Datenschutz-Richtlinie des Bundesverbandes Materialwirtschaft, Einkauf und Logistik e. V. und der verbundenen Unternehmen (BME)

Transkript

1 Datenschutz-Richtlinie des Bundesverbandes Materialwirtschaft, Einkauf und Logistik e. V. und der verbundenen Unternehmen (BME) PRÄAMBEL Der BME erlässt die nachfolgenden Regelungen zur Gewährleistung des Datenschutzes im Bereich des BME-Verbandes und seiner verbundenen Unternehmen. Die Daten von Adressen, Ansprechpartnern und Personen in Unternehmen sind personenbezogene Daten. Sie bilden das Rückgrat, spezielles Know-How und damit das Vermögen des BME e.v. und seiner Gliederungen. Diese Richtlinie dient auch dazu, dieses Vermögen und das Kapital des BME in Gestalt der vorhandenen Daten und Datenbanken zu schützen und die Geschäftsgeheimnisse des BME zu schützen. Der BME ist in seiner Tätigkeit auf das besondere Vertrauen der Mitglieder und Kunden angewiesen, die ihm personenbezogene und geschäftliche Daten anvertrauen. Der Einhaltung der nachfolgenden Regelungen kommt daher für die erfolgreiche Tätigkeit des BME besondere Bedeutung zu. Die Einhaltung der gesetzlichen Regelungen wie auch dieser Vorschriften bildet Grundlage der Reputation und des Ansehens des BME e.v. und seiner verbundenen Unternehmen bei Kunden, Gästen, in Politik, bei Mitarbeitern und auch als Arbeitgeber. 1. ALLGEMEINE GRUNDSÄTZE 1.1 Ziel der Datenschutzrichtlinie Der Bundesverband Materialwirtschaft, Einkauf und Logistik e.v. -nachfolgend BME - ist an die Einhaltung der gesetzlichen Datenschutzregelungen gebunden. Die nachfolgenden Regelungen sind Richtlinien, die den Datenschutz im BME und seinen Gliederungen, den verbundenen Unternehmen und Mitgliedern gewährleisten. Darüber hinaus ist die Datenschutzrichtlinie eine Grundlage für die Übermittlung und den Austausch von Daten zwischen dem BME, den verbundenen Gesellschaften und seinen Kooperationspartnern. Sie dient weiter als Grundlage für die Bearbeitung datenschutzrechtlicher Anfragen von Betroffenen und Aufsichtsbehörden. 1.2 Geltungsbereich Die nachfolgenden Regelungen gelten für den BME, seine Gliederungen, die verbundenen Unternehmen, Mitglieder und Mitarbeiter. Änderungen und Abweichungen von diesen Regelungen sind daher dem geschäftsführenden 1

2 Bundesvorstand des BME über die Rechtsabteilung zu melden und mit diesem abzusprechen. Der Datenschutzbeauftragte des BME ist ebenfalls zu informieren. Die Datenschutzrichtlinie erstreckt sich auf die Verarbeitung personenbezogener Daten. Nicht personenbezogene Daten sind, soweit nichts anderes bestimmt ist, von diesen Regelungen nicht betroffen. Gleiches gilt für ursprünglich personenbezogene Daten, die ausreichend anonymisiert wurden, sodass ein Personenbezug nicht mehr hergestellt werden kann. 1.3 Gesetzesstand, Gesetzliche Grundlagen Die Datenschutzrichtlinie basiert auf dem Stand der Gesetze und Rechtsprechung Mai Die Richtlinien dienen der Umsetzung geltenden Rechts. Die gesetzlich geltenden Regelungen, insbesondere das Verfassungsrecht, das Bundesdatenschutzgesetz oder das Recht der Europäischen Union in Form der EU-Datenschutzgrundverordnung, sowie Rechtsprechung der Gerichte gehen diesen Regelungen vor. Gleiches gilt für landesgesetzliche Regelungen, soweit diese anwendbar sind. Vorrangig anzuwenden sind auch Einzelregelungen und hoheitliche Bestimmungen der zuständigen Ämter und Aufsichtsbehörden. 1.4 Verantwortlichkeiten Jede Einheit im BME und den verbundenen Unternehmen einschließlich seiner Mitarbeiter ist für die Einhaltung der gesetzlichen datenschutzrechtlichen Bestimmungen und dieser Richtlinien selbst verantwortlich. Bei Zweifeln an der Rechtmäßigkeit dieser Richtlinien oder sonstigen datenschutzrechtlichen Regelungen, hat jede Einheit unverzüglich den geschäftsführenden Bundesvorstand des BME über die Rechtsabteilung sowie den Datenschutzbeauftragten des BME über den vermuteten Verstoß zu informieren und eine Klärung zu suchen. Die gesetzlichen Bestimmungen zur Information von Aufsichtsbehörden bleiben hiervon unberührt. Für Zweifel bei der Anwendung dieser Richtlinie ist bei der Rechtsabteilung des BME nachzufragen. 2. GRUNDLAGEN UND PRINZIPIEN DES DATENSCHUTZRECHTS 2.1 Schutz personenbezogener Daten Das Datenschutzrecht schützt die personenbezogenen Daten jedes Menschen. Solche personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Daten, die sich nicht auf eine Person beziehen, unterliegen daher nicht dem Datenschutzrecht und können ohne die Beschränkungen des Datenschutzrechts verarbeitet, gespeichert, erhoben, erfasst, übermittelt oder sonst genutzt werden. Werden personenbezogene Daten so bearbeitet, dass der Personenbezug entfällt, liegen anonymisierte Daten vor. Diese können ebenfalls ohne die Einschränkungen des Datenschutzrechts und dieser Richtlinie verarbeitet, gespeichert, übermittelt oder sonst genutzt werden. 2

3 2.2 Verbot des Umgangs mit personenbezogenen Daten Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte des Betroffenen gewahrt werden. Jeder Betroffene muss daher wissen, wer welche Daten über ihn gespeichert hat oder sonst besitzt. Daher bedarf jede Erhebung, Verarbeitung, Speicherung, Übermittlung oder sonstige Nutzung personenbezogener Daten entweder der gesetzlichen Erlaubnis oder der freiwilligen Einwilligung des Betroffenen. Eine Erlaubnis aus Gesetz oder Einwilligung ist auch dann erforderlich, wenn Daten nach außen oder sonst an Dritte übermittelt werden, oder wenn der ursprüngliche Zweck, für den die Daten erhoben und / oder gespeichert wurden, geändert werden soll. 2.3 Einwilligung in die Datenverarbeitung Die Einwilligung eines Betroffenen in die Verarbeitung seiner Daten ist nur wirksam, wenn sie auf seiner freien Entscheidung beruht. Dabei ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. Die Einwilligung kann vom Betroffenen jederzeit widerrufen werden, ohne dass es hierfür Gründe bedarf. Soweit besondere Arten personenbezogener Daten ( 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. 2.4 Datenvermeidung und Datensparsamkeit Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. Dies ist der Grundsatz der Datenvermeidung und Datensparsamkeit. Er gebietet, dass vor einer Nutzung personenbezogener Daten zu prüfen ist, ob die Nutzung personenbezogener Daten notwendig ist oder vermieden werden kann. Insbesondere dürfen personenbezogene Daten nicht für mögliche zukünftige Zwecke erhoben, gespeichert, verarbeitet oder sonst genutzt werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt. 2.5 Zweckbindung Die Verarbeitung personenbezogener Daten darf lediglich die Zwecke verfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer Rechtfertigung. 3

4 Dies gilt insbesondere auch dann, wenn Daten für Zwecke der Werbung verwendet werden sollen, ohne dass hierzu eine gesetzliche Erlaubnis oder Einwilligung des Betroffenen vorliegt. 2.6 Transparenz Der Betroffene muss über den Umgang mit seinen Daten informiert werden. Grundsätzlich sind personenbezogene Daten bei dem Betroffenen selbst zu erheben. Bei Erhebung der Daten muss der Betroffene daher die verantwortliche Stelle, den Zweck der Datenverarbeitung sowie über die beabsichtigte Übermittlung der Daten an Dritte erkennen können. 2.7 Sachliche Richtigkeit und Datenaktualität Personenbezogene Daten sind richtig, vollständig und soweit erforderlich auf dem aktuellen Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden. 2.8 Datensicherheit Personenbezogene Daten sind durch angemessene organisatorische und technische Maß nahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung zu sichern. Insbesondere sind geeignete Maßnahmen zu treffen und zu dokumentieren, die verhindern, dass unbefugte Personen Zugriff auf die Daten bekommen oder diese verändern können. 2.9 Löschung Nach dem Grundsatz der Datensparsamkeit sind personenbezogene Daten, die nach Ablauf von gesetzlichen oder betrieblichen Aufbewahrungsfristen nicht mehr erforderlich sind, zu löschen Datenübermittlung Die Daten von Adressen, Ansprechpartnern und Personen in Unternehmen sind personenbezogene Daten. Sie bilden das Rückgrat, spezielles Know-How und damit das Vermögen des BME und seiner verbundenen Unternehmen. Diese Richtlinie dient auch dazu, dieses Vermögen und das Kapital des BME in Gestalt der vorhandenen Daten und Datenbanken zu schützen und die Geschäftsgeheimnisse des BME zu wahren Verpflichtung auf das Datengeheimnis Nach den gesetzlichen Regelungen ist es den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Die beim BME Beschäftigten sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. 4

5 3. KUNDEN- UND PARTNERDATEN 3.1 Speichern, Erheben, Verarbeiten und Nutzung von Kundendaten Das Speichern, Erheben, Verarbeiten, Übermitteln und Nutzen von personenbezogenen Kundendaten bedarf in jedem Fall einer gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen. Gleiches gilt für die Verarbeitung, Übermittlung und Nutzung solcher Daten für andere Zwecke als die, für die sie ursprünglich erhoben wurden. Gesetzliche Erlaubnisse finden sich etwa in 28 BDSG. 3.2 Datenverarbeitung für eine vertragliche Beziehung Nach 28 BDSG dürfen personenbezogene Daten zur Begründung, zur Durchführung und zur Beendigung eines Vertrages verarbeitet werden. Dies umfasst sämtlichen Umgang mit den Daten des Betroffenen bis zur Erfüllung des vertraglichen Zweckes. Sollen Daten darüber hinaus genutzt werden, braucht es weiterer Erlaubnisse oder der Einwilligung des Betroffenen. Wichtig ist daher, dass bei allen Kontakten darauf geachtet wird, ggf. auch eine entsprechende Einwilligung in die Datennutzung zu erhalten. Einschränkungen der Betroffenen hinsichtlich der Nutzung ihrer Daten müssen beachtet werden. 3.3 Datenverarbeitung zu Werbezwecken Für die Nutzung vorhandener Daten zu Werbemaßnahmen bedarf es der gesetzlichen oder freiwilligen Erlaubnis des Betroffenen. Die Verarbeitung personenbezogener Daten zu Zwecken der Werbung oder der Markt-und Meinungsforschung ist zulässig, sofern die Daten ursprünglich ausdrücklich hierfür erhoben wurden und dies sich mit dem Zweck, für den die Daten ursprünglich erhoben wurden, vereinbaren lässt. Dabei ist bei der Erhebung der Daten der Betroffene über die Verwendung seiner Daten für Zwecke der Werbung zu informieren. Hat der Betroffene die Einwilligung erteilt, seine Daten für die Werbung zu nutzen, muss die Einwilligung soweit möglich schriftlich vorliegen und ausdrücklich sich auf die Nutzung der Daten für Werbung und Information beziehen. Dem Betroffenen ist die Möglichkeit zu geben, seine Einwilligung jederzeit widerrufen zu können; hierüber ist er zu belehren. Die Einwilligung ist ausreichend und sicher zu dokumentieren. Für die Ansprache zu Werbung per Telefon, oder sonstiger elektronischer Kommunikationsmittel muss grundsätzlich eine weitere Einwilligung des Betroffenen vorliegen, die sich auf diese Art des Kommunikationsmittels bezieht. Widerspricht der Betroffene der Nutzung seiner Daten für Werbezwecke, ist dieser Widerspruch zu beachten. 5

6 3.4 Datenverarbeitung aufgrund berechtigten Interesses Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn berechtigte Interessen des BME gegeben sind. Dies sind ggf. rechtliche (z.b. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z.b. Vermeidung von Vertragsstörungen) Interessen. Dies gilt nicht, wenn schutzwürdige Interessen des Betroffenen entgegenstehen und das Interesse des BME an der Verarbeitung überwiegt. Die schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen. 3.5 Verarbeitung besonders schutzwürdiger Daten Sollen besondere personenbezogene Daten verarbeitet werden (s. Definitionen), muss hierfür eine besondere Erlaubnis vorliegen oder diese zwingend notwendig sein zur Durchsetzung rechtlicher Ansprüche. Der Datenschutzbeauftragte ist über diese Verarbeitung vorab zu informieren. 4. MITARBEITERDATEN 4.1 Datenverarbeitung im Arbeitsverhältnis Personenbezogene Daten von Mitarbeitern und Beschäftigten für das Arbeitsverhältnis dürfen erhoben, gespeichert und genutzt werden, soweit dies für die Begründung, Durchführung und Beendigung des Arbeitsvertrages erforderlich sind. Nach den Grundsätzen der Datensparsamkeit werden nicht benötigte Daten nicht erhoben, genutzt oder gespeichert. Nicht mehr benötigte Daten sind zu löschen. Dies gilt insbesondere im Falle abgelehnter Bewerbungen, soweit nicht ausdrücklich die freiwillige Einwilligung des Bewerbers zur Aufbewahrung seiner Daten vorliegt. Ebenso bedarf die Übermittlung von Bewerberunterlagen an verbundene Unternehmen der vorherigen freiwilligen Zustimmung des Betroffenen. Im bestehenden Arbeitsverhältnis dürfen personenbezogene Daten erhoben, gespeichert und genutzt oder übermittelt werden, soweit dies zur Erfüllung des Arbeitsverhältnisses notwendig ist. 4.2 Datenverarbeitung aufgrund gesetzlicher Erlaubnis Die Verarbeitung personenbezogener Mitarbeiterdaten ist gesetzlich geregelt in 32 BDSG. 4.3 Kollektivregelungen für Datenverarbeitungen Weitere Erlaubnisse für eine Datenverarbeitung im Arbeitsverhältnis können sich ergeben aus arbeitsrechtlichen Kollektivregelungen. Da sich diese jederzeit ändern können, ist über das Vorliegen solcher Regelungen die Rechtsabteilung zu befragen. 6

7 4.4 Datenverarbeitung aufgrund berechtigten Interesses Die Verarbeitung personenbezogener Mitarbeiterdaten kann auch erfolgen zur Verfolgung oder Geltendmachung berechtigter Interessen, also etwa rechtlicher oder wirtschaftlicher Ansprüche. Dabei dürfen keine überwiegenden Gründe des Betroffenen entgegenstehen. 4.5 Straftaten Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. 4.6 Nutzung der betrieblichen EDV durch Mitarbeiter Über die Nutzung der betrieblichen EDV und IT-Systeme existiert eine weitere Richtlinie, die Teil der Datenschutzbestimmungen des BME ist. 5. WEBSEITEN Auf Webseiten des BME und der verbundenen Unternehmen ist eine Information mit Datenschutzhinweisen vorzuhalten. Die Hinweise müssen für die Betroffenen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. In den Datenschutzhinweisen ist insbesondere zu belehren über den Einsatz von Werkzeugen zur Nutzung der Webseite (Tracking und Analyse, etwa Google Analytics etc.), über die Verwendung von Cookies und die Verwendung von anderen Programmen zur Identifikation und Wiedererkennung der Nutzer, sowie über den Einsatz von Facebook Buttons oder der Datenübermittlung an andere Soziale Netzwerke. Soweit möglich, ist die anonyme Nutzung der Webseite zu ermöglichen. 6. ÜBERMITTLUNG PERSONENBEZOGENER DATEN 6.1 Allgemein Die Übermittlung von personenbezogenen Daten an andere Stellen bedarf der gesetzlichen Erlaubnis oder der freiwilligen Einwilligung des Betroffenen. Bei einer Datenübermittlung ist der Empfänger der Daten zu verpflichten, die Daten nur zu den festgelegten Zwecken zu verwenden, soweit nicht die Übermittlung aus einer gesetzlichen Verpflichtung erfolgt. 7

8 6.2 Übermittlung in das Ausland Bei der Übermittlung von Daten in Länder außerhalb der Europäischen Union ist darauf zu achten, ob eine entsprechende Einwilligung des Betroffenen vorliegt. Weiter ist darauf zu achten, ob der Empfänger in einem Land sitzt, dass ein der EU gleichwertiges Schutzniveau besitzt. Im Zweifel ist die Rechtsabteilung über die Zulässigkeit der Datenübermittlung zu fragen. 6.3 Auftragsdatenverarbeitung Inhalt Mit externen Dienstleistern, an die personenbezogene Daten übermittelt werden oder die Zugriff auf personenbezogene Daten bekommen, ist eine Vereinbarung über Auftragsdatenverarbeitung gem. 11 BDSG abzuschließen. Dies betrifft insbesondere auch IT Dienstleister oder Kooperationspartner. Bei solcher Auftragsdatenverarbeitung hat der Auftraggeber genaue Weisungen zu erteilen über den Umgang mit den personenbezogenen Daten, die er übermittelt oder auf die er Zugriff bekommt. Die Verantwortung bleibt beim übermittelnden Unternehmen Auswahl des Auftragnehmer Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren Vereinbarung zur Auftragsdatenverarbeitung Der Auftrag zur Auftragsdatenverarbeitung ist schriftlich zu erteilen. Insbesondere sind darin im Einzelnen festzulegen: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8

9 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 7. RECHTE VON BETROFFENEN Betroffene haben einen gesetzlichen Anspruch auf Auskunft, ob und welche personenbezogenen Daten über ihn zu welchem Zweck gespeichert sind, und woher diese Daten stammen. 7.1 Auskunftsrechte Auf entsprechendes Verlangen hat die verantwortliche Stelle dem Betroffenen Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. Die Auskünfte sind kurzfristig zu erteilen. Da die rechtlichen Vorschriften recht umfangreich sind, zahlreiche Formalien zu beachten sind und eine fehlerhafte oder unvollständige Auskunft vom Gesetz mit erheblichen Sanktionen versehen sind, sind entsprechende Anfragen an die zuständige Rechtsabteilung des BME zur Beantwortung zu leiten. 7.2 Benachrichtigungsrechte Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. Eine Pflicht zur Benachrichtigung besteht nach 33 BDSG in bestimmten Fällen nicht. Dies sind u.a., wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen, 4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist, oder aus anderen in 33 BDSG genannten Gründen, insbesondere wenn 7. die Daten für eigene Zwecke gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind und 9

10 eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, 7.3 Recht auf Berichtigung, Sperrung, Löschung Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre Berichtigung oder Ergänzung verlangen. Weiter kann der Betroffene der Verwendung seiner Daten für Zwecke der Werbung widersprechen und entsprechende Sperrung verlangen. Entfällt die Rechtsgrundlage, insbesondere die Einwilligung, oder der Zweck der Speicherung, kann der Betroffene die Löschung seiner Daten verlangen. 8. ERFORDERLICHE SICHERHEITSMAßNAHMEN Bei der Verarbeitung personenbezogener Daten ist sicherzustellen, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um den Schutz personenbezogener Daten zu gewährleisten. Erforderlich, aber auch notwendig sind Maßnahmen, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Dabei ist auf folgende Punkte besonders zu achten: Die Organisation der Datenverarbeitung ist so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 10

11 9. MELDEPFLICHTIGE DATENSCHUTZVORFÄLLE Die Mitarbeiter sind verpflichtet, Verstöße gegen den Datenschutz dem geschäftsführenden Bundesvorstand und / oder der Rechtsabteilung unverzüglich zu melden. Nach 42a BDSG gibt es weiter eine Meldepflicht an die Aufsichtsbehörde. Stellt eine nichtöffentliche Stelle fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten ( 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigungen müssen dabei unverzüglich erfolgen. Da auch hier zahlreiche Formalien zu beachten sind, und ein Verst0ß gegen diese Vorschriften erheblich sanktioniert ist, ist in solchen Fällen unverzüglich der Vorstand und die Rechtsabteilung sowie der Datenschutzbeauftragte vollständig zu informieren und die weitere Bearbeitung zu überlassen. 10. DER BEAUFTRAGTE FÜR DEN DATENSCHUTZ Der Datenschutzbeauftragte des BME ist für die Überprüfung der Einhaltung des Datenschutz im BME und seiner verbundenen Unternehmen zuständig. Die Kontaktdaten der Datenschutzbeauftragten für Anfragen lauten: Kirstin Scheel Datenschutzbeauftragte Tel.: (0) 69 / Fax: (0) 69 / Mob.: (0) 172 / kirstin.scheel@bme.de 11. DEFINITIONEN 11.1 Begriffsbestimmungen des 3 BDSG 11.2 Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer 11

12 bestimmten oder bestimmbaren natürlichen Person (Betroffener) Automatisierte Verarbeitung Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann Erheben Erheben ist das Beschaffen von Daten über den Betroffenen Verarbeiten Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten Nutzen Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt Anonymisieren Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können Pseudonymisieren Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. 12

13 11.9 Verantwortliche Stelle Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt Empfänger Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen Besondere Arten personenbezogener Daten Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten sind besonders schutzwürdige Daten. Regelungen in anderen Staaten kennen andere oder weitere besonders schutzwürdige Daten. Auch können aus Gründen des Persönlichkeitsschutzes weitere Daten besonderen Beschränkungen unterliegen etwa Daten über Straftaten oder wirtschaftliche Verhältnisse von Personen Mobile personenbezogene Speicher- und Verarbeitungsmedien Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, 1. die an den Betroffenen ausgegeben werden, 2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und 3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann Beschäftigte Beschäftigte sind: 1. Arbeitnehmerinnen und Arbeitnehmer, 2. zu ihrer Berufsbildung Beschäftigte, 3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), 4. nach dem Jugendfreiwilligendienstegesetz Beschäftigte, 5. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist. 13

14 11.14 Betroffener Betroffener im Sinne dieser Datenschutzrichtlinie ist jede natürliche Person, über die Daten verarbeitet werden. In einigen Ländern können auch juristische Personen Betroffener sein Datenschutzvorfälle Datenschutzvorfälle sind alle Ereignisse, bei denen der begründete Verdacht besteht, dass personenbezogene Daten rechtswidrig ausgespäht, erhoben, verändert, kopiert, übermittelt oder genutzt wurden. Das kann sich sowohl auf Handlungen durch Dritte als auch Mitarbeiter beziehen Drittstaaten Drittstaaten sind Staaten außerhalb der Europäischen Union/EWR. Ausgenommen sind Staaten, deren Datenschutzniveau von der EU Kommission als angemessen anerkannt worden ist Einwilligung ist eine freiwillige, rechtsverbindliche Einverständniserklärung in eine Datenverarbeitung. Erforderlich ist die Verarbeitung personenbezogener Daten, wenn der zulässige Zweck oder das berechtigte Interesse ohne die jeweiligen personenbezogenen Daten nicht oder nur mit unverhältnismäßig hohem Aufwand zu erreichen ist Europäische Wirtschaftsraum (EWR) Der Europäische Wirtschaftsraum (EWR) ist ein mit der EU assoziierter Wirtschaftsraum, dem Norwegen, Island und Liechtenstein angehören Verantwortliche Stelle Verantwortliche Stelle ist diejenige juristisch selbständige Gliederung des BME, deren Geschäftsaktivität die jeweilige Verarbeitungsmaßnahme veranlasst. 12. INKRAFTTRETEN Diese Datenschutz-Richtlinie wurde vom geschäftsführenden Bundesvorstand und vom Bundesvorstand des BME in der Sitzung vom 21. Juni 2016 verabschiedet. Sie tritt am 22. Juni 2016 in Kraft. Bundesverband Materialwirtschaft, Einkauf und Logistik e. V. Dr. Christoph Feldmann Hauptgeschäftsführer 14