen einsehen können, diese aber lediglich insofern „verarbeiten“, um den logistischen Transport von Waren zu gewährleisten. Wir speichern diese Daten nicht in „eigenen“ Systemen, so dass die Implementierung von Löschroutinen für diese Daten nicht in unserer Verantwortung liegt.

10 Weitergabe an Dritte, Auftragsverarbeiter und Unterauftragsverhältnisse
Begriffsdefinitionen zu diesem Kapitel finden sich in Kapitel 1 der Datenschutzrichtline.

Die Weitergabe von Daten kann auch ohne Einwilligung, Vertrag oder rechtliche Verpflichtung zulässig sein, wenn ein „berechtigtes Interesse des Verantwortlichen oder eines Dritten“ besteht – sofern diese Interessen die Rechte der betroffenen Personen nicht einschränken (Art. 6 Abs. 1 lit. f DSGVO). Zu den berechtigten Interessen nach Art.6 Abs.1 lit. f DSGVO gehören auch Interessen an der Gewinnmaximierung, Kostensenkung und Optimierung der Dienste. Bei der Interessensabwägung kommt es auf die Art der Daten, den Zweck der Datenweitergabe und mögliche Risiken für die Betroffenen an. So wird z.B. die Abwägung grundsätzlich negativ ausfallen, wenn Kundendaten an Adresshändler verkauft werden. Hier wird im Regelfall eine Einwilligung notwendig sein.

LogSolution gibt personenbezogene Daten ihrer Beschäftigten und Kunden (und ggf. weiterer interessierter Parteien, s. Kap. 3) nur auf Grundlage eines gesetzlichen Erlaubnistatbestandes an Dritte weiter, z.B. an Sozialbehörden und Finanzbehörden (Art. 6 Abs.1 lit. c). Sollten andere Fälle einer Datenübermittlung an Dritte auftreten, so erfolgt dies auf Grundlage eines Vertrags (Art. 6 Abs.1 lit. b) oder einer Einwilligung des/der Betroffenen (Art. 6 Abs.1 lit. a).

Als Auftraggeber schließt die LogSolution GmbH mit ihren Dienstleistern, welche im Rahmen der erbrachten Dienstleistung Kenntnis von personenbezogenen Daten erhalten (können), AV-Verträge ab und kontrolliert die Dienstleister auf Einhaltung der geforderten Datenschutz-Vorgaben. Dies erfolgt in der Regel durch Prüfung der Dokumentation über die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, welche von den Dienstleistern zur Verfügung gestellt wird.

Als Auftragnehmer schließt die LogSolution GmbH mit ihren Kunden AV-Verträge ab und weist diesen die Einhaltung der geforderten Datenschutz-Vorgaben nach – in der Regel durch Aushändigung der Dokumentation über die sog. technischen und organisatorischen Maßnahmen zum Schutz pb Daten (SEC/FB016 ToM* zum Datenschutz der LogSolution).

Sofern die LogSolution GmbH Unterauftragnehmer (Sub-Unternehmer) einschaltet, werden die Unterauftragsverhältnisse im Vertrag zur Auftragsdatenverarbeitung mit den Kunden dargelegt. Derzeit hat LogSolution keine Unterauftragnehmer in Drittstaaten (Nicht-EU-Ländern).

In der Konstellation mit einem Auftraggeber (A), Auftragnehmer (B) und einem Unterauftragnehmer (C) ist (B) im Rahmen seiner Auftragnehmer-Verantwortung Auftraggeber des (C), verantwortliche Stelle bleibt bei einer Auftragsdatenverarbeitung jedoch immer der Auftraggeber (A).

Es gibt drei Modelle, wie die Weisungs- und Kontrollrechte des Auftraggebers (A) gegenüber dem Unterauftragnehmer (C) ausgeübt werden können (Quelle: https://www.datenschutzbeauftragter-info.de/auftragsdatenverarbeitung-weisungs-und-kontrollrechte-im-unterauftragsverhaeltnis/):

10.1 Durchgriffsmodell

(A) wird ein direktes Weisungs- und Kontrollrecht bei (C) eingeräumt. Dies führt dazu, dass (C) ausschließlich von (A) geführt und kontrolliert wird und (B) als Auftragnehmer hier außen vor bleib

10.2 Stufenmodell

(A) erteilt Weisungen an den (B), und (B) erteilt Weisungen an (C), eine bestimmte Handlung datenschutzrechtlicher Art vorzunehmen (Weisung in Stufen). (B) ist im Verhältnis zu (C) eigenständiger Auftraggeber, während (A) sog. Überauftraggeber zu (C) wäre. Hier erfolgt kein direkter Durchgriff auf (C) durch (A). Da zwischen (A) und (C) kein eigenständiges Vertragsverhältnis besteht, kann (A) nur (B) kontrollieren, bzw. (B) anweisen den (C) zu kontrollieren. Hierbei kann er grundsätzlich im Rahmen seines Weisungsrechtes gegenüber (B) die Art der Kontrollen bei (C) vorschreiben, sodass er die Herrschaft über die Daten nicht verliert.

Der Auftragnehmer (B) trägt Verantwortung im Rahmen seiner Auftraggeber-Rolle gegenüber (C), dabei ist (B) aber an alle Weisungen des (A) gebunden und nicht etwa als verantwortliche Stelle i.S.d. DSGVO/BDSG einzuordnen.

10.3 Mehr-Auftraggeber-Modell

Dieses Modell stellt eine Kombination des Durchgriffs- und Stufenmodells dar. Hierbei ist (C) den Weisungen und Kontrollen des (A) direkt unterworfen, muss aber gleichzeitig auch den Weisungen und Kontrollen des (B) Folge leisten. Ein Auseinanderfallen der Weisungen ist faktisch nicht möglich, da (B) den Unterauftragnehmer (C) nur so anweisen könnte, wie er selbst von (A) angewiesen wurde. (Im Vertrag zwischen (B) und (C) müssten die Weisungs- und Kontrollrechte des konkreten Auftraggebers (A) geregelt werden, und aus Transparenzgründen müsste jede Stelle mit Auftraggeber-Qualität in der Auftragskette konkret benannt werden.)

Bei den Unterauftragsverhältnissen der LogSolution GmbH wenden wir das Stufenmodell an.

11 Auskunftsregelung und Widersprüche
Betroffenen steht gemäß Art. 15 DSGVO ein Auskunftsrecht gegenüber der verantwortlichen Stelle zu. Die verantwortliche Stelle hat in diesem Rahmen in der Regel unentgeltlich Auskunft über nachfolgende Informationen zu erteilen:

• die zur Person des Auskunft suchenden Betroffenen gespeicherten Daten (ggf. auch Herkunft dieser Daten)
• ggf. Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden
• Zweck der Speicherung/Verarbeitung

Sind über den Betroffenen keine Daten gespeichert, ist ihm auch dies mitzuteilen (Negativauskunft).

Um das Problem der Identitätsprüfung bei mündlicher Auskunftserteilung zu vermeiden, möchten wir von dieser absehen und die Informationen nur in schriftlicher Form zu Verfügung stellen (SEC/FB013-DE Antwort Auskunftsersuchen über pb Daten). Bei elektronischer Übermittlung verwendet LogSolution ein gängiges elektronisches Format und sorgt auch eine sichere Übertragung mit dem Dateiaustauschtool Qiata. Gemäß Art. 12 Abs. 3 DSGVO kommen wir Auskunftsersuchen innerhalb eines Monats nach Eingang des Antrags nach.

Ersuchen Betroffener auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten gemäß Art. 16 -Art. 19 DSGVO prüfen und beantworten wir schriftlich innerhalb eines Monats nach Erhalt des Antrags (SEC/FB014-DE Antwort Änderungs- und Löschungsersuchen über pb Daten).

12 Umgang mit Datenpannen – Meldepflicht und Reaktionsplan
Nach Art. 4 Nr.12 DSGVO ist eine Datenpanne (formal „eine Verletzung des Schutzes personenbezogener Daten“) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig

• zur Vernichtung, zum Verlust, zur Veränderung personenbezogener Daten
• zur unbefugten Offenlegung von/zum unbefugten Zugang zu personenbezogenen Daten

führt. Beispiele für Datenpannen sind:

• Löschung durch eine nicht autorisierte Person
• Unmöglichkeit der Wiederherstellung eines Backups
• Abhandenkommen eines Schlüssels zur Entschlüsselung
• Datendiebstahl (durch Hacking oder physisches Eindringen in eine geschützte Umgebung)
• Verlust eines mobilen, unverschlüsselten Datenträgers

Generell besteht nach Art. 33 Abs. 5 DSGVO die Pflicht zur Dokumentation hinsichtlich aller Verletzungen des Schutzes personenbezogener Daten und aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.

Des Weiteren besteht bei Kenntniserlangung einer Datenpanne die Pflicht, Meldungen an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) und an die betroffenen Personen (Art. 34 DSGVO) zu machen, und zwar unverzüglich nach Kenntniserlangung bzw. innerhalb von 72 Stunden im Fall der Aufsichtsbehörden (Verzögerungen müssen begründet werden). Die betreffenden Artikel lassen Ausnahmen von der Pflicht zur Benachrichtigung zu; um deren Anwendbarkeit zu prüfen, ist in jedem Fall eine Risikoabwägung durchzuführen. Hierzu soll der Risikokatalog es Erwägungsgrundes 75 DSGVO berücksichtigt und die Abwägung dokumentiert werden.

Um die Meldepflichten entsprechend der gesetzlichen Vorgaben zügig umsetzen zu können, hat sich LogSolution mit folgendem Reaktionsplan auf den möglichen Eintritt von Datenpannen vorbereitet.

12.1 Schnelle Kenntniserlangung von Datenpannen

Die Mitarbeiter sind angewiesen, Datenschutzpannen unverzüglich nach Kenntniserlangung dem Datenschutzbeauftragten zu melden. Es wird kommuniziert, dass zügiges Handeln möglicherweise wichtig sein kann, um den Schaden zu begrenzen. Auch für den Fall, dass ein Verschulden eines Mitarbeiters vorliegt, ist die zeitnahe Meldung des Vorfalls an den Datenschutzbeauftragten auch in seinem Interesse. Ggf. wird rechtlicher Rat eingeholt.

12.2 Bewertung

Der Datenschutzbeauftragte führt ggf. in Zusammenarbeit mit Kollegen, die im Zusammenhang mit Art und Umständen der Datenpanne die notwendige Fachkenntnis besitzen, eine Bewertung und Risikoanalyse durch. Folgende Kriterien werden zur Ermittlung des Risikos einer Datenschutzpanne herangezogen:

• betroffene Kategorien personenbezogener Daten
• Art der Verletzung
• Kreis und Anzahl der betroffenen Personen
• Missbrauchsrisiken und Folgewirkungen für die betroffenen Personen.

12.3 Maßnahmen zur Abwendung/Eindämmung

In Zusammenarbeit mit dem Fachpersonal werden Gegenmaßnahmen erarbeitet, um Datenschutzpannen der betreffenden Art in Zukunft zu vermeiden bzw. das Risiko für deren Eintreten einzudämmen. Dabei kann auf die Erfahrung aus der Bewältigung vorangegangener Datenpannen zurückgegriffen werden. Werden neue technische und/oder organisatorische Maßnahmen eingeführt oder bestehende technische und/oder organisatorische Maßnahmen verändert/erweitert, so muss dies zu einer Revision der betreffenden Dokumentation führen (SEC/FB016 ToM* zum Datenschutz der LogSolution, Verfahrensanweisungen/Prozessbeschreibungen des IMS).

12.4 Entscheidung ob eine Meldung erfolgen soll

An die Bewertung der Datenpanne schließt sich die Entscheidung an, ob eine Meldung an die Aufsichtsbehörde und/oder an den Betroffenen erfolgen soll. Bei der Entscheidung ist die Geschäftsleitung mit einzubeziehen. Bei positiver Entscheidung erfolgt dann die Meldung an die Aufsichtsbehörde und/oder den Betroffenen.

Beispiele für Datenpannen, die Meldung an die Aufsichtsbehörde und die Betroffenen erfordern:

• das Unternehmen wird Opfer eines Cyber-Angriffs und Hacker veröffentlichen Namen und Passwörter von Kunden
• eine große Zahl personenbezogener Daten wird an eine falsche Empfängerliste mit einer großen Zahl von Empfängern geschickt

Beispiele für Datenpannen, die keine Meldung erfordern: