1. Zweck der Datenschutzrichtlinien

Diese Richtlinien legen fest, wie personenbezogene Daten im Unternehmen geschützt, verarbeitet und gespeichert werden. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit aller personenbezogenen Daten sicherzustellen und die gesetzlichen Anforderungen (z. B. DSGVO) zu erfüllen.

2. Grundsätze der Datenverarbeitung

Das Unternehmen verpflichtet sich zur Einhaltung folgender Datenschutzgrundsätze:

  • Rechtmäßigkeit, Transparenz und Fairness Daten werden nur auf rechtmäßige Weise und in transparenter Form verarbeitet.
  • Zweckbindung Daten werden nur für eindeutig festgelegte, legitime Zwecke erhoben und nicht zweckentfremdet verwendet.
  • Datenminimierung Es werden nur die Daten erhoben, die für den jeweiligen Zweck notwendig sind.
  • Richtigkeit Personenbezogene Daten werden aktuell gehalten und unrichtige Daten unverzüglich korrigiert.
  • Speicherbegrenzung Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist.
  • Integrität und Vertraulichkeit Geeignete technische und organisatorische Maßnahmen schützen Daten vor Verlust, Diebstahl oder unbefugtem Zugriff.

3. Rollen und Verantwortlichkeiten

  • Geschäftsführung trägt die Gesamtverantwortung für den Datenschutz.
  • Datenschutzbeauftragte/r (falls erforderlich) überwacht die Einhaltung der Richtlinien.
  • Mitarbeitende sind verpflichtet, diese Richtlinien einzuhalten und Datenschutzverstöße sofort zu melden.

4. Technische und organisatorische Maßnahmen (TOMs)

Das Unternehmen setzt geeignete Maßnahmen ein, z. B.:

  • Verschlüsselung von Daten während Übertragung und Speicherung
  • Passwort- und Zugriffskontrollen (MFA, Rollenmodelle)
  • Regelmäßige Backups und sichere Backup-Speicherung
  • Firewalls, Virenschutz, Endpoint-Security
  • Regelmäßige Software-Updates
  • Trennung produktiver und testbezogener Umgebungen
  • Logging & Monitoring sicherheitsrelevanter Ereignisse

5. Zugriffs- und Berechtigungsmanagement

  • Zugriff nach dem Need-to-Know-Prinzip
  • Regelmäßige Überprüfung von Berechtigungen
  • Sofortiges Entziehen von Zugängen bei Austritt von Mitarbeitenden
  • Dokumentation aller Rechtevergabe-Prozesse

6. Umgang mit personenbezogenen Daten

  • Verarbeitung erfolgt nur nach klar definierten Prozessen.
  • Weitergabe an Dritte erfolgt nur, wenn rechtlich erlaubt und vertraglich abgesichert.
  • Datenübermittlungen außerhalb der EU werden nur mit rechtlichen Garantien durchgeführt (z. B. EU-Standardvertragsklauseln).

7. Speicherung und Löschung

  • Aufbewahrungsfristen sind definiert und dokumentiert.
  • Daten werden nach Ablauf der Frist sicher gelöscht oder anonymisiert.
  • Löschvorgänge werden protokolliert.

8. Datenschutzvorfälle

  • Alle Mitarbeitenden melden Vorfälle sofort an die Datenschutzbeauftragte oder Geschäftsführung.
  • Das Unternehmen verfügt über einen Dokumentations- und Meldeprozess.
  • Meldepflichtige Vorfälle werden innerhalb der gesetzlichen Fristen der Aufsichtsbehörde gemeldet.

9. Mitarbeiterschulung & Sensibilisierung

  • Regelmäßige Datenschutzschulungen
  • Klare Handlungsanweisungen im Umgang mit Daten
  • Sensibilisierung für Phishing, Social Engineering und Passwortsicherheit

10. Auftragsverarbeitung

  • Verträge zur Auftragsverarbeitung (AVV) werden mit externen Dienstleistern abgeschlossen.
  • Dienstleister werden regelmäßig auf Einhaltung der Datenschutzstandards überprüft.

11. Dokumentation & Nachweis

  • Verarbeitungstätigkeiten werden im Verzeichnis der Verarbeitungstätigkeiten dokumentiert.
  • Datenschutzmaßnahmen werden regelmäßig überprüft und aktualisiert.

12. Kontinuierliche Verbesserung

  • Jährliche Überprüfung der Datenschutzrichtlinien
  • Anpassung an neue gesetzliche Anforderungen oder technische Entwicklungen