Datenschutzrichtlinie
der LogSolution GmbH

1 Begriffsdefinition

1.1 Auftragsverarbeiter
Erhebt, speichert, verarbeitet, nutzt personenbezogene Daten im Auftrag des Verantwortlichen (Auftraggebers) auf Grundlage eines Vertrags (AV-Vertrag) und nur zu den vereinbarten Zwecken; weist dem Verantwortlichen seine geeigneten technischen und organisatorischen Maßnahmen nach; Art. 28 ff. DSGVO

1.2 AV-Vertrag/Vertrag über die Auftragsdatenverarbeitung
Vereinbarung zur Auftragsverarbeitung von personenbezogenen Daten zwischen Aufraggeber und Auftragnehmer im Rahmen einer Dienstleistung; inhaltliche Anforderungen gem. Art. 28 Abs 3 DSGVO

1.3 BDSG
Bundesdatenschutzgesetz

1.4 besondere Kategorien pb Daten
Sensible, besonders schützenswerte Daten (Gesundheit, Religion, politische Meinung etc.)

1.5 Betroffene
Natürliche Personen, deren Daten erhoben, gespeichert und verarbeitet werden

1.6 Betroffenenrechte
Rechte der Bertoffenen gegenüber dem Verantwortlichen: Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung

1.7 DSB
Datenschutzbeauftragter

1.8 Dritter
Dritter im Sinne des Rechts ist jedes Rechtssubjekt (natürliche oder juristische Person), das neben zwei Parteien in einer Rechtsbeziehung (z. B. im Vertrag) auftritt und mit eigenen Rechten oder Pflichten beteiligt sein kann

1.9 Drittstaaten
Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR)

1.10 DSFA
Datenschutz-Folgenabschätzung, Risikoanalyse für Verfahren mit Verarbeitung sensibler personenbezogener Daten

1.11 EU-DSGVO
Datenschutzgrundverordnung in der Europäischen Union

1.12 IMS
Integriertes Managementsystem (ISO 27001 & ISO 9001)

1.13 Grundsätze der Verarbeitung von pb Daten
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung

1.14 personenbezogene (pb) Daten
Angaben über persönliche und sachliche Verhältnisse, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen

1.15 Pflichten des Verantwortlichen
Mitteilungs- und Rechenschaftspflicht gegenüber den Betroffenen und gegenüber den Aufsichtsbehörden;

Dokumentationspflicht, um seiner Rechenschaftspflicht nachkommen zu können;

Meldepflicht von Verletzungen/Verstößen an die Aufsichtsbehörde;

Auftragsverarbeiter auswählen, kontrollieren und verpflichten (AV-Verträge);

Mitarbeiter sensibilisieren, schulen und schriftlich auf das Datengeheimnis verpflichten

1.16 Rechtmäßigkeit der Verarbeitung/Rechtsgrundlagen
Erlaubnis für die Verarbeitung pb Daten durch: Gesetze, Verträge, Einwilligung der Betroffenen

1.17 Schutzziele
Vertraulichkeit (Schutz vor unbefugtem Zugriff), Verfügbarkeit (sicherstellen, dass die Daten zu dem Zeitpunkt zur Verfügung stehen zu dem sie benötigt werden), Integrität (Richtigkeit & Unversehrtheit der Daten, Schutz vor Manipulation und unbeabsichtigter/unbefugter Löschung)

1.18 Technische und organisatorische Maßnahmen
Technische und/oder organisatorische Maßnahmen (kurz: TOM) um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen der Gesetze (DSGVO, BDSG) erfüllt werden

1.19 Verantwortlicher
Das mit der Verarbeitung der pb Daten befasste Unternehmen bzw. dessen Leitung

1.20 Weiterleitung/Weitergabe von pb Daten
Die Übergabe von pb Daten an andere Parteien außer dem Betroffenen und dem Verantwortlichen bezeichnet, z.B. an Dritte oder an Auftragsverarbeiter

2 Das Unternehmen

Die LogSolution GmbH wurde im Februar 2004 in Frechen gegründet und bietet innovative und flexible IT-Systemlösungen mit den folgenden Dienstleistungen an: Konzeption, Entwicklung, Beratung und Service. Auch unterstützen wir unsere Kunden mit Produkten im Bereich der webbasierten Anwendungsentwicklung. Wir verwenden diverse Eigenentwicklungen zur effizienten Steuerung unserer Kernprozesse (Ticketsystem, Dokumentenmanagementsystem, Systemüberwachungstool).
Um den erhöhten Qualitäts- und Sicherheitsanforderungen im IT- und Logistik-Dienstleistungssektor gerecht zu werden, betreiben wir ein „integriertes Managementsystem“ gemäß ISO 9001 und ISO 27001. Seit 2012 sind wir durchgehend nach den Normanforderungen an Informationssicherheits-Managementsysteme (ISO 27001) zertifiziert. Unsere Anstrengungen und Maßnahmen für höchste Datensicherheit und -integrität liefern uns das optimale Rüstzeug, um auch den Anforderungen des Datenschutzes zu entsprechen.

 

3 Geltungsbereich der Datenschutz-Richtlinie und interessierte Parteien

Die vorliegende Datenschutzrichtlinie bezieht sich auf die Erhebung, Speicherung und Verarbeitung/Nutzung personenbezogener Daten durch die LogSolution GmbH. Sie richtet sich an die Beschäftigten und Auszubildenden des Unternehmens, an unsere Kunden und Lieferanten, an die betroffenen Personen, Aufsichtsbehörden und an mögliche andere Interessierte Parteien, z.B. Bildungseinrichtungen und IHK. Die Datenschutzrichtlinie wird in einem einjährigen Turnus überprüft und wenn nötig aktualisiert.

 

4 Verantwortliche im Unternehmen und zuständige Aufsichtsbehörde

Geschäftsführung: Guido Köhler, Michael Seemann
Datenschutzbeauftragter und seine Stellvertreterin: Theodoros Dimitriadis, Christiane Jakobs
Informationssicherheitsbeauftragter: Theodoros Dimitriadis
Leiter HR: Michael Seemann
Leiter IT: Guido Köhler
Zuständige Aufsichtsbehörde: LDI (NRW) – Landesbeauftragte für Datenschutz und Informations-freiheit Nordrhein-Westfalen (www.ldi.nrw.de)

 

5 Datenschutzpolitik der LogSolution GmbH

Die Geschäftsleitung der LogSolution GmbH verpflichtet sich zur Einhaltung der Datenschutzvorgaben und benennt zu deren Durchsetzung und Überwachung einen Datenschutzbeauftragten.
Wir betreiben seit 2012 ein zertifiziertes Informationssicherheits-Management nach ISO/IEC 27001. Datenschutz und Datensicherheit sind auf der Gesetzesgrundlage des DSGVO integraler Bestandteil unserer Informationssicherheits-Politik. Dabei haben wir uns folgende Prinzipien gesetzt:

Integrität und Vertraulichkeit
Wir sichern die Integrität und Vertraulichkeit personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen sowie durch Awareness und Kompetenz unseres Personals, welches mit der Erfassung und Verarbeitung der Daten betraut ist.

Rechtmäßigkeit und Transparenz
Personenbezogene Daten werden von uns nur auf rechtmäßige Weise und mit Einverständnis der betroffenen Personen erhoben. Die betroffenen Personen sind dabei über den Zweck der Datenerhebung informiert und erhalten auf Wunsch Einblick in unseren Umgang mit den Daten.

Zweckbindung
Wir erheben, speichern und verarbeiten personenbezogene Daten ausschließlich für zuvor festgelegte, eindeutige und legitime Zwecke. Eine Weiterverarbeitung für andere Zwecke als ursprünglich vereinbart schließen wir aus.

Datenminimierung
Wir erheben personenbezogene Daten nur in dem Maße, wie es angemessen und für den Zweck der Verarbeitung notwendig und erheblich ist.

Richtigkeit
Wir achten darauf, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sind. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, werden unverzüglich gelöscht oder berichtigt.

Speicherbegrenzung
Personenbezogene Daten von Kunden, Mitarbeitern, Lieferanten und Kooperationspartnern werden nur so lange vorgehalten/gespeichert, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Eine über diese Zeit hinausgehende Speicherung für einen begrenzten Zeitraum kann erfolgen, wenn die Daten z.B. für die jährliche Steuererklärung oder ähnliche Zwecke oder für die Erfüllung von Verträgen benötigt werden.

6 Datenkategorien, Zweckbestimmungen und Rechtsgrundlagen

Unser Unternehmen erhebt, speichert und verarbeitet keine personenbezogenen Daten, die zu den sogenannten „besonderen Kategorien personenbezogener Daten“ (Art. 9 DSGVO) gehören.
Die Verarbeitung personenbezogener Daten ist kein primärer Prozess unserer Dienstleistungen. Wir erheben, speichern und verarbeiten personenbezogene Daten im Rahmen der Erfordernisse und der gesetzlichen Vorgaben ausschließlich zum Zweck der Durchführung und Umsetzung folgender unternehmerischer Prozesse:

  • Erbringung von Dienstleistungen für unsere Kernprodukte am geschlossenen System gemäß Kundenverträgen und Service Level Agreements
    • Fehlerbehebung (Entwicklung, Konfiguration, Datenbereinigung)
    • Workflow-Unterstützung bei Problemen und Fragen
    • Änderungsmanagement gemäß Kundenauftrag
    • Wartung der Kundensysteme (Hochverfügbarkeitstests, Reorganisation der Datenbanken, Betriebssystem-Wechsel etc.)
    • Hardware-Wartung und Repair-Management
  • Webbasierte Anwendungsentwicklungen (Neu-/Weiter-Entwicklungen) und Hosting der Anwendungen für die Kunden
  • Personalmanagement (Durchführung von Arbeitsverhältnissen)
  • Bewerbungsmanagement
  • Einkaufstätigkeiten (Beschaffung von Waren und Dienstleistungen und Pflege von Lieferantenbeziehungen)

Als Auftragnehmer können wir die durch unsere Auftraggeber zu verarbeitenden personenbezogenen Daten in den Systemen einsehen, verarbeiten diese aber lediglich, um den logistischen Transport von Waren zu gewährleisten. Die LogSolution GmbH verfolgt keine eigenen Zwecke der Verarbeitung dieser personenbezogenen Daten. Um Projekte, Aufträge und Beratungstätigkeiten (z.B. Hotline Support) durchführen zu können, verarbeiten wir ausschließlich Daten (i.d.R. Namen, Telefonnummern, E-Mail-Adressen) von Interessenten und Bestandskunden.

Die Verarbeitung personenbezogener Daten durch die LogSolution GmbH erfolgt auf folgenden Rechtsgrundlagen:

  • Durchführung vertraglicher Maßnahmen
  • DSGVO, BDSG und andere bindenden Rechtsverordnungen zum Datenschutz
  • Erfüllung rechtlicher Verpflichtungen, denen der Verantwortliche unterliegt (BGB, Sozialversicherungsgesetze, Rentengesetze, Steuergesetze, etc.)

Mit Kunden und Dienstleistern haben wir Verträge über die Auftragsverarbeitung personenbezogener Daten (sogenannte AV-Verträge) abgeschlossen.

7 Dokumentation der Verfahren mit Verarbeitung personenbezogener Daten und Risikomanagement

Die Datenschutz-Grundverordnung stellt die Rechte und Freiheiten der betroffenen Personen – also derjenigen, deren Daten verarbeitet werden – in den Vordergrund der (Sicherheits-)Betrachtungen. Es muss abgewogen werden, welchen Schutzbedarf bestimmte personenbezogene Daten haben, d.h. welche negativen Auswirkungen (Gefahren) sich durch ungewollte Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang für die Betroffenen ergeben würden und wie hoch die Eintrittswahrscheinlichkeit von ungewollter Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang ist. Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen bestimmen über die Erforderlichkeit von technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz der personenbezogenen Daten ergreifen muss, d.h. mit welchen Maßnahmen das jeweilige Risiko reduziert werden kann (Art. 24 Abs. 1 Satz 1 und Art. 32 Abs. 1 DSGVO).
Wir haben ein Verzeichnis sämtlicher Verfahren mit Verarbeitung personenbezogener Daten, das sogenannte Verfahrensverzeichnis erstellt. Wird ein neues Verfahren eingeführt oder erfolgen Änderungen an einem bestehenden Verfahren, muss das Verzeichnis erweitert bzw. entsprechend angepasst werden. Folgende Daten werden für jedes Verfahren dokumentiert:

Zu jeder Verfahrens-Dokumentation gehört eine formale Risikoanalyse, welche auch als Grundlage für die Entscheidung dient, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. (Kriterien für die Risikobewertung finden sich vor allem in den Erwägungsgründen 75, 76, 89 bis 91 und 94 der Datenschutz-Grundverordnung.)
Dabei führen wir eine Bewertung für die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität durch und bilden daraus eine Maßzahl („Risikoindex“) nach dem folgenden Schema:

Die vierstufige Klassifizierung der verarbeiteten pb Daten im Hinblick auf die Schutzziele entspricht unserer Klassifizierung von Informationen und informationsverarbeitenden Systeme im Allgemeinen. Die Klassifizierung ist in QM/VA060 Informationssicherheit, Kap. 2.3 dargestellt.

Für die Risikobeurteilung wird die Eintrittswahrscheinlichkeit und die Bedeutung der zu erwartenden Auswirkungen für die betroffenen Personen, deren Daten verarbeitet werden, hinsichtlich des jeweiligen Schutzziels bewertet. Weitere Details finden sich in SEC/FB019 Verzeichnis der Verarbeitungen mit pb Daten, Arbeitsblatt „Einleitung“.

Gemäß unserer internen Festlegung ist eine Datenschutz-Folgenabschätzung notwendig, wenn mindestens einem der drei Schutzziele ein Wert >= 8 zugemessen wird. „Restrisiken“, die trotz der technischen und organisatorischen Maßnahmen bestehen bleiben, werden vom Management ausdrücklich akzeptiert.

Die Dokumentation der Verfahren mit Verarbeitung personenbezogener Daten wird in einem einjährigen Turnus überprüft und wenn nötig aktualisiert. Interne Datenschutzaudits können durch den Datenschutzbeauftragten anlassbezogen durchgeführt.

8 Sicherheitsvorgaben und Kontrollen

Neben den in Kapitel 5 genannten Prinzipien verankert die Datenschutz-Grundverordnung in Art. 25 Technikgestaltung („privacy by design“) und datenschutzfreundliche Voreinstellungen (“privacy by default“) als Grundgedanken und fordert damit das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) zum Schutz personenbezogener Daten, bestenfalls bereits bei der Erarbeitung und Inbetriebnahme eines Datenverarbeitungsvorgangs.

Folgende Schutzziele werden mit den technischen und organisatorischen Maßnahmen verfolgt:

  • Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot

Alle technischen und organisatorischen Maßnahmen, welche die LogSolution GmbH zur Erreichung der genannten Schutzzielen implementiert hat, sind in dem Dokument SEC/FB016 ToM zum Datenschutz der LogSolution dargestellt. Die Dokumentation wird in einem einjährigen Turnus überprüft und wenn nötig aktualisiert. In diesem Dokument verweisen wir auch auf den Bezug der Schutzanforderungen zu den entsprechenden Normenanforderungen an unser Informationssicherheits-Managementsystem nach ISO 27001.

Als organisatorische Maßnahmen sind solche Schutzversuche zu verstehen, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden.

Unter technischen Maßnahmen sind dabei alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind, oder Maßnahmen, die in Soft- und Hardware umgesetzt werden. In dem Bestreben, eine technische Kompromittierung der Sicherheitseinrichtungen (z.B. durch Malware) zu verhindern, hat die verantwortliche IT-Abteilung dokumentierte Verfahren zur regelmäßigen Wartung der Systeme sowie zum Update-, Patch- und Schwachstellenmanagement implementiert. Diese haben auch zum Ziel, bei den technischen Maßnahmen immer die anerkannt fortschrittlichsten Mittel einzusetzen (Stand der Technik). Sämtliche Änderungen an den Systemen finden nur geplant und dokumentiert im Rahmen des Change Management Prozesses statt.

Bei unseren Mitarbeitern sorgen wir durch regelmäßige Schulungen für Bewusstsein und Sensibilisierung für das Thema „Datenschutz“. Jeder Mitarbeiter wird schriftlich auf das Datengeheimnis verpflichtet. Die Verpflichtungserklärung enthält Hinweise auf mögliche Sanktionen bei Verstößen sowie auf das Fortbestehen der Verpflichtung nach Beendigung des Beschäftigungsverhältnisses. Ausgewählte Administratoren mit umfassenden Berechtigungen auf unsere IT-Systeme geben darüber hinaus im Rahmen des IMS eine Verschwiegenheitserklärung ab.

Im Rahmen des IMS werden jährlich interne Audits zu den Kernprozessen und jedes zweite Jahr interne Audits zu den unterstützenden Prozessen der LogSolution GmbH durchgeführt. Dazu kommen die jährlichen Überwachungsaudits bzw. die im Drei-Jahres-Turnus durchgeführten (Re-) Zertifizierungsaudits durch eine anerkannte Zertifizierungsstelle, um die Konformität des Unternehmens mit den Anforderungen an ein Informationssicherheits-Managementsystem gemäß ISO 27001 zu überprüfen und sicherzustellen. Seit 2018 wird auch den Aspekt des „Schutzes personenbezogener Daten“ berücksichtigt, sowohl bei den internen IMS-Audits, als auch bei den Audits durch eine externe Prüforganisation (TÜV).

9 Aufbewahrungs- und Löschregeln

Es gibt eine gesetzliche Verpflichtung, personenbezogenen Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. Die Datenschutz-Grundverordnung benennt in Artikel 5 Abs.1 lit. e: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“ Wie in Kapitel 6 dargestellt und im Verfahrensverzeichnis dokumentiert, speichert die LogSolution GmbH personenbezogene Daten ihrer Beschäftigten und von Bewerbern sowie von Vertragspartnern (Bestandskunden, Interessenten, Lieferanten) zur Erbringung von Dienstleistungen. Daten von Bewerbern werden nach 6 Monaten gelöscht oder vernichtet. Für die Daten aus Beschäftigungsverhältnissen, Verträgen und Projekten bestehen nach Beendigung gesetzliche Aufbewahrungspflichten. Wenn personenbezogene Daten nicht mehr für aktive Geschäftsprozesse benötigt werden, wird der interne Zugriff weiter eingeschränkt, solange die Daten nicht gelöscht werden können. Die Details regelt das interne Vorgabedokument SEC/RL010 Aufbewahrungsstrategie für Dokumente und Informationen. Kapitel 6 legt des Weiteren dar, dass wir als Auftragnehmer die durch unsere Auftraggeber zu verarbeitenden personenbezogenen Daten in den Systemen einsehen können, diese aber lediglich insofern „verarbeiten“, um den logistischen Transport von Waren zu gewährleisten. Wir speichern diese Daten nicht in „eigenen“ Systemen, so dass die Implementierung von Löschroutinen für diese Daten nicht in unserer Verantwortung liegt.

10 Weitergabe an Dritte, Auftragsverarbeiter und Unterauftragsverhältnisse

Begriffsdefinitionen zu diesem Kapitel finden sich in Kapitel 1 der Datenschutzrichtline.

Die Weitergabe von Daten kann auch ohne Einwilligung, Vertrag oder rechtliche Verpflichtung zulässig sein, wenn ein „berechtigtes Interesse des Verantwortlichen oder eines Dritten“ besteht – sofern diese Interessen die Rechte der betroffenen Personen nicht einschränken (Art. 6 Abs. 1 lit. f DSGVO). Zu den berechtigten Interessen nach Art.6 Abs.1 lit. f DSGVO gehören auch Interessen an der Gewinnmaximierung, Kostensenkung und Optimierung der Dienste. Bei der Interessensabwägung kommt es auf die Art der Daten, den Zweck der Datenweitergabe und mögliche Risiken für die Betroffenen an. Für den Verkauf von Kundendaten an Adresshändler z.B. wird die Abwägung grundsätzlich negativ ausfallen. Hierfür wäre eine Einwilligung notwendig.

LogSolution gibt personenbezogene Daten ihrer Beschäftigten und Kunden (und ggf. weiterer interessierter Parteien, s. Kap. 3) nur auf Grundlage eines gesetzlichen Erlaubnistatbestandes an Dritte weiter, z.B. an Sozialbehörden und Finanzbehörden (Art. 6 Abs.1 lit. c). Sollten andere Fälle einer Datenübermittlung an Dritte auftreten, so erfolgt dies auf Grundlage eines Vertrags (Art. 6 Abs.1 lit. b) oder einer Einwilligung des/der Betroffenen (Art. 6 Abs.1 lit. a).

Als Auftraggeber schließt die LogSolution GmbH mit ihren Dienstleistern, welche im Rahmen der erbrachten Dienstleistung Kenntnis von personenbezogenen Daten erhalten (können), AV-Verträge ab und kontrolliert die Dienstleister auf Einhaltung der geforderten Datenschutz-Vorgaben. Dies erfolgt in der Regel durch Prüfung der Dokumentation über die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, welche von den Dienstleistern zur Verfügung gestellt wird.

Als Auftragnehmer schließt die LogSolution GmbH mit ihren Kunden AV-Verträge ab und weist diesen die Einhaltung der geforderten Datenschutz-Vorgaben nach – in der Regel durch Aushändigung der Dokumentation über die sog. technischen und organisatorischen Maßnahmen zum Schutz pb Daten (SEC/FB016 ToM zum Datenschutz der LogSolution).

Sofern die LogSolution GmbH Unterauftragnehmer (Sub-Unternehmer) einschaltet, werden die Unterauftragsverhältnisse im Vertrag zur Auftragsdatenverarbeitung mit den Kunden dargelegt. Derzeit hat LogSolution keine Unterauftragnehmer in Drittstaaten (Nicht-EU-Ländern).

In der Konstellation mit einem Auftraggeber (A), Auftragnehmer (B) und einem Unterauftragnehmer (C) ist (B) im Rahmen seiner Auftragnehmer-Verantwortung Auftraggeber des (C), verantwortliche Stelle bleibt bei einer Auftragsdatenverarbeitung jedoch immer der Auftraggeber (A).

Es gibt drei Modelle, wie die Weisungs- und Kontrollrechte des Auftraggebers (A) gegenüber dem Unterauftragnehmer (C) ausgeübt werden können (Quelle: https://www.datenschutzbeauftragter-info.de/auftragsdatenverarbeitung-weisungs-und-kontrollrechte-im-unterauftragsverhaeltnis/): Das Stufenmodell, das Durchgriffsmodell und das Mehr-Auftraggeber-Modell.

  • Bei den Unterauftragsverhältnissen der LogSolution GmbH kommt das Stufenmodell zur Anwendung.

 

Stufenmodell
(A) erteilt Weisungen an den (B), und (B) erteilt Weisungen an (C), eine bestimmte Handlung datenschutzrechtlicher Art vorzunehmen (Weisung in Stufen). (B) ist im Verhältnis zu (C) eigenständiger Auftraggeber, während (A) sog. Überauftraggeber zu (C) wäre. Hier erfolgt kein direkter Durchgriff auf (C) durch (A). Da zwischen (A) und (C) kein eigenständiges Vertragsverhältnis besteht, kann (A) nur (B) kontrollieren, bzw. (B) anweisen den (C) zu kontrollieren. Hierbei kann er grundsätzlich im Rahmen seines Weisungsrechtes gegenüber (B) die Art der Kontrollen bei (C) vorschreiben, sodass er die Herrschaft über die Daten nicht verliert.
Der Auftragnehmer (B) trägt Verantwortung im Rahmen seiner Auftraggeber-Rolle gegenüber (C), dabei ist (B) aber an alle Weisungen des (A) gebunden und nicht etwa als verantwortliche Stelle i.S.d. DSGVO/BDSG einzuordnen.

 

Durchgriffsmodell
(A) wird ein direktes Weisungs- und Kontrollrecht bei (C) eingeräumt. Dies führt dazu, dass (C) ausschließlich von (A) geführt und kontrolliert wird und (B) als Auftragnehmer hier außen vor bleibt.

 

Mehr-Auftraggeber-Modell
Dieses Modell stellt eine Kombination des Durchgriffs- und Stufenmodells dar. Hierbei ist (C) den Weisungen und Kontrollen des (A) direkt unterworfen, muss aber gleichzeitig auch den Weisungen und Kontrollen des (B) Folge leisten. Ein Auseinanderfallen der Weisungen ist faktisch nicht möglich, da (B) den Unterauftragnehmer (C) nur so anweisen könnte, wie er selbst von (A) angewiesen wurde. (Im Vertrag zwischen (B) und (C) müssten die Weisungs- und Kontrollrechte des konkreten Auftraggebers (A) geregelt werden, und aus Transparenzgründen müsste jede Stelle mit Auftraggeber-Qualität in der Auftragskette konkret benannt werden.)

11 Auskunftsregelung und Widersprüche

Betroffenen steht gemäß Art. 15 DSGVO (§ 34 BDSG) ein Auskunftsrecht gegenüber der verantwortlichen Stelle zu. Die verantwortliche Stelle hat in diesem Rahmen in der Regel unentgeltlich Auskunft über nachfolgende Informationen zu erteilen:

  • die zur Person des Auskunft suchenden Betroffenen gespeicherten Daten (ggf. auch Herkunft dieser Daten)
  • ggf. Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden
  • Zweck der Speicherung/Verarbeitung

Sind über den Betroffenen keine Daten gespeichert, ist ihm auch dies mitzuteilen (Negativauskunft).

Um das Problem der Identitätsprüfung bei mündlicher Auskunftserteilung zu vermeiden, sehen wir von dieser ab und stellen die Informationen nur in schriftlicher Form zu Verfügung (SEC/FB013-DE Antwort Auskunftsersuchen über pb Daten). Bei elektronischer Übermittlung verwendet LogSolution ein gängiges elektronisches Format und sorgt auch eine sichere Übertragung mit dem Dateiaustauschtool Qiata. Gemäß Art. 12 Abs. 3 DSGVO kommen wir Auskunftsersuchen innerhalb eines Monats nach Eingang des Antrags nach.

Ersuchen Betroffener auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten gemäß Art. 16 -Art. 19 DSGVO prüfen und beantworten wir schriftlich innerhalb eines Monats nach Erhalt des Antrags (SEC/FB014-DE Antwort Änderungs- und Löschungsersuchen über pb Daten).

12 Umgang mit Datenpannen – Meldepflicht und Reaktionsplan

Nach Art. 4 Nr.12 DSGVO ist eine Datenpanne (formal „eine Verletzung des Schutzes personenbezogener Daten“) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig

  • zur Vernichtung, zum Verlust, zur Veränderung personenbezogener Daten
  • zur unbefugten Offenlegung von/zum unbefugten Zugang zu personenbezogenen Daten

führt. Beispiele für Datenpannen sind:

  • Löschung durch eine nicht autorisierte Person
  • Unmöglichkeit der Wiederherstellung eines Backups
  • Abhandenkommen eines Schlüssels zur Entschlüsselung
  • Datendiebstahl (durch Hacking oder physisches Eindringen in eine geschützte Umgebung)
  • Verlust eines mobilen, unverschlüsselten Datenträgers

Generell besteht nach Art. 33 Abs. 5 DSGVO die Pflicht zur Dokumentation hinsichtlich aller Verletzungen des Schutzes personenbezogener Daten und aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.

Des Weiteren besteht bei Kenntniserlangung einer Datenpanne die Pflicht, Meldungen an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) und an die betroffenen Personen (Art. 34 DSGVO) zu machen, und zwar unverzüglich nach Kenntniserlangung bzw. innerhalb von 72 Stunden im Fall der Aufsichtsbehörden (Verzögerungen müssen begründet werden). Die betreffenden Artikel lassen Ausnahmen von der Pflicht zur Benachrichtigung zu; um deren Anwendbarkeit zu prüfen, ist in jedem Fall eine Risikoabwägung durchzuführen. Hierzu soll der Risikokatalog es Erwägungsgrundes 75 DSGVO berücksichtigt und die Abwägung dokumentiert werden.

Um die Meldepflichten entsprechend der gesetzlichen Vorgaben zügig umsetzen zu können, hat sich LogSolution mit folgendem Reaktionsplan auf den möglichen Eintritt von Datenpannen vorbereitet:

1. Schnelle Kenntniserlangung von Datenpannen
Die Mitarbeiter sind angewiesen, Datenschutzpannen unverzüglich nach Kenntniserlangung dem Datenschutzbeauftragten zu melden. Es wird kommuniziert, dass zügiges Handeln möglicherweise wichtig sein kann, um den Schaden zu begrenzen. Auch für den Fall, dass ein Verschulden eines Mitarbeiters vorliegt, ist die zeitnahe Meldung des Vorfalls an den Datenschutzbeauftragten auch in seinem Interesse. Ggf. wird rechtlicher Rat eingeholt.

2. Bewertung
Der Datenschutzbeauftragte führt ggf. in Zusammenarbeit mit Kollegen, die im Zusammenhang mit Art und Umständen der Datenpanne die notwendige Fachkenntnis besitzen, eine Bewertung und Risikoanalyse durch. Folgende Kriterien werden zur Ermittlung des Risikos einer Datenschutzpanne herangezogen:

  • betroffene Kategorien personenbezogener Daten
  • Art der Verletzung
  • Kreis und Anzahl der betroffenen Personen
  • Missbrauchsrisiken und Folgewirkungen für die betroffenen Personen

3. Maßnahmen zur Abwendung/Eindämmung
In Zusammenarbeit mit dem Fachpersonal werden Gegenmaßnahmen erarbeitet, um Datenschutzpannen der betreffenden Art in Zukunft zu vermeiden bzw. das Risiko für deren Eintreten einzudämmen. Dabei kann auf die Erfahrung aus der Bewältigung vorangegangener Datenpannen zurückgegriffen werden. Werden neue technische und/oder organisatorische Maßnahmen eingeführt oder bestehende technische und/oder organisatorische Maßnahmen verändert/erweitert, so muss dies zu einer Revision der betreffenden Dokumentation führen (SEC/FB016 ToM* zum Datenschutz der LogSolution, Verfahrensanweisungen/Prozessbeschreibungen des IMS).

4. Entscheidung, ob eine Meldung erfolgen soll
An die Bewertung der Datenpanne schließt sich die Entscheidung an, ob eine Meldung an die Aufsichtsbehörde und/oder an den Betroffenen erfolgen soll. Bei der Entscheidung ist die Geschäftsleitung mit einzubeziehen. Bei positiver Entscheidung erfolgt dann die Meldung an die Aufsichtsbehörde und/oder den Betroffenen.

Beispiele für Datenpannen, die Meldung an die Aufsichtsbehörde und die Betroffenen erfordern:

  • das Unternehmen wird Opfer eines Cyber-Angriffs und Hacker veröffentlichen Namen und Passwörter von Kunden
  • eine große Zahl personenbezogener Daten wird an eine falsche Empfängerliste mit einer großen Zahl von Empfängern geschickt

Beispiele für Datenpannen, die keine Meldung erfordern:

  • Abhandenkommen eines mobilen Datenträgers, der nach aktuellem Standard verschlüsselt ist
  • ein kurzer Stromausfall z.B. im Call-Center, der dazu führt, dass Kunden vorübergehend die für sie relevanten Daten nicht abfragen können

Es besteht grundsätzlich die Möglichkeit, dass Verantwortliche durch Erfüllung der Meldepflicht selbst die Grundlage für ein Bußgeldverfahren gegen sich schaffen.

5. Meldung an die Aufsichtsbehörde und die Betroffenen
Die Meldung an die Aufsichtsbehörde erfolgt schriftlich und enthält – soweit möglich – die folgenden Informationen (gem. Art. 33 und Art. 34 DSGVO):

  • Art der Verletzung des Schutzes personenbezogener Daten (Beschreibung)
  • Kategorien der betroffenen Daten
  • (ungefähre) Zahl der betroffenen Personen/Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • ggf. Name und Kontaktdaten einer sonstigen Anlaufstelle für weitere Informationen
  • wahrscheinliche Folgen der Verletzung des Schutzes personenbezogener Daten (Beschreibung)
  • vom Verantwortlichen vorgeschlagene/ergriffene Maßnahmen zur Abmilderung möglicher negativer Auswirkungen (Beschreibung)
  • vom Verantwortlichen vorgeschlagene/ergriffene Maßnahmen zur künftigen Vermeidung derartiger Datenpannen (bzw. zur Eindämmung des Risikos für deren Eintreten)

Die letzten drei Punkte sind auch bei der Benachrichtigung der Betroffenen zu berücksichtigen.
Es besteht grundsätzlich die Möglichkeit, dass Verantwortliche durch Erfüllung der Meldepflicht selbst die Grundlage für ein Bußgeldverfahren gegen sich schaffen.

15 Kontakt

Fragen, Kommentare und Anfragen können gerne und jederzeit gerichtet werden an:
Datenschutz@logsolution.de