Richtlinie zur Datenschutzorganisation in der Buchhandlung Koch
1. Grundsätze
Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen.
Deshalb verarbeiten wir die personenbezogenen Daten unserer Mitarbeiter,
Kunden sowie Geschäftspartner in Übereinstimmung mit den
anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und
zur Datensicherheit. In dieser Datenschutzrichtlinie wird beschrieben,
welche Arten von personenbezogenen Daten wir erheben, wie diese Daten
genutzt werden, an wen sie Übermittelt werden und welche
Wahlmöglichkeiten und Rechte betroffene Personen im Zusammenhang
mit unserer Verarbeitung der Daten haben. Außerdem beschreiben wir,
mit welchen Maßnahmen wir die Sicherheit der Daten gewährleisten
und wie betroffene Personen Kontakt mit uns aufnehmen können, wenn
Sie Fragen zu unseren Datenschutzpraxis haben.
Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung
und die insoweit bei der Buchhandlung Koch bestehenden Verantwortlichkeiten.
Alle Mitarbeiter sind zur Einhaltung der Richtlinie verpflichtet.
Sie richtet sich an:
die Personen oder Abteilungen, die über den Einsatz/die
Bereitstellung eines Anwendungssystems entscheiden (der Inhaber Thomas Koch);
die Personen oder Abteilungen, die über die Nutzung des Systems
für ihre Aufgaben entscheiden;
Benutzer, d.h. diejenigen, die das zur Verfügung gestellte
System für die Erledigung ihrer betrieblichen Aufgaben nutzen
(bei Speicherung personenbezogener Daten auf einem Arbeitsplatzrechner
entscheidet der einzelne Benutzer ggf. auch über die im System erfolgende
Verarbeitung und die dazu verwendeten Programme),
den betrieblichen Datenschutzbeauftragten (DSB), der ihre Umsetzung
beratend und kontrollierend begleitet und die ihm speziell zugewiesenen
Aufgaben wahrzunehmen hat.
Dabei gelten folgende Grundsätze:
Die DV-Hard- und Software sind für betriebliche Aufgaben, und
zwar für die jeweils vorgesehenen Zwecke, zu verwenden und gegen
Verlust und Manipulation zu sichern. Eine Nutzung für private Zwecke
bedarf der ausdrücklichen Genehmigung.
Jeder Mitarbeiter ist in seinem Verantwortungsbereich für die
Umsetzung der Richtlinie verantwortlich. Die Einhaltung muss von ihm
regelmäßig kontrolliert werden.
Die für die Verarbeitungen der eingesetzten Systeme
Verantwortlichen stellen sicher, dass ihre Mitarbeiter (Benutzer) über
diese Richtlinie informiert werden; das gilt auch für temporär
Beschäftigte.
Der Datenschutzbeauftragte berät bei der Umsetzung der Richtlinie
und prüft deren Einhaltung. Insoweit sind alle Adressaten der
Richtlinie dem DSB auskunftspflichtig.
2. Der betriebliche Datenschutzbeauftragte
Die Buchhandlung Koch braucht gemessen an der Mitarbeiterzahl laut
Gesetz keinen Datenschutzbeauftragten.
Die Datenschutzkontrolle liegt in der Hand des Inhabers Thomas Koch
3. Hard- und Software
Bereits bei der Auswahl von Hard-und Software wird das Prinzip der
Gewährleistung von Datenschutz durch Technikgestaltung und durch
datenschutzfreundliche Voreinstellungen als ein tragendes Kriterium
beachtet.
Private Hard- und Software dürfen nicht zur Verarbeitung
personenbezogener Daten Verwendung finden. Die dienstliche Nutzung
privater Hard- und Software im heimischen und außerbetrieblichen
Bereich (z.B. private Notebooks) bedarf der Genehmigung durch den
Inhaber im Einzelfall.
Die Buchhandlung führt ein Verzeichnis der eingesetzten Hardware
und der verwendeten Anwendungsprogramme.
Bei Verdacht des Diebstahls von Hard- und Software, des unbefugten
Zugriffs auf personenbezogene Daten, von Sabotage etc. werden die
behördlichen Datenschutzstellen informiert.
4. Verpflichtung der Mitarbeiter
Jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, ist
auf einen vertraulichen Umgang mit personenbezogenen Daten und die
Einhaltung dieser Richtlinie zu verpflichten.
5. Transparenz der Datenverarbeitung
Über Verfahren, die den Umgang mit personenbezogenen Daten
betreffen, führt der Inhaber ein Verzeichnis von Verarbeitungen
gem. Art. 30 DS-GVO.
Macht ein Betroffener von seinem Auskunftsrecht nach Art. 15 DS-GVO
oder seinem Korrektur- oder Widerspruchsrecht nach Art. 16 und Art. 21
DSGVO Gebrauch, so erfolgt die zentrale Bearbeitung durch den Inhaber.
Es ist sicherzustellen, dass dem Betroffenen seine Daten auf Wunsch in
einem strukturierten, gängigen und maschinenlesbaren Format zur
Verfügung gestellt werden können.
6. Erhebung/Verarbeitung von personenbezogenen Daten
Die Erhebung und Verarbeitung personenbezogener Daten darf nur im
Rahmen des rechtlich Zulässigen erfolgen. Hierbei sind auch die
besonderen Voraussetzungen für die Erhebung und Verarbeitung
sensibler Daten gemäߴß Art. 9 Abs. 1 DSGVO zu beachten. Grundsätzlich
dürfen nur solche Informationen verarbeitet und genutzt werden,
die zur betrieblichen Aufgabenerfüllung erforderlich sind und
in unmittelbarem Zusammenhang mit dem Verarbeitungszweck stehen.
Es wird sichergestellt, dass Betroffene keiner Entscheidung unterworfen
werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen
und zugleich den Betroffenen gegenüber eine rechtliche Wirkung
entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen
(bspw. Profiling).
Vor Einführung neuer Arten von Erhebungen ist die die
Zulässigkeit bestimmende Zweckbestimmung der Daten durch den für
die Anwendung Verantwortlichen schriftlich zu dokumentieren.
Grundsätzlich ist eine Zweckänderung nur dann zulässig,
wenn die Verarbeitung mit denjenigen Zwecken vereinbar ist, für die
die Daten ursprünglich erhoben worden sind. Die im Rahmen der
Zweckänderung genutzten Abwägungs-Kriterien sind einzeln zu
prüfen. Eine Zweckänderung ist auch zulässig, wenn eine
Einwilligung der betroffenen Person durch den Verantwortlichen eingeholt
wird. Gleichzeitig hat der für die Verarbeitung Verantwortliche vor
der Erhebung bzw. der Speicherung von Daten schriftlich festzulegen,
ob und in welcher Art und Weise der gesetzlichen Benachrichtigungspflicht
des Betroffenen zu genügen ist.
Falls andere Stellen Informationen über Betroffene anfordern,
dürfen diese ohne Einwilligung des Betroffenen nur gegeben werden,
wenn hierfür eine gesetzliche Verpflichtung oder ein die Weitergabe
rechtfertigendes legitimes Interesse des Unternehmens besteht und die
Identität des Anfragenden zweifelsfrei feststeht.
7. Datenhaltung/ Versand/ Löschung
Die Speicherung von Daten erfolgt grundsätzlich auf den hierzu
zur Verfügung gestellten Netzlaufwerken.
Bei Bestellungen in unserem Internetshop werden die Daten auf der
Cloud bei der Firma Strato gespeichert. Eine Vereinbarung zur
Auftagsverarbeitung nach Art. 28 Abs. 3 Datenschutz Grundverordnung
(DSGVO) wurd mit der Firma Strato abgeschlossen.
Kundenbestellungen bei unserem Grossisten werden bei der Koch, Neff
& Volckmar GmbH gespeichert. Eine Vereinbarung zur Auftragsverarbeitung
nach Art. 28 Abs. 3 Datenschutz Grundverordnung (DSGVO) wurde mit der
Firma Koch, Neff & Volckmar abgeschlosse
Gesetzliche Aufbewahrungsfristen und Löschungstermine sind von
dem über die Verarbeitung der Daten Entscheidenden in seiner
Verantwortung zu beachten.
Bei der Weiter- oder Rückgabe nicht mehr benötigter
IT-Komponenten ist der Benutzer verpflichtet, dafür zu sorgen, dass
zuvor sämtliche Daten wirksam gelöscht wurden.
8. Externe Dienstleister/ Auftragsvereinbarung/ Wartung
Sollen externe Dienstleister erstmals mit der Verarbeitung
personenbezogener Daten bzw. einzelnen Verarbeitungsschritten
(z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten
(z.B. Wartung, Reparatur) beauftragt werden, bei denen sie die
Möglichkeit der Kenntnis personenbezogener Daten bekommen, so ist
mit Ihnen eine Vereinbarung zur Auftagsverarbeitung nach Art. 28 Abs. 3
Datenschutz Grundverordnung (DSGVO) abzuschließen.
9. Sicherheit der Verarbeitung
Für jedes Verfahren ist eine dokumentierte
Schutzbedarfsfeststellung sowie eine Analyse bzgl. der für den
Betroffenen möglichen Risiken zu erstellen. Diese richten sich an
der Art, dem Umfang, der Umstände und Zwecke der Verarbeitung sowie
der Wahrscheinlichkeit des Eintritts einer solchen Gefahr.
Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität
der Daten sowie der Belastbarkeit der Daten verarbeitenden Systeme ist ein
allgemeines Sicherheitskonzept zu erstellen. Das Konzept orientiert sich
an der zuvor erstellten Schutzbedarfsfeststellung und der Risikoanalyse.
Dieses Konzept ist maßgeblich für alle weiteren Verfahren.
Neben dieser Richtlinie bestehen ergänzende Regelungen, die
insbesondere zur Realisierung der Datensicherungsgebote des Art.
32 DS-GVO zu treffende Maßnahmen betreffen. Hierzu gehören u.a.
Arbeitsanweisung zum Passwortverfahren
Arbeitsanweisung zur Erteilung von Auskünften im Personalbereich
Arbeitsanweisung zur PC- und Laptop-Nutzung
Arbeitsanweisung Telearbeit/Home-Office
10. Rechenschafts- und Dokumentationspflicht
Die Einhaltung der Vorgaben, die sich aus dieser Richtlinie ergeben,
muss jederzeit nachweisbar sein ("Accountability"). Eine Nachweisbarkeit
hat insbesondere durch eine schlüssige und nachvollziehbare
schriftliche Dokumentation hinsichtlich getroffener Maßnahmen und
dazugehöriger Abwägungen zu erfolgen.