Datenschutzerklärung

Transkript

1

2 Inhalt 1 EINFÜHRUNG DATENSCHUTZERKLÄRUNG DATENSCHUTZ-GRUNDVERORDNUNG BEGRIFFSBESTIMMUNGEN GRUNDSÄTZE IN BEZUG AUF DIE VERARBEITUNG PERSONENBEZOGENER DATEN RECHTE DER BETROFFENEN PERSON RECHTMÄßIGKEIT DER VERARBEITUNG Einwilligung Erfüllung eines Vertrags Erfüllung einer rechtlichen Verpflichtung Lebenswichtige Interessen der betroffenen Person Verarbeitung aus Gründen des öffentlichen Interesses Berechtigte Interessen: PRIVACY BY DESIGN (DATENSCHUTZ DURCH TECHNIKGESTALTUNG) VERTRÄGE, DIE DIE VERARBEITUNG PERSONENBEZOGENER DATEN BETREFFEN ÜBERMITTLUNG IHRER PERSONENBEZOGENEN DATEN AN DRITTLÄNDER DATENSCHUTZBEAUFTRAGTER BENACHRICHTIGUNG ÜBER VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN EINHALTUNG DER DSGVO... 9 Tabellenverzeichnis TABELLE 1 FRISTEN FÜR DIE AUSKUNFTSERTEILUNG AN BETROFFENE PERSONEN... 5 Seite 1 von10

3 1 Einführung Le Chameau verwendet im Rahmen der täglichen Geschäftstätigkeit eine Vielzahl von Daten über identifizierbare Personen, einschließlich Daten über: Aktuelle, frühere und zukünftige Mitarbeiter Kunden Nutzer der Websites Abonnenten Andere Interessengruppen Bei der Erhebung und Nutzung dieser Daten unterliegt das Unternehmen einer Vielzahl von Rechtsvorschriften, die die Art und Weise, wie solche Aktivitäten durchgeführt werden können, und die zu ihrem Schutz erforderlichen Garantien kontrollieren. Zweck dieser ist es, die einschlägigen Rechtsvorschriften zu erläutern und die Schritte zu beschreiben, die Le Chameau unternimmt, um sicherzustellen, dass sie eingehalten werden. Diese Kontrolle gilt für alle Systeme, Personen und Prozesse, die die Informationssysteme des Unternehmens bilden, einschließlich Vorstandsmitgliedern, Direktoren, Mitarbeitern, Lieferanten und anderen Dritten, die Zugang zu den Systemen von Le Chameau haben. Die folgenden Richtlinien und Verfahren sind für dieses Dokument relevant: Datenschutz-Folgenabschätzung Verfahren zur Analyse personenbezogener Daten Verfahren zur Beurteilung des berechtigten Interesses Verfahren zur Reaktion auf Vorfälle in der Informationssicherheit Aufgabenfelder und Verantwortlichkeiten gemäß DSGVO Richtlinien zur Aufbewahrung und zum Schutz von Unterlagen Seite 2 von10

4 2 2.1 Datenschutz-Grundverordnung Die Datenschutz-Grundverordnung 2016 (DSGVO) ist eine der wichtigsten Rechtsvorschriften, die die Art und Weise, wie Le Chameau seine Datenverarbeitung durchführt, beeinflusst. Es können erhebliche Geldbußen auf uns zukommen, wenn ein Verstoß gegen die DSGVO, die zum Schutz der personenbezogenen Daten von Bürgern der Europäischen Union dient, vorliegt. Es entspricht dem Grundsatz von Le Chameau sicherzustellen, dass unsere Einhaltung der DSGVO und anderer relevanter Gesetze jederzeit klar und nachweisbar ist. 2.2 Begriffsbestimmungen In der DSGVO sind insgesamt 26 Begriffsbestimmungen aufgeführt, aber es ist nicht erforderlich, sie alle hier wiederzugeben. Die grundlegenden Begriffsbestimmungen in Bezug auf diese Richtlinie lauten jedoch wie folgt: Personenbezogene Daten sind definiert als: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; Verarbeitung bedeutet: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; Verantwortlicher bedeutet: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; Seite 3 von10

5 2.3 Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten Die DSGVO basiert auf einer Reihe von Grundsätzen. Diese lauten wie folgt: 1. Personenbezogene Daten müssen: (a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ); (b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ( Zweckbindung ); (c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ); (d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ( Richtigkeit ); (e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ( Speicherbegrenzung ); (f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ); 2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). Seite 4 von10

6 Le Chameau wird sicherstellen, dass alle diese Grundsätze sowohl bei der derzeitigen Verarbeitung als auch im Rahmen der Einführung neuer Verarbeitungsmethoden, wie beispielsweise neuer IT-Systeme, eingehalten werden. 2.4 Rechte der betroffenen Person Die betroffene Person hat auch Rechte aus der DSGVO. Dazu gehören: 1. Informationspflicht 2. Auskunftsrecht 3. Recht auf Berichtigung 4. Recht auf Löschung 5. Recht auf Einschränkung der Verarbeitung 6. Recht auf Datenübertragbarkeit 7. Widerspruchsrecht 8. Rechte in Bezug auf automatisierte Entscheidungen und Profiling Jedes dieser Rechte wird durch geeignete Verfahren innerhalb von Le Chameau unterstützt, die es ermöglichen, die erforderlichen Maßnahmen innerhalb der in der DSGVO festgelegten Fristen zu ergreifen. Diese Fristen sind in Tabelle 1 dargestellt. Auskunftsersuchen einer betroffenen Person Informationspflicht Auskunftsrecht Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht Rechte in Bezug auf automatisierte Entscheidungen und Profiling Fristen Wenn Daten erhoben werden (von der betroffenen Person selbst angegeben) oder innerhalb eines Monats (nicht von der betroffenen Person selbst angegeben). Ein Monat Ein Monat Unverzüglich Unverzüglich Ein Monat Bei Erhalt des Widerspruchs Nicht angegeben Tabelle 1 Fristen für die Auskunftserteilung an betroffene Personen Seite 5 von10

7 2.5 Rechtmäßigkeit der Verarbeitung Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach der DSGVO kann im konkreten Fall anhand von sechs alternativen Kriterien bestimmt werden. Es entspricht der Verfahrensweise von Le Chameau, die jeweils geeignete Grundlage für die Verarbeitung zu ermitteln und gemäß der DSGVO zu dokumentieren. In den folgenden Abschnitten werden die möglichen Grundlagen kurz beschrieben Einwilligung Sofern dies nicht aus einem in der DSGVO zulässigen Grund erforderlich ist, wird Le Chameau immer die ausdrückliche Einwilligung einer betroffenen Person einholen, um ihre Daten zu erheben und zu verarbeiten. Bei Kindern unter 16 Jahren (ein geringeres Alter kann in bestimmten EU-Mitgliedstaaten zulässig sein) wird die Einwilligung der Eltern eingeholt. Die betroffenen Personen erhalten zum Zeitpunkt der Einholung der Einwilligung transparente Informationen über die Verwendung ihrer personenbezogenen Daten und ihre Rechte in Bezug auf ihre Daten, wie beispielsweise das Recht auf Widerruf der Einwilligung. Diese Informationen werden in einer zugänglichen Form, in klarer Sprache und kostenlos zur Verfügung gestellt. Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person erhoben werden, werden diese Informationen der betroffenen Person innerhalb einer angemessenen Frist nach Erhalt der Daten und auf jeden Fall innerhalb eines Monats zur Verfügung gestellt Erfüllung eines Vertrags Sind die erhobenen und verarbeiteten personenbezogenen Daten zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich, ist keine ausdrückliche Einwilligung erforderlich. Dies ist oft der Fall, wenn der Vertrag ohne die betreffenden personenbezogenen Daten nicht abgeschlossen werden kann, z. B. kann eine Lieferung nicht ohne eine Lieferadresse erfolgen Erfüllung einer rechtlichen Verpflichtung Ist die Erhebung und Verarbeitung der personenbezogenen Daten im Rahmen der gesetzlichen Bestimmungen erforderlich, muss keine ausdrückliche Einwilligung eingeholt werden. Dies kann bei einigen Daten der Fall sein, die sich beispielsweise auf das Arbeitsverhältnis und Steuern beziehen, und bei vielen Bereichen, die mit dem öffentlichen Sektor in Bezug stehen Lebenswichtige Interessen der betroffenen Person In einem Fall, in dem die personenbezogenen Daten zum Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich sind, kann dies als gesetzliche Grundlage für die Verarbeitung verwendet werden. Le Seite 6 von10

8 Chameau wird angemessene, dokumentierte Belege dafür aufbewahren, wenn dieser Grund als rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten herangezogen wird. Dies kann beispielsweise bei Daten, die für den Erhalt von Sozialleistungen erforderlich sind, und ähnliche Daten insbesondere im öffentlichen Sektor, der Fall sein Verarbeitung aus Gründen des öffentlichen Interesses Wenn Le Chameau eine Aufgabe wahrnehmen muss, von der angenommen wird, dass sie im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, wird die Einwilligung der betroffenen Person nicht eingeholt. Die Beurteilung des öffentlichen Interesses oder der Ausübung öffentlicher Gewalt wird dokumentiert und bei Bedarf als Nachweis zur Verfügung gestellt Berechtigte Interessen: Liegt die Verarbeitung bestimmter personenbezogener Daten im berechtigten Interesse von Le Chameau und wird davon ausgegangen, dass sie die Rechte und Freiheiten der betroffenen Person nicht wesentlich beeinträchtigt, kann dies als rechtmäßiger Grund für die Verarbeitung definiert werden. Auch hier wird jeweils die Begründung für diese Vorgehensweise dokumentiert. 2.6 Privacy by Design (Datenschutz durch Technikgestaltung) Le Chameau hat den Grundsatz Privacy by Design (Datenschutz durch Technikgestaltung) übernommen und wird sicherstellen, dass die Definition und Planung aller neuen oder wesentlich geänderten Systeme, die personenbezogene Daten erheben oder verarbeiten, einer angemessenen Berücksichtigung von Datenschutzfragen unterliegt, einschließlich der Durchführung einer oder mehrerer Datenschutz-Folgenabschätzungen. Die Datenschutz-Folgenabschätzung wird Folgendes enthalten: Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke Bewertung der Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitung personenbezogener Daten in Bezug auf den Zweck. Bewertung der Risiken der Verarbeitung der personenbezogenen Daten für die betroffenen Personen Angabe der erforderlichen Kontrollen, um die festgestellten Risiken anzugehen und die Einhaltung der Rechtsvorschriften nachzuweisen. Der Einsatz von Techniken wie Datenminimierung und Pseudonymisierung wird gegebenenfalls und angemessen in Betracht gezogen. Seite 7 von10

9 2.7 Verträge, die die Verarbeitung personenbezogener Daten betreffen Le Chameau stellt sicher, dass alle vom Unternehmen eingegangenen Beziehungen, die die Verarbeitung personenbezogener Daten betreffen, einem dokumentierten Vertrag unterliegen, der die nach der DSGVO erforderlichen spezifischen Informationen und Bedingungen enthält. Weitere Informationen finden Sie in den Verfahrensweisen zu Verträgen zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß DSGVO. 2.8 Übermittlung Ihrer personenbezogenen Daten an Drittländer Die Übermittlung personenbezogener Daten im Länder außerhalb der Europäischen Union wird vor der Übermittlung sorgfältig geprüft, um sicherzustellen, dass sie innerhalb der von der DSGVO zugelassenen Grenzen liegt. Dies hängt zum Teil von der Einschätzung der Europäischen Kommission über die Angemessenheit der im Empfängerland geltenden Garantien für personenbezogene Daten ab, die sich im Laufe der Zeit ändern kann. Die konzerninterne internationale Datenübermittlung unterliegt rechtsverbindlichen Vereinbarungen, die als Binding Corporate Rules (BCR) (Regelwerk an verbindlichen unternehmensinternen Vorschriften) bezeichnet werden und durchsetzbare Rechte für die betroffenen Personen vorsehen. 2.9 Datenschutzbeauftragter Die Benennung eines Datenschutzbeauftragten (DSB) ist gemäß DSGVO erforderlich, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, wenn diese eine umfangreiche Überwachung durchführt oder wenn besonders sensible Daten in großem Umfang verarbeitet werden. Der DSB muss über einen angemessenen Kenntnisstand verfügen und kann entweder eine interne Ressource sein oder an einen geeigneten Dienstleister ausgelagert werden. Auf der Grundlage dieser Kriterien ist Le Chameau nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten Es entspricht dem Grundsatz von Le Chameau, fair und verhältnismäßig zu sein, wenn es darum geht, Maßnahmen zu ergreifen, um die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten zu benachrichtigen. Gemäß DSGVO wird die zuständige Aufsichtsbehörde, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die eine Gefahr für die Rechte und Freiheiten von Personen darstellen könnte, innerhalb von 72 Stunden informiert. Diese Meldung erfolgt in Übereinstimmung mit unserem Verfahren zur Reaktion auf Vorfälle in der Seite 8 von10

10 Informationssicherheit, die den Gesamtprozess der Behandlung von Vorfällen der Informationssicherheit festlegt. Gemäß DSGVO hat die jeweils zuständige Datenschutzbehörde die Befugnis, bei Verstößen gegen die Vorschriften eine Reihe von Geldbußen bis zu vier Prozent des weltweiten Jahresumsatzes oder zwanzig Millionen Euro, je nachdem, welcher Betrag höher ist, zu verhängen Einhaltung der DSGVO Die folgenden Maßnahmen werden ergriffen, um sicherzustellen, dass Le Chameau jederzeit den Grundsatz der Rechenschaftspflicht der DSGVO erfüllt: Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist klar und unmissverständlich. Es wird ein Datenschutzbeauftragter ernannt, der für den Datenschutz im Unternehmen verantwortlich ist (falls erforderlich). Alle Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, verstehen ihre Verantwortung für die Einhaltung guter Datenschutzpraktiken. Es wurden Schulungen zum Datenschutz für alle Mitarbeiter durchgeführt. Die Vorschriften hinsichtlich der Einwilligung werden eingehalten. Betroffenen Personen, die ihre Rechte in Bezug auf personenbezogene Daten ausüben möchten, stehen die entsprechenden Wege zur Verfügung, und solche Anfragen werden effektiv bearbeitet. Es werden regelmäßige Überprüfungen der Verfahren im Zusammenhang mit personenbezogenen Daten durchgeführt. Privacy by Design (Datenschutz durch Technikgestaltung) wird für alle neuen oder geänderten Systeme und Prozesse vorgesehen. Über die Verarbeitungsaktivitäten werden folgende Unterlagen geführt: o Name des Unternehmens und relevante Angaben o Zwecke der Verarbeitung personenbezogener Daten o Personenkategorien und verarbeitete personenbezogene Daten o Kategorien von Empfängern personenbezogener Daten o Vereinbarungen und Mechanismen für die Übermittlung personenbezogener Daten in Drittländer, einschließlich Einzelheiten der bestehenden Kontrollen o Fristen für die Aufbewahrung personenbezogener Daten o Es wurden relevante technische und organisatorische Maßnahmen getroffen. Diese Maßnahmen werden im Rahmen der datenschutzrelevanten Abläufe regelmäßig überprüft. Seite 9 von10