1. Erhebung und Verarbeitung von Daten
Datenverarbeitende Stelle ist:
HERSAND GmbH
Geschäftsführerin: Renate Sander
Am Erlengrund 16
21218 Seevetal
Tel.: +49 (0)176 712 301 88
Mail: info@hersand.net
Web: www.hersand.net
Sitz: Seevetal
Registergericht: Amtsgericht Lüneburg
Registernummer: HRB 207381
HERSAND GmbH ist als Betreiber dieser Website Verantwortlicher für die personenbezogenen Daten der Nutzer (Im Folgenden: „Sie“) der Website im Sinne der Datenschutzgrundverordnung („DSGVO“).
Wir schützen Ihre Privatsphäre und Ihre privaten Daten. Wir erheben, verarbeiten und nutzen Ihre personenbezogenen Daten in Übereinstimmung mit dem Inhalt dieser Datenschutzbestimmungen sowie den anwendbaren Datenschutzvorschriften, insbesondere der DSGVO [und der ePrivacy-VO]. In diesen Datenschutzbestimmungen wird geregelt, welche personenbezogenen Daten wir über Sie erheben, verarbeiten und nutzen. Wir bitten Sie daher, die nachfolgenden Ausführungen sorgfältig durchzulesen.
1. Erheben personenbezogener Daten
1.1 Personenbezogene Daten im Sinne dieser Datenschutzbestimmungen sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Hierzu zählen insbesondere Ihr Name, Ihre E-Mail-Adresse [und ggf. Ihre Adresse und Ihre Telefonnummer sowie Ihre Kreditkarten- und Kontodaten und Ihre Umsatzsteuerangaben, wenn Sie ein registrierter Kunde sind].
1.2 Zu den personenbezogenen Daten zählen auch Informationen über Ihre Nutzung unserer Website. In diesem Zusammenhang erheben wir personenbezogene Daten wie folgt von Ihnen: Informationen über Ihre Besuche unserer Website wie bspw. Umfang des Datentransfers, den Ort, von dem aus Sie Daten von unserer Website abrufen sowie andere Verbindungsdaten und Quellen, die Sie abrufen. Dies geschieht in der Regel durch die Verwendung von Logfiles und Cookies. Nähere Informationen zu Logfiles und Cookies erhalten Sie weiter unten.
1.3 Sofern wir Ihre IP-Adresse erheben, wird diese nur für die Zeit Ihrer Nutzung der Website gespeichert und im Anschluss daran unverzüglich gelöscht oder durch Kürzung anonymisiert. Die übrigen Daten werden für den Zeitraum gespeichert, der für die Erreichung des Zwecks der Speicherung erforderlich ist, vorbehaltlich Europäischer oder inländischer Gesetze oder Vorschriften, denen wir unterliegen und die uns zur weitergehenden Speicherung ggf. verpflichten. Entfallen die vorgenannten Voraussetzungen für die Speicherung, löschen wir die Daten.
2. Verwendungszweck und Rechtsgrundlage
2.1 Verwendungszwecke
Wir verwenden Ihre personenbezogenen Daten zu folgenden Zwecken:
2.1.1 Um die von Ihnen gewünschten Angebote für unsere Dienstleistungen zu erstellen und Ihnen diese nebst unseren Vertragsbedingungen (einschließlich weiterer Datenschutzbestimmungen betreffend die Vertragsdurchführung, ggf. Auftragsverarbeitung usw.) zu übersenden;
2.1.2 Um sicherzustellen, dass unsere Website in möglichst effektiver und interessanter Weise Ihnen gegenüber präsentiert wird;
2.1.3 für die Teilnahme an Bewerbungsverfahren, Speicherung nur für die Dauer der Teilnahme an Bewerbungsverfahren, anschließend Löschung;
2.1.4 Um Ihnen die Teilnahme an interaktiven Angeboten zu ermöglichen, sofern Sie dies wünschen;
2.2 Rechtsgrundlagen
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:
2.2.1 Die Erhebung der in Ziffer 1.2 und 3.1 aufgeführten Daten (der Informationen über Ihre Besuche der Website, bspw. Umfang des Datentransfers, den Ort, von dem aus Sie Daten unserer Website abrufen sowie andere Verbindungsdaten) stützt sich auf Artikel 6 Absatz 1 lit f) DS-GVO.
2.2.2 Die Bereitstellung der personenbezogenen Daten durch Sie beruht auf Artikel 6 Absatz 1 lit b) und/oder c) DS-GVO; diejenigen Vorgänge, die gem. Artikel 6 Absatz 1 lit. a) DS-GVO Ihre Einwilligung voraussetzen, werden durch gesonderten Vertrag geregelt, der Ihre Einwilligung jeweils ausdrücklich vorsieht.
2.2.3 Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
2.2.4 Sollte die Einwilligung Rechtsgrundlage für die Datenerhebung/Datenverarbeitung gewesen sein, können Sie diese jederzeit an die o.g. Adresse widerrufen. Die Rechtmäßigkeit der Verarbeitungen, die bis zum Widerruf auf Grundlage der Einwilligung erfolgten, bleibt davon unberührt.
3. Informationen über Ihren Computer, Cookies und Targeting
3.1 Bei jedem Zugriff auf unsere Seite erheben wir folgende Informationen über Ihren Computer: Die IP-Adresse Ihres Computers, die Anfrage Ihres Browsers sowie die Zeit dieser Anfrage. Außerdem werden der Status und die übertragene Datenmenge im Rahmen dieser Anfrage erfasst. Wir erheben auch Produkt- und Versionsinformationen über den verwendeten Browser und das Betriebssystem ihres Computers. Wir erfassen weiter, von welcher Website aus der Zugriff auf unsere Seite erfolgte. Die IP-Adresse Ihres Computers wird dabei nur für die Zeit Ihrer Nutzung der Website gespeichert und im Anschluss daran unverzüglich gelöscht oder durch Kürzung anonymisiert. Wir verwenden diese Daten für den Betrieb unserer Website, insbesondere um Fehler der Website festzustellen und zu beseitigen, um die Auslastung der Website festzustellen und um Anpassungen oder Verbesserungen vorzunehmen.
3.2 Unter Umständen erheben wir außerdem Informationen über Ihre Nutzung unserer Website durch die Verwendung sog. Browser-Cookies. Dies sind kleine Textdateien, die auf Ihrem Datenträger gespeichert werden und die bestimmte Einstellungen und Daten zum Austausch mit unserem System über Ihren Browser speichern. Ein Cookie enthält in der Regel den Namen der Domain, von der die Cookie-Daten gesendet wurden sowie Informationen über das Alter des Cookies und ein alphanumerisches Identifizierungszeichen. Cookies ermöglichen unseren Systemen, das Gerät des Nutzers zu erkennen und eventuelle Voreinstellungen sofort verfügbar zu machen. Sobald ein Nutzer auf die Plattform zugreift, wird ein Cookie auf die Festplatte des Computers des jeweiligen Nutzers übermittelt. Cookies helfen uns, unsere Website zu verbessern und Ihnen einen besseren und auf Sie zugeschnittenen Service anbieten zu können. Sie ermöglichen uns, Ihren Computer wiederzuerkennen, wenn Sie auf unsere Website zurückkehren und dadurch:
– Informationen über Ihre bevorzugten Aktivitäten auf der Website zu speichern und so unsere Website an Ihren individuellen Interessen auszurichten. Dies beinhaltet bspw. Werbung, die Ihren persönlichen Interessen entspricht.
– die Geschwindigkeit der Abwicklung Ihrer Anfragen zu beschleunigen.
3.3 In den von uns verwendeten Cookies werden lediglich die oben erläuterten Daten über Ihre Nutzung der Website gespeichert. Dies erfolgt nicht durch eine Zuordnung zu Ihnen persönlich, sondern durch Zuweisung einer Identifikationsnummer zu dem Cookie („Cookie-ID“). Eine Zusammenführung der Cookie-ID mit Ihrem Namen, Ihrer IP-Adresse oder mit ähnlichen Daten, die eine Zuordnung des Cookies zu Ihnen ermöglichen würden, erfolgt nicht. Wie Sie den Einsatz von Browser-Cookies unterbinden können, erfahren Sie unter Ziffer 3.5.
3.4 Unsere Website verwendet sog. Tracking-Technologien. Wir nutzen diese Technologien, um für Sie das Internetangebot interessanter zu gestalten. Diese Technik ermöglicht es, Internetnutzern, die sich bereits für unsere Website interessiert haben, auf den Websites unserer Partner mit Werbung anzusprechen. Die Einblendung dieser Werbemittel auf den Seiten unserer Partner erfolgt auf Basis einer Cookie-Technologie und einer Analyse des vorherigen Nutzungsverhaltens. Dieser Technologie bedienen wir uns nur, wenn Sie darin eingewilligt haben, der Einsatz für den Abschluss oder die Erfüllung eines Vertrages mit Ihnen erforderlich ist oder andere Rechtsvorschriften dies erlauben.
3.5 Sollten Sie eine Verwendung von Browser-Cookies nicht wünschen, können Sie Ihren Browser so einstellen, dass eine Speicherung von Cookies nicht akzeptiert wird. Bitte beachten Sie, dass Sie unsere Website in diesem Fall ggf. nur eingeschränkt oder gar nicht nutzen können. Wenn Sie nur unsere eigenen Cookies, nicht aber die Cookies unserer Dienstleister und Partner akzeptieren wollen, können Sie die Einstellung in Ihrem Browser „Cookies von Drittanbietern blockieren“ wählen.
4. Datensicherheit
Alle Informationen, die Sie an uns übermitteln, werden auf Servern innerhalb der Europäischen Union gespeichert. Leider ist die Übertragung von Informationen über das Internet nicht vollständig sicher, weshalb wir die Sicherheit der über das Internet an unsere Website übermittelten Daten nicht garantieren können. Wir sichern unsere Website und sonstigen Systeme jedoch durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen ab. Insbesondere werden Ihre persönlichen Daten bei uns verschlüsselt übertragen. Wir bedienen uns dabei des Codierungssystems SSL (Secure Socket Layer).
5. Keine Weitergabe Ihrer personenbezogenen Daten
Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn, Sie haben in die Datenweitergabe eingewilligt oder wir sind aufgrund gesetzlicher Bestimmungen und/oder behördlicher oder gerichtlicher Anordnungen zu einer Datenweitergabe berechtigt oder verpflichtet. Dabei kann es sich insbesondere um die Auskunftserteilung für Zwecke der Strafverfolgung, zur Gefahrenabwehr oder zur Durchsetzung geistiger Eigentumsrechte handeln.
6. Datenschutz und Websites Dritter
Die Website kann Hyperlinks zu und von Websites Dritter enthalten. Wenn Sie einem Hyperlink zu einer dieser Websites folgen, beachten Sie bitte, dass wir keine Verantwortung oder Gewähr für fremde Inhalte oder Datenschutzbedingungen übernehmen können. Bitte vergewissern Sie sich der jeweils geltenden Datenschutzbedingungen, bevor Sie personenbezogene Daten an diese Websites übermitteln.
7. Facebook
Wir verwenden den sogenannten „Like-Button“ des sozialen Netzwerks Facebook (Facebook Inc., 1 Hacker Way, Menlo Park, California 94025, USA). Die sogenannten Facebook-Plugins können Sie hier einsehen: https://developers.facebook.com/docs/plugins/
Sie erkennen diese Plugins am "Like-Button" ("Gefällt mir") und/oder dem Logo von Facebook. Plugins stellen eine direkte Verbindung zwischen Facebook und Ihrem Webbrowser her, wodurch Facebook die Information darüber erhält, dass Sie unsere Seiten besucht haben, sowie Ihre IP-Adresse. Bei Anklicken des „Like-Buttons“ können Inhalte unserer Website auf Ihrem Facebook-Account verlinkt werden. Das bedeutet, dass zusätzlich Facebook den Besuch unserer Website Ihrem Facebook-Account zuordnen kann. Bitte beachten Sie daher die Facebook-Datenschutzerklärung: https://de-de.facebook.com/policy.php.
Wir weisen darauf hin, dass wir keine Daten von Facebook zurückerhalten, also keine Einsicht in diese Daten nehmen können. Wenn Sie die o.g. Zuordnung zu Ihrem Facebook-Account nicht wünschen, sollten Sie sich beim „Surfen“ im WWW bei Facebook abmelden.
8. Google Analytics
Diese Website nutzt Google Analytics des Anbieters Google Inc. Anschrift: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google Analytics verwendet so genannte "Cookies", siehe oben zu 3. Die von Google verwendeten Coockies werden auf Ihrem Computer gespeichert, um die Analyse der Nutzung der Website durch Besucher zu ermöglichen. Die so erlangten Informationen werden auf einen Server der Google Inc. in den USA übertragen und dort gespeichert.
Wir nutzen Google Analytics zur Verbesserung unseres Web- und Werbeangebotes. Dieses ist ein berechtigtes Interesse, das von Art. 6 Abs. 1 lit. f DS-GVO gedeckt ist.
Die speziell für diesen Fall bestehende Funktion einer IP-Anonymisierung ist aktiviert, wodurch IP-Adressen von Seitenbesuchern innerhalb der EU oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor Übermittlung derselben in die USA gekürzt werden. Wir weisen auf Ausnahmefälle hin, bei denen die Kürzung erst in den USA erfolgt.
Dies ermöglicht Google, in unserem Auftrag die Nutzung der Website auszuwerten (z.B. welche Seiten angeklickt werden usw.). Google hat dabei keine Möglichkeit, etwa Ihre IP-Adresse mit Daten von Google zu verbinden und so Profile von Ihnen zu erstellen.
Wir erfassen über Google-Analytics auch –anonym- demografische Merkmale, also Angaben zum Alter, Geschlecht und Interessen der Besucher unserer Websites. Google erfasst solche Daten im Rahmen eigener interessenbezogener Werbung und aus Besucherdaten anderer Anbieter. Wenn Sie dies nicht wünschen, wählen Sie das Menü „Anzeigeneinstellungen“, nachdem Sie sich in Ihrem Google-Konto angemeldet haben und deaktivieren diese Option oder folgen den nachfolgenden Anweisungen:
Sie wollen überhaupt nicht von Google Analytics erfasst werden?
Wir verweisen auf Ziffer 3.5 dieser Datenschutzerklärung für das Blockieren von Cookies. Sie können aber auch die Datenerhebung bzw. Erfassung und Verarbeitung verhindern, indem Sie ein Browser-Plugin von Google herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de. Google Analytics ist dann hinsichtlich Ihrer Besuche deaktiviert. Dies hat die Wirkung eines Widerspruchs.
Mehr zum Datenschutz bei Google:
https://support.google.com/analytics/answer/6004245?hl=de.
Zudem unterhalten Google-Analytics- Kunden Verträge zur Auftragsverarbeitung mit Google zu Ihrem Schutz.
9. Änderungen dieser Datenschutzbestimmungen
Wir behalten uns das Recht vor, diese Datenschutzbestimmungen jederzeit mit Wirkung für die Zukunft zu ändern. Eine jeweils aktuelle Version ist auf der Website verfügbar. Bitte suchen Sie die Website regelmäßig auf und informieren Sie sich über die geltenden Datenschutzbestimmungen.
10. Ihre Rechte und Kontakt
Bezüglich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen umfangreiche Rechte zu. Zunächst haben Sie ein umfangreiches Auskunftsrecht und können ggf. die Berichtigung und/oder Löschung und/oder Sperrung Ihrer personenbezogenen Daten verlangen. Sie können auch eine Einschränkung der Verarbeitung verlangen und haben ein Widerspruchsrecht sowie ein Recht auf Datenübertragbarkeit. Falls Sie eines Ihrer Rechte geltend machen und/oder nähere Informationen hierüber erhalten möchten, wenden Sie sich an uns an die oben genannte Adresse, ggf. per Email oder Brief.
Ihnen steht ein beschwerderecht zu. Dafür zuständig sind die Landesdatenschutzbeauftragten. Den für uns zuständigen Landesdatenschutzbeauftragten finden Sie in dem Bundesland, in dem unser Unternehmen seinen Sitz hat. Eine Aufstellung aller Landesdatenschutzbeauftragten mit Kontaktdaten finden Sie hier:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
Sollten Sie Fragen, Kommentare oder Anfragen bezüglich der Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten durch uns haben, wenden Sie sich bitte ebenfalls an uns unter den oben angegebenen Kontaktdaten.
I. Allgemeines
1. Einleitung
1.1 Die im Unternehmen vorhandenen Daten sind für das Unternehmen und die reibungslosen Abläufe im Unternehmen von großem Wert. Diese Daten sind daher gegen unbefugte Zugriffe und andere Gefährdungen zu schützen.
1.2 Gleichzeitig erwarten die Kunden, Partner und Mitarbeiter des Unternehmens, dass die dem Unternehmen anvertrauten Daten besonders geschützt werden und ein sorgsamer Umgang mit ihnen erfolgt.
1.3 Das Unternehmen bekennt sich auch im Rahmen seines gesellschaftlichen Engagements zu seiner Verantwortung für den sorgsamen Umgang mit personenbezogenen Daten.
2. Ziel der Unternehmensrichtlinie
2.1 Mit dieser Unternehmensrichtlinie sollen einheitliche Standards für den Datenschutz im Unternehmen geschaffen werden.
2.2 Durch die Einhaltung der in dieser Unternehmensrichtlinie definierten Standards kommt das Unternehmen seinen datenschutzrechtlichen Verpflichtungen nach und sorgt für eine ausreichende Berücksichtigung der Interessen sowie Rechte der betroffenen Personen.
2.3 Die Beachtung dieser Unternehmensrichtlinie ist Voraussetzung für den sicheren Austausch von personenbezogenen Daten innerhalb des Unternehmens.
3. Anwendungsbereich der Unternehmensrichtlinie
3.1 Diese Unternehmensrichtlinie gilt für jegliche Verarbeitung von personenbezogenen Daten, wobei die erstmalige Erfassung von Daten, deren Speicherung und Verwendung sowie die Weitergabe innerhalb des Unternehmens und die Übermittlung an Dritte erfasst werden. Es werden umfassend alle datenschutzrechtlichen Aspekte geregelt, die sich im Rahmen der Datenverarbeitung ergeben können. Sie findet Anwendung auf sämtliche Arten von personenbezogenen Daten, insbesondere Daten von Mitarbeitern, Kunden, Lieferanten und anderen Geschäftspartnern.
3.2 Auch für alle Tochterunternehmen des Unternehmens ist diese Unternehmensrichtlinie verbindlich.
3.3 Die Herkunft der Daten ist für die Anwendbarkeit dieser Unternehmensrichtlinie nicht maßgeblich; entscheidend ist die Verwendung der Daten im Unternehmen.
3.4 Bestehende gesetzliche Verpflichtungen werden von dieser Unternehmensrichtlinie nicht berührt und sind somit zu erfüllen. Es ist daher stets zu prüfen, welche gesetzlichen Regelungen einschlägig sind; deren Beachtung ist sicherzustellen. Sofern sich aus den gesetzlichen Bestimmungen geringere Anforderungen ergeben, gelten die Regelungen dieser Unternehmensrichtlinie.
4. Definitionen
4.1 Personenbezogene Daten im Sinne dieser Unternehmensrichtlinie sind Angaben über eine identifizierte oder identifizierbare natürliche Person. Daten, die ausschließlich Informationen über juristische Personen beinhalten, sind keine personenbezogenen Daten. Auch diese Daten sollen gleichermaßen geschützt werden. Der Personenbezug entfällt bei einer vollständigen Anonymisierung, nicht aber bereits bei der Verwendung von Pseudonymen.
4.2 Betroffene Personen sind diejenigen Personen, deren personenbezogene Daten im Unternehmen verarbeitet werden.
4.3 Dritter ist jede Stelle außerhalb des Unternehmens. Einzelne Stellen oder Abteilungen innerhalb des Unternehmens sind nicht Dritte, gleichwohl ist auch innerhalb des Unternehmens zu prüfen, inwieweit personenbezogene Daten unternehmensintern zur Verfügung gestellt werden müssen. Dienstleister, mit denen eine Vereinbarung zur Auftragsdatenverarbeitung besteht, gelten ebenfalls nicht als Dritte, da diese unter der Verantwortung des Unternehmens tätig werden.
II. Grundsätze der Datenverarbeitung
5. Zulässigkeit der Datenverarbeitung
5.1 Bei jedem Vorgang der Datenverarbeitung ist zu prüfen, ob die beabsichtigte Verarbeitung von Daten zulässig ist. Bestehen Zweifel an der Zulässigkeit, soll der Datenschutzbeauftragte kontaktiert werden.
5.2 Die Zulässigkeit der Datenverarbeitung kann sich aus verschiedenen Gesichtspunkten ergeben. Zunächst kann sich die Zulässigkeit daraus ergeben, dass der Betroffene in die Datenverarbeitung eingewilligt hat. Auch ohne Einwilligung des Betroffenen kann die Datenverarbeitung zulässig sein, wenn eine gesetzliche Ermächtigungsgrundlage einschlägig ist. Fehlt es an einer Einwilligung und einer gesetzlichen Ermächtigungsgrundlage, dann ist die Datenverarbeitung unzulässig.
5.3 Im Rahmen der Zulässigkeitsprüfung ist auch zu untersuchen, ob die Datenverarbeitung unter Berücksichtigung des Prinzips der Datenminimierung notwendig ist.
6. Gesetzliche Ermächtigungsgrundlagen
6.1 Die Verarbeitung personenbezogener Daten kann erforderlich sein für die Begründung oder Erfüllung eines Vertrags mit der betroffenen Person.
6.2 Eine Notwendigkeit und Ermächtigung zur Datenverarbeitung kann sich ergeben aufgrund einer rechtlichen Verpflichtung des Unternehmens, die beispielsweise unmittelbar resultiert aus einer gesetzlichen Regelung oder einer verbindlichen behördlichen Entscheidung. Als Ermächtigungsgrundlage kommt insoweit insbesondere ein Auskunftsersuchen von Ermittlungsbehörden in Betracht.
6.3 Zulässig ist die Verarbeitung personenbezogener Daten auch, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist. Gleiches gilt für die Wahrung lebenswichtiger Interessen.
6.4 Denkbar ist eine Datenverarbeitung schließlich in den Fällen, bei denen berechtigte Interessen des Unternehmens bestehen und gleichzeitig kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Datenverarbeitung überwiegt. Das Ergebnis einer solchen Interessenabwägung soll dabei schriftlich protokolliert werden.
7. Einwilligung und Protokollierung
7.1 Eine Einwilligung der betroffenen Person ist als Grundlage für die Datenverarbeitung ausreichend, wenn die betroffene Person zuvor ausreichend informiert wurde und ihre Einwilligung für die beabsichtigte Datenverarbeitung anschließend eindeutig und auf freiwilliger Basis erteilt hat.
7.2 Von einer ausreichenden Information ist auszugehen, wenn die wesentlichen Abläufe der Datenverarbeitung verständlich erläutert werden und insbesondere erklärt wird, zu welchem Zweck die Daten verarbeitet werden. Die betroffene Person soll darauf hingewiesen werden, dass ihre Einwilligung frei widerruflich ist. Außerdem ist darauf zu achten, dass Einwilligungserklärungen gegenüber anderen Erklärungen optisch hervorgehoben und abgegrenzt werden. Eine Kopplung der Einwilligung mit anderen Erklärungen soll vermieden werden.
7.3 Eine Einwilligung kann nur dann freiwillig abgegeben werden, wenn die betroffene Person im Falle einer Verweigerung der Einwilligung keine gravierenden Nachteile zu befürchten hat. Wird die Inanspruchnahme oder Erbringung von Leistungen von einer Einwilligung abhängig gemacht, ist die erteilte Einwilligung regelmäßig dann freiwillig, wenn sie der Vertragsbegründung oder Vertragserfüllung dient oder wenn die Inanspruchnahme von Leistungen auch in anderer zumutbarer Weise möglich wäre.
7.4 Die Einwilligungserklärung der betroffenen Person soll aus Nachweisgründen in Textform eingeholt werden. In jedem Fall ist darauf zu achten, dass eine eindeutige Erklärung der betroffenen Person vorliegt. Die entsprechenden Einwilligungserklärungen sind für den Fall einer späteren Überprüfung zu protokollieren.
7.5 Bei einer schriftlich erteilten Einwilligung kann es zulässig sein, die Erklärung einzuscannen und das Original anschließend zu vernichten. Sofern eine Einwilligung online eingeholt wird, ist darauf zu achten, dass eine Überprüfung erfolgt, bspw. über ein Double-Opt-in-Verfahren.
8. Zweckbindung
8.1 Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Bei Einholung einer Einwilligung von der betroffenen Person ist auf den konkreten Zweck hinzuweisen. Es muss sich stets um einen rechtmäßigen Zweck der Datenverarbeitung handeln.
8.2 Wenn später eine Datenverarbeitung zu einem anderen Zweck erfolgen soll, dann muss auch hierfür eine Einwilligung eingeholt werden oder eine gesetzliche Ermächtigungsgrundlage vorliegen, sofern der neue Zweck der Datenverarbeitung nicht bereits mit dem ursprünglichen Zweck vereinbar ist.
9. Verhältnismäßigkeit
9.1 Bei der Verarbeitung personenbezogener Daten ist der Grundsatz der Verhältnismäßigkeit zu beachten. Der Grundsatz der Verhältnismäßigkeit ist beachtet, wenn die Datenverarbeitung dazu geeignet ist, einen legitimen Zweck zu erreichen. Weiter darf kein milderes, gleichermaßen geeignetes Mittel zur Erreichung des vorgesehenen Zwecks zur Verfügung stehen. Schließlich ist zu prüfen, ob der Datenverarbeitung keine überwiegenden schutzwürdigen Interessen der betroffenen Person entgegenstehen.
9.2 Als milderes Mittel kann bspw. die Verarbeitung von aggregierten Daten oder sonstigen Daten ohne Personenbezug in Betracht kommen.
9.3 Bei der Prüfung der Verhältnismäßigkeit kann insbesondere der Ursprung der personenbezogenen Daten (geschäftlich, privat oder intim) zu berücksichtigen sein. Weiter ist das mit der Datenverarbeitung verbundene Risiko einer Beeinträchtigung von Persönlichkeitsrechten abzuschätzen.
9.4 Im Rahmen der Prüfung der Verhältnismäßigkeit ist auch zu untersuchen, inwieweit eine Datenverarbeitung nach den Grundsätzen von Treu und Glauben sowie in transparenter Weise erfolgt.
10. Datenminimierung
10.1 Die Datenverarbeitung im Unternehmen ist so zu organisieren, dass so wenig personenbezogene Daten wie möglich verarbeitet werden. Wenn personenbezogene Daten nicht mehr benötigt werden, sollen diese gelöscht werden.
10.2 Bereits bei der Datenerhebung ist darauf zu achten, dass als Voreinstellung nur die zwingend benötigen Daten verlangt und alle weiteren Daten auf freiwilliger Basis erhoben werden. Voreinstellungen und Vorgaben für betroffene Personen sollen möglichst datenschutzfreundlich gestaltet sein.
10.3 Für die im Unternehmen gespeicherten Daten ist festzulegen, für welchen Zeitraum eine Aufbewahrung bzw. Speicherung zu erfolgen hat. Gesetzliche Aufbewahrungspflichten sind hierbei zu beachten. Nach Ablauf der Aufbewahrungsfrist bzw. Speicherdauer ist für eine Löschung der Daten zu sorgen, idealerweise durch ein automatisiertes Verfahren.
10.4 Im Rahmen der Datenverarbeitung ist immer zu überprüfen, ob es zur Erfüllung der vorgesehenen Zwecke ausreichend ist, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren. Bei entsprechenden Maßnahmen ist darauf zu achten, dass bei den entsprechend bearbeiteten Daten für den Empfänger der Daten jedenfalls kein Personenbezug mehr hergestellt werden kann, zumindest nicht mit verhältnismäßigem Aufwand.
11. Direkterhebung und Information der betroffenen Person
11.1 Personenbezogene Daten sollen aus Transparenzgründen nach Möglichkeit bei der betroffenen Person direkt erhoben werden. Eine Erhebung bei Dritten ist dann in Erwägung zu ziehen, wenn hierfür berechtigte Gründe vorliegen, etwa das Vorgehen im Interesse der betroffenen Person ist oder eine Direkterhebung nur mit unverhältnismäßigem Aufwand möglich wäre.
11.2 Die betroffene Person ist grundsätzlich darüber zu informieren, wenn personenbezogene Daten über sie verarbeitet werden. Im Rahmen der Information sind alle relevanten Details mitzuteilen, die für die betroffene Person und die Ausübung ihrer Betroffenenrechte von Bedeutung sind. Eine gesonderte Information kann unterbleiben, wenn ihr die Datenverarbeitung bekannt ist. Hiervon ist bspw. auszugehen, wenn eine Einwilligung der betroffenen Person eingeholt wurde und die betroffene Person in diesem Zusammenhang vorab informiert wurde.
12. Datenqualität
12.1 Alle Mitarbeiter haben darauf zu achten, dass personenbezogene Daten richtig sind und auf dem neuesten Stand gehalten werden.
12.2 Unzutreffende oder unvollständige Daten sollen berichtigt oder gelöscht werden. Soweit eine betroffene Person die Berichtigung bzw. die Vervollständigung verlangt, ist ihrem berechtigten Verlangen unverzüglich zu entsprechen.
13. Datensicherheit
13.1 Für das Unternehmen ist von großer Bedeutung, dass die Sicherheit der Daten jederzeit gewährleistet ist. Vor diesem Hintergrund sind die Daten u.a. ausreichend gegen Verlust, gegen unbefugten Zugriff und vor anderen Gefahren zu schützen.
13.2 Es ist daher dafür zu sorgen, dass angemessene Maßnahmen getroffen werden, um personenbezogene Daten zu schützen. Der Schutz hat durch technische und organisatorische Maßnahmen zu erfolgen.
13.3 Für die einzelnen Vorgänge der Datenverarbeitung sind die konkreten Schutzmaßnahmen zu dokumentieren und auf ihre Angemessenheit zu überprüfen.
13.4 Die IT-Abteilung kann weitergehende Vorgaben im Interesse der Datensicherheit erlassen, insbesondere in Bezug auf die Nutzung von IT-Systemen im Unternehmen.
III. Spezielle Formen der Datenverarbeitung
14. Werbemaßnahmen
14.1 Im Vorfeld eines Vertrags ist es während der Phase der Vertragsanbahnung zulässig, Daten zur Erstellung von Angeboten, zur Vorbereitung von Vertragsunterlagen und zur Erfüllung sonstiger auf einen Vertragsabschluss gerichteter Wünsche zu verarbeiten.
14.2 Soweit potentielle Kunden eine Einwilligung erteilt haben, können sie auch unter Verwendung der Daten, die sie mitgeteilt haben, kontaktiert werden. Etwaige Einschränkungen des potentiellen Kunden sind hierbei zu beachten.
14.3 Für die Kommunikation während eines laufenden Vertragsverhältnisses mit einem Kunden ist dessen Einwilligung zur Datenverarbeitung nicht erforderlich, soweit die Datenverarbeitung zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist. Soll der Kunde während eines laufenden Vertragsverhältnisses zu Werbezwecken kontaktiert werden, so soll vorher eine entsprechende Einwilligung des Kunden eingeholt werden, idealerweise bei Abschluss des Vertrags.
15. Erstellung von Nutzerprofilen
15.1 Nutzerprofile mit Personenbezug dürfen nur mit Einwilligung der betroffenen Person oder bei Vorliegen einer gesetzlichen Ermächtigungsgrundlage erstellt werden. Andernfalls ist durch organisatorische und technische Maßnahmen sicherzustellen, dass Nutzerprofile nur ohne Personenbezug erstellt werden.
15.2 Ohne Einwilligung der betroffenen Person und ohne eine besondere Ermächtigungsgrundlage bleiben statistische Auswertungen und Untersuchungen auf Basis anonymisierter oder pseudonymisierter Daten möglich. Soweit jedoch pseudonymisierte Nutzerprofile angelegt werden, muss die betroffene Person hierüber informiert werden und eine Widerspruchsmöglichkeit haben.
16. Verarbeitung besonderer Arten von Daten
16.1 Bei der Verarbeitung von personenbezogenen Daten ist zu berücksichtigen, dass sensible Daten und Daten über besonders schützenswerte betroffene Personen nur bei Vorliegen von zusätzlichen Voraussetzungen und/oder bei Einhaltung besonderer Schutzmaßnahmen verarbeitet werden dürfen.
16.2 Ein besonderer Schutz besteht für Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen und die Gewerkschaftszugehörigkeit sowie für genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben und zur sexuellen Orientierung. Für die Verarbeitung der vorgenannten Kategorien von Daten bedarf es einer gesonderten Rechtfertigung, außerdem sind geeignete Sicherheitsvorkehrungen zu implementieren und zu dokumentieren.
16.3 Finanz- und Kreditinformationen über Mitarbeiter und Kunden sind ebenfalls als sensible Daten anzusehen und sollen den gleichen Schutz genießen. Die vorstehenden Regelungen sollen daher entsprechend für derartige Daten gelten.
16.4 Als besonders schutzbedürftig gelten weiter Daten über strafrechtliche Verurteilungen und Straftaten. Soweit derartige Daten im Unternehmen verarbeitet werden sollen, bedarf dies der vorherigen Prüfung und Freigabe durch den Datenschutzbeauftragten.
16.5 Zusätzlich ist zu beachten, dass auch Minderjährige im Hinblick auf sämtliche personenbezogene Daten besonders schutzbedürftig sind. Maßnahmen zur Datenverarbeitung dürfen sich daher ohne vorherige Prüfung und Freigabe durch den Datenschutzbeauftragten nicht gezielt an Minderjährige richten.
17. Auftragsverarbeitung
17.1 Wenn Dienstleister des Unternehmens in dessen Auftrag personenbezogene Daten verarbeiten, ist zu beachten, dass die gleichen Sorgfaltsanforderungen wie beim Unternehmen auch für den Dienstleister gelten.
17.2 Der Dienstleister wird im Auftrag und auch unter der Verantwortung des Unternehmens tätig. Trotz der Durchführung der Datenverarbeitung durch den Dienstleister bleibt das Unternehmen der Verantwortliche, so dass der Dienstleister sorgfältig auszuwählen ist.
17.3 Spätestens mit Beginn der Tätigkeit für das Unternehmen ist dafür Sorge zu tragen, dass mit dem Dienstleister eine gesonderte Vereinbarung zur Auftragsverarbeitung vereinbart wird und danach eine regelmäßige Kontrolle der Einhaltung der Pflichten aus der Vereinbarung zur Auftragsverarbeitung erfolgt. Abweichungen von der Standardvereinbarung zur Auftragsverarbeitung des Unternehmens sind mit dem Datenschutzbeauftragten abzustimmen.
18. Automatisierte Einzelentscheidungen
18.1 Entscheidungen, die für die betroffene Person rechtliche Folgen nach sich ziehen oder sie erheblich beeinträchtigen können, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung von personenbezogenen Daten gestützt werden. Die automatisierte Datenverarbeitung darf nur als Hilfsmittel für die Entscheidung herangezogen werden, ohne dabei deren einzige Grundlage zu bilden.
18.2 Eine von dem vorstehenden Grundsatz abweichende Handhabung muss entweder für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich oder von einer ausdrücklichen Einwilligung der betroffenen Person abgedeckt sein. Sofern auf dieser Grundlage automatisierte Einzelentscheidungen erfolgen, muss für die betroffene Person die Möglichkeit für eine Nachprüfung bestehen.
19. Übermittlung von Daten
19.1 Die Übermittlung personenbezogener Daten ist ein Fall der Verarbeitung von Daten im Sinne dieser Unternehmensrichtlinie. Auch die Übermittlung ist daher nur mit Einwilligung der betroffenen Person oder aufgrund einer anderen Ermächtigungsgrundlage zulässig.
19.2 Bei der Übermittlung in das Ausland ist zusätzlich zu prüfen, ob hierdurch die Interessen und Rechte der betroffenen Person beeinträchtigt werden. Unproblematisch ist insoweit die Übermittlung in einen Vertragsstaat der Europäischen Union. Bei allen anderen Staaten ist vorab zu prüfen, ob ein vergleichbarer Datenschutzstandard besteht. Ein vergleichbarer Standard kann unter anderem durch den Abschluss zusätzlicher vertraglicher Vereinbarungen erreicht werden, etwa durch Nutzung der EU-Standardvertragsklauseln. Jede Übermittlung von personenbezogenen Daten in einen Staat außerhalb des Europäischen Wirtschaftsraumes ist mit dem Datenschutzbeauftragten abzustimmen.
IV. Innerbetriebliche Prozesse
20. Anforderungen an Mitarbeiter
20.1 Alle Mitarbeiter des Unternehmens sind besonders auf das Datengeheimnis zu verpflichten. Sie sind darüber zu belehren, dass es untersagt ist, personenbezogene Daten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder sie Unbefugten zugänglich zu machen. Die Verpflichtung auf das Datengeheimnis soll mit Beginn der Tätigkeit für das Unternehmen erfolgen. Die Mitarbeiter sind darüber zu belehren, dass die Pflicht zur Wahrung der Vertraulichkeit über das Ende der Tätigkeit für das Unternehmen fortgilt.
20.2 Auch innerhalb des Unternehmens ist darauf zu achten, dass nur die Mitarbeiter Zugriff auf personenbezogene Daten erhalten, die sie zur Erledigung ihrer Aufgaben für das Unternehmen benötigen.
20.3 Alle Mitarbeiter sollen zu Beginn ihrer Tätigkeit und nachfolgend regelmäßig in Datenschutzthemen geschult werden.
21. Dokumentationspflichten
21.1 Das Unternehmen führt ein Verzeichnis über die Verfahren des Unternehmens zur Verarbeitung personenbezogener Daten (Verzeichnis der Verarbeitungstätigkeiten), das von dem Datenschutzbeauftragten verwaltet wird.
21.2 Um das Verzeichnis der Verarbeitungstätigkeiten vollständig und aktuell zu halten, haben die Mitarbeiter entsprechend den Vorgaben des Datenschutzbeauftragten alle Verfahren unter Nutzung entsprechender Vordrucke zu melden.
21.3 Bestandteil der Dokumentation ist eine Risikobewertung der einzelnen Verfahren. Abhängig von dem Ergebnis der Risikobewertung ist ergänzend zu der standardmäßigen Dokumentation eine umfassende Datenschutz-Folgenabschätzung unter Mitwirkung des Datenschutzbeauftragten zu erstellen.
22. Einführung neuer Systeme zur Datenverarbeitung
Die Einführung neuer Systeme zur Verarbeitung personenbezogener Daten ist dem Datenschutzbeauftragten vorab mitzuteilen, damit dieser die datenschutzrechtliche Zulässigkeit prüfen kann.
V. Rechte der betroffenen Personen
23. Recht auf Auskunft und Datenübertragbarkeit
23.1 Auf Anfrage ist einer betroffenen Person mitzuteilen, ob von dem Unternehmen personenbezogene Daten zu ihrer Person verarbeitet werden. Sofern dies der Fall ist, hat die betroffene Person einen Anspruch auf Auskunft über die entsprechenden personenbezogenen Daten. Die betroffene Person soll dabei die Art der Daten, zu denen sie eine Auskunft wünscht, näher bezeichnen.
23.2 Die Auskunftserteilung soll in einer für die betroffene Person verständlichen Form und Sprache erfolgen. Bei der Auskunftserteilung sind die vorhandenen personenbezogenen Daten und der Zweck der Speicherung mitzuteilen. Weiter soll, soweit verfügbar, die Herkunft der Daten erläutert werden. Verpflichtend sind außerdem Angaben zu etwaigen Empfänger der Daten, die Dauer der Speicherung, einer etwaigen automatisierten Entscheidungsfindung sowie Hinweise auf die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde.
23.3 Neben dem Auskunftsrecht steht der betroffenen Person grundsätzlich auch der Anspruch zu, die zu ihrer Person gespeicherten Daten in strukturierter Form zu erhalten, damit diese von einem anderen Verantwortlichen übernommen werden können. Dieses Recht auf Datenübertragbarkeit bezieht sich aber nur auf solche Daten, die auf Basis einer Einwilligung, zur Erfüllung eines Vertrages oder im Rahmen einer automatisierten Verarbeitung verarbeitet wurden.
23.4 Bei der Auskunftserteilung und Erfüllung des Anspruchs auf Datenübertragbarkeit ist sicherzustellen, dass die Identität der betroffenen Person verifiziert wird. Weiter ist zu beachten, dass im Rahmen der Auskunftserteilung keine personenbezogenen Daten Dritter offenbart werden.
23.5 Über alle Anfragen auf Auskunftserteilung oder Ansprüche auf Datenübertragbarkeit ist der Datenschutzbeauftragte zu informieren, damit dieser die weiteren Aktivitäten koordinieren oder übernehmen kann. Soweit der Datenschutzbeauftragte nicht ausdrücklich die Bearbeitung übernimmt, bleibt die jeweilige Fachabteilung für die Beantwortung der Anfrage zuständig.
23.6 Wenn eine Anfrage nicht umgehend beantwortet bzw. ein Anspruch nicht umgehend erfüllt werden kann, ist der betroffenen Person zumindest eine Zwischeninformation zu übermitteln, in der die voraussichtliche Bearbeitungszeit mitgeteilt werden soll.
24. Löschung und Einschränkung der Verarbeitung
24.1 Bei berechtigtem Ersuchen einer betroffenen Person sind die zu ihrer Person gespeicherten personenbezogenen Daten zu löschen. Ein Ersuchen ist insbesondere berechtigt, wenn keine Grundlage für die Datenverarbeitung besteht oder die Grundlage zwischenzeitlich entfallen ist. Sofern keine Grundlage (mehr) für die Speicherung von personenbezogenen Daten besteht, sind diese unabhängig von einem Ersuchen der betroffenen Person zu löschen.
24.2 Soweit eine Löschung nicht in Betracht kommt, ist zu prüfen, inwieweit zumindest eine Einschränkung der Verarbeitung der personenbezogenen Daten erfolgen kann. Eine Einschränkung der Verarbeitung soll insbesondere bis zur Klärung der Zulässigkeit der weiteren Datenverarbeitung erfolgen. Wenn die betroffene Person die weitere Nutzung ihrer Daten nicht mehr wünscht, ist eine Einschränkung der Verarbeitung in Erwägung zu ziehen, damit die Daten der betroffenen Person im Falle einer neuen Datenerhebung nicht (wieder) genutzt werden.
25. Recht auf Berichtigung
25.1 Unvollständige oder unrichtige personenbezogene Daten sind auf Verlangen der betroffenen Person zu korrigieren. Die Korrektur ist dabei auch im Interesse des Unternehmens, da der gesamte Datenbestand möglichst richtig und von hoher Qualität sein soll.
25.2 Soweit ein Mitarbeiter Kenntnis davon hat, dass bei dem Unternehmen gespeicherte Daten unvollständig und unrichtig sind, soll der Mitarbeiter die jeweilige Fachabteilung hierüber informieren, damit eine Korrektur veranlasst werden kann.
26. Recht auf Widerruf, Widerspruch und Beschwerde
26.1 Eine von einer betroffenen Person erteilte Einwilligung in die Verarbeitung ihrer Daten ist jederzeit frei widerruflich. Die betroffene Person ist auf die Möglichkeit des Widerrufs hinzuweisen. Der Widerruf gilt mit Wirkung für die Zukunft.
26.2 Soweit die Verarbeitung von Daten auf Basis einer gesetzlichen Ermächtigungsgrundlage erfolgt, bedarf es keiner Einwilligung der betroffenen Person. Widerspricht die betroffene Person der Datenverarbeitung, ist zu prüfen, inwieweit auf die Datenverarbeitung zukünftig verzichtet werden kann. Ist dies nicht möglich, ist der betroffenen Person dies entsprechend zu erläutern.
26.3 Die betroffene Person hat das Recht, sich über den Umgang mit ihren personenbezogenen Daten im Unternehmen zu beschweren. Die Beschwerde ist unverzüglich an den Datenschutzbeauftragten weiterzuleiten, sofern sie nicht an ihn direkt gerichtet war. Der Datenschutzbeauftragte wird die Beschwerde beantworten und ggf. angemessene Maßnahmen zur Verbesserung des Datenschutzniveaus vorschlagen.
VI. Zuständigkeit
27. Verantwortung
27.1 In erster Linie sind diejenigen Mitarbeiter für die Einhaltung der Vorgaben dieser Unternehmensrichtlinie verantwortlich, die jeweils mit der Datenverarbeitung betraut sind.
27.2 Alle Mitarbeiter des Unternehmens haben auf die Einhaltung dieser Unternehmensrichtlinie zu achten und auf diese Weise dazu beizutragen, dass in dem gesamten Unternehmen einheitlich hohe Datenschutzstandards etabliert werden.
27.3 Die Führungskräfte des Unternehmens haben darauf zu achten, dass die Mitarbeiter über die Unternehmensrichtlinie informiert werden. Zu der Information gehört auch der Hinweis, dass Verstöße gegen die Vorgaben dieser Unternehmensrichtlinie straf-, haftungs- oder arbeitsrechtliche Konsequenzen nach sich ziehen können.
27.4 Das Unternehmen bleibt gegenüber der betroffenen Person der Verantwortliche im datenschutzrechtlichen Sinne. Der einzelne Mitarbeiter handelt daher für das Unternehmen und hat dessen Vorgaben zu beachten.
28. Datenschutzbeauftragter als Ansprechpartner
28.1 Fragen zu dieser Unternehmensrichtlinie oder dem richtigen Umgang mit personenbezogenen Daten können an den Datenschutzbeauftragten gerichtet werden. Die Kontaktdaten des Datenschutzbeauftragten sind im Intranet abrufbar und am schwarzen Brett ausgehängt.
28.2 Der Datenschutzbeauftragte koordiniert die datenschutzrechtlichen Aktivitäten des Unternehmens. Er ist u.a. Ansprechpartner für die betroffenen Personen, die mit der Datenverarbeitung betrauten Mitarbeiter und die Geschäftsführung.
28.3 Der Datenschutzbeauftragte ist auch befugt, die Einhaltung dieser Unternehmensrichtlinie zu prüfen und die Beachtung der gesetzlichen Bestimmungen des Datenschutzrechts zu überwachen. Die entsprechende Überwachungsbefugnis entbindet aber nicht den einzelnen Mitarbeiter von seiner Verantwortung.
28.4 Alle Mitarbeiter haben den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und Aktivitäten zu unterstützen. Der Datenschutzbeauftragte kann sich in Erfüllung seiner Aufgaben jederzeit an die Geschäftsführung wenden und seine Anliegen vortragen.
28.5 Bei Bedarf kann der Datenschutzbeauftragte in Ergänzung zu dieser Unternehmensrichtlinie Handlungsempfehlungen zu speziellen Themen herausgeben.
29. Meldung von Verstößen und Zusammenarbeit mit Aufsichtsbehörden
29.1 Die Mitarbeiter haben dem Datenschutzbeauftragten unverzüglich Bericht zu erstatten, wenn sie Kenntnis von einem Verstoß gegen diese Unternehmensrichtlinie oder gesetzliche Bestimmungen haben, die sich auf den Schutz personenbezogener Daten beziehen.
29.2 Eine Information hat bereits dann zu erfolgen, wenn erste Anhaltspunkte oder Verdachtsmomente für einen Datenschutzverstoß vorliegen. Auf diese Weise soll der Datenschutzbeauftragte frühzeitig in die Aufklärung der Angelegenheit eingebunden werden. Weitere Details im Hinblick auf das Verhalten bei möglichen Datenschutzverstößen sind in einem gesonderten Konzept für Datenschutzverstöße definiert.
29.3 Auf Basis der erhaltenen Informationen prüft der Datenschutzbeauftragte, inwieweit eine Informationspflicht gegenüber den Aufsichtsbehörden und den betroffenen Personen besteht.
29.4 Das Unternehmen arbeitet mit den zuständigen Aufsichtsbehörden kooperativ und vertrauensvoll zusammen. Im Falle einer gesetzlichen Auskunftsverpflichtung wird das Unternehmen die geforderten Auskünfte unverzüglich erteilen. Maßnahmen und Feststellungen der Aufsichtsbehörden werden von dem Unternehmen uneingeschränkt akzeptiert, soweit sie rechtmäßig sind. Die Kommunikation mit den Aufsichtsbehörden soll über den Datenschutzbeauftragten erfolgen.
VII. Schlussbestimmungen
30. Publizität
30.1 Diese Unternehmensrichtlinie ist allen Mitarbeitern des Unternehmens in geeigneter Weise zugänglich zu machen, insbesondere über das Intranet.
30.2 Eine allgemeine Veröffentlichung dieser Unternehmensrichtlinie ist nicht vorgesehen, da es sich um eine interne Richtlinie des Unternehmens handelt.
31. Änderungen dieser Unternehmensrichtlinie
31.1 Das Unternehmen behält sich das Recht vor, diese Unternehmensrichtlinie bei Bedarf zu ändern. Eine Änderung kann insbesondere erforderlich werden, um gesetzlichen Vorgaben, bindenden Verordnungen, Forderungen der Aufsichtsbehörden oder unternehmensinternen Verfahren zu entsprechen.
31.2 In regelmäßigen Abständen soll auch geprüft werden, inwieweit technologische Veränderungen eine Anpassung dieser Unternehmensrichtlinie erforderlich machen.