Datenschutzrichtlinie


1. Ziel


Die Persönlichkeitsrechte und die Privatsphäre eines jeden Einzelnen zu wahren sowie Geschäfts- und Betriebsgeheimnisse zu schützen, sind für uns die Basis für vertrauensvolle Geschäftsbeziehungen.

In dieser Leitlinie wird beschrieben, wie wir Daten verarbeiten, an wen wir sie weiterleiten sowie welche Rechte betroffene Personen sowie Unternehmen im Zusammenhang mit unserer Verarbeitung der Daten haben. Außerdem beschreiben wir, mit welchen Maßnahmen wir die Sicherheit der Daten gewährleisten und wie betroffene Personen und Unternehmen Kontakt mit uns aufnehmen können, wenn Sie Fragen zur praktischen Umsetzung unseres Schutzes ihrer personen- und unternehmensbezogenen Daten haben. 


2. Allgemein


Unsere Mitarbeiter sind zur Einhaltung dieser Leitlinie und daraus abgeleitete Richtlinien und Arbeitsanweisungen verpflichtet. Jeder Mitarbeiter ist in seinem Verantwortungsbereich für deren Umsetzung verantwortlich.

Jede betroffene Person kann sich mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an unseren Datenschutzbeauftragten (privacy@cardcompact.com) wenden. Anfragen und Beschwerden werden vertraulich behandelt.

Die Geschäftsleitung ist in vollem Umfang für die gesamte Datenverarbeitung bei der Card Compact Ltd. verantwortlich.


3. Datenschutz


Diese Leitlinie regelt u.a. die datenschutzkonforme Verarbeitung personenbezogener Daten betroffener Personen (jede natürliche Person, über die Daten verarbeitet werden) und die insoweit bei Card Compact bestehenden Verantwortlichkeiten.

Das Unternehmen führt ein Verzeichnis über alle Datenverarbeitungsvorgänge im Unternehmen. In jeder Fachabteilung wird mindestens einer Person die Verantwortung übertragen, die dafür notwendigen Informationen zu den Verfahren der jeweiligen Abteilung zusammenzutragen und diese entsprechend den Anforderungen des Art. 30 DSGVO in Abstimmung mit dem Datenschutzbeauftragten zu dokumentieren.


3.1 Datenschutzbeauftragter


Wir haben nach Maßgabe des Art. 37 DSGVO einen betrieblichen Datenschutzbeauftragten berufen und einen Abwesenheitsvertreter bestellt.

Unser Datenschutzbeauftragte nimmt die ihm kraft Gesetzes und aus dieser Leitlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seines Fachwissens sowie seiner beruflichen Qualifikation wahr. Unser Datenschutzbeauftragte hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Er unterrichtet und berät die Unternehmensleitung sowie die Mitarbeiter hinsichtlich ihrer Datenschutzpflichten. Ihm obliegt die Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich, der Sensibilisierung und Schulung der Mitarbeiter.

Unser Datenschutzbeauftragte wird frühzeitig in alle Datenschutzfragen eingebunden und wird sowohl von der Unternehmensleitung als auch den Mitarbeitern bei der Erfüllung seiner Aufgaben unterstützt. Unser Datenschutzbeauftragte berichtet regelmäßig der Geschäftsleitung über stattgefundene Prüfungen, Beanstandungen und ggf. noch zu beseitigende Organisationsmängel.

Jeder Mitarbeiter kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an unseren Datenschutzbeauftragten wenden, wobei absolute Vertraulichkeit gewahrt wird. 


3.2 Grundprinzipien der Verarbeitung 


Bei der Verarbeitung personenbezogener Daten berücksichtigen wir Persönlichkeitsrechte (Grundrechte und -freiheiten) der betroffenen Person. Personenbezogene Daten erheben und verarbeiten wir auf rechtmäßige Weise.


3.2.1  Erlaubnistatbestände


Grundsätzlich ist die Verarbeitung personenbezogener Daten nicht gestattet. Wir erheben, verarbeiten und nutzen personenbezogene Daten nur aufgrund der folgenden, rechtlich zulässigen Erlaubnistatbestände gem. Art. 6 DSGVO.


  • Vertragserfüllung

Die Verarbeitung personenbezogener Daten ist zulässig, wenn für die Erfüllung eines Vertrags zwischen uns und der betroffenen Person, oder bei der Anbahnung der Geschäftsbeziehung auf Anfrage dieser, eine Datenverarbeitung erforderlich ist.


  • Einwilligung

Eine Datenverarbeitung kann aufgrund einer Einwilligung der betroffenen Person stattfinden. Vor der Einwilligung wird die betroffene Person über die Verarbeitung umfänglich durch uns informiert. Die Einwilligungserklärung wird aus Beweisgründen grundsätzlich schriftlich oder elektronisch eingeholt. Unter Umständen, z.B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt werden. Die Einwilligung muss jedenfalls dokumentiert werden.


  • Gesetzliche Erlaubnis

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn gesetzliche Rechtsvorschriften die Datenverarbeitung von uns verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften.


  • Berechtigtes Interesse

Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung unseres berechtigten Interesses erforderlich ist. Berechtigte Interessen sind in der Regel rechtliche (z.B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z.B. Vermeidung von Vertragsstörungen). Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen der betroffenen Person das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen werden für jede Verarbeitung geprüft.


3.2.2 Zweckbindung & Datenminimierung


Die Verarbeitung personenbezogener Daten erfolgt zudem lediglich zu Zwecken, die vor der Erhebung der Daten festgelegt wurden. Grundsätzlich dürfen nur solche Daten verarbeitet werden, die zur Erreichung des Geschäftszwecks erforderlich sind und in unmittelbarem Zusammenhang mit dem Verarbeitungszweck stehen. Nachträgliche Änderungen der Zwecke sind damit nur eingeschränkt möglich oder bedürfen einer Einwilligung oder Rechtfertigung. Eine Zweckänderung ist schriftlich zu dokumentieren.

Vor einer Verarbeitung personenbezogener Daten prüfen wir, ob und in welchem Umfang diese notwendig ist, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Wenn es zur Erreichung des Zwecks möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Zweck steht, werden anonymisierte Daten verwendet.


Personenbezogene Daten werden von uns nicht auf Vorrat für potentielle zukünftige Zwecke gespeichert, es sei denn, dies ist durch nationales Recht vorgeschrieben oder erlaubt.


Personenbezogene Daten, deren Verarbeitung nach dem Entfallen des Zwecks und/oder nach Ablauf von gesetzlichen oder vertraglichen Aufbewahrungsfristen nicht mehr erforderlich sind, löschen wir. „Löschen“ personenbezogener Daten meint hier sowohl das endgültige und damit unwiderrufliche, vollständige Beseitigen von Daten (Vernichten) wie auch des Personenbezugs dieser (Anonymisieren). In jedem Fall ist nach dem Löschvorgang ein Bezug zu konkreten Personen nicht mehr herstellbar.


3.2.2.1 Aufbewahrungs- und Löschprozess

  1. Feststellung der datenschutzrechtlichen Verpflichtung zur Löschung (Zweckfortfall, Ausübung von Rechten der betroffenen Person)
  2. Feststellung der wesentlichen Aufbewahrungspflichten (gesetzlich und vertraglich)
  3. Feststellung der relevanten Aufbewahrungsfristen (gesetzlich und vertraglich)
  4. Kontrolle und Dokumentation der Löschung


Soweit für Daten, deren ursprünglicher Verwendungszweck entfallen ist, darüberhinausgehende Aufbewahrungspflichten i.S.d. Art. 17 Abs. 3 lit. b u. e DSGVO gelten und deren Aufbewahrungsfristen noch nicht abgelaufen sind, sind diese Daten gem. § 35 Abs. 1 BDSG jeder weiteren aktiven Verwendung auf Produktivebene zu entziehen (Sperrung). Erst mit dem Wegfall der ursprünglichen Verarbeitungszwecke, Aufbewahrungspflichten und dem Ablauf der entsprechenden Aufbewahrungsfristen, sind Daten vollständig und endgültig von allen übrigen, diese Daten verarbeitenden Systemen zu löschen bzw. deren Löschung zu veranlassen (Auftragsverarbeitung).

Grundsätzlich sind personenbezogene Daten unverzüglich zu löschen, wenn sie für den ursprünglichen Zweck nicht mehr verarbeitet werden und auch die Aufbewahrungspflichten entfallen bzw. Aufbewahrungsfristen verstrichen sind.

Aus Gründen der Praktikabilität ist es jedoch nicht möglich, in jedem Einzelfall Aufbewahrungspflichten und deren Fristen exakt einzuhalten und eine tagesgenaue Archivierung oder Löschung einzelner personenbezogener Daten durchzuführen. Daher werden Daten grundsätzlich innerhalb vertretbarer Zeiträume gesammelt archiviert und gelöscht.


Soweit nicht im Einzelfall eine frühere Löschung angezeigt ist, gilt als Regellöschfrist: Daten, deren Aufbewahrungsfrist in oder mit einem bestimmten Kalenderjahr abläuft, werden spätestens zum Ablauf des 1. Quartals des folgenden Kalenderjahres gelöscht.

Sofern zusammenhängende Datensätze sich nur mit unverhältnismäßigen Aufwand voneinander trennen, separat identifizieren, archivieren und löschen lassen, ist der gesamte Datensatz zu archivieren und zu löschen.


Maßgeblich ist das Datum mit der längst notwendigen Zweckverwendung oder Aufbewahrungsfrist, je nachdem welcher Zeitpunkt der Spätere ist. Im Unternehmen gelten folgende Löschfristen:


Zeitraum sofort 6 Monate 3/10 Jahre 7/10 Jahre
Zweck Wegfall des Verarbeitungs-zwecks alle persönlichen Daten zur Bewerbung (Lebenslauf, Bewerbungsschreiben, Zeugnisse) Daten, die zur Abwehr zivilrechtlicher und strafrechtlicher Ansprüche erforderlich sind (Verjährung) und in Personalakten enthalten sind alle Daten, die sich auf die Buchhaltung beziehen (Bilanzen, Lohnabrechnungen, Rechnungen )
Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a, b, f DSGVO 6 Monate (Art. 6 Abs. 1 S. 1 lit. c DSGVO) nach Ablehnung oder 3 Jahre (Art. 6 Abs. 1 S. 1 lit. c, f DSGVO) nach Ausscheiden 3 Jahre (Art. 6 Abs. 1 S. 1 lit. f DSGVO) nach Schließung Kartenkonto oder Beendigung Arbeitsverhältnisses 7 Jahre (Art. 6 Abs. 1 S. 1 lit. f DSGVO) nach Erstellung von Rechnungen und Umsätzen
Verarbeitungssystem Webseiten, godaddy GMail, Indeed, Uni Passau Karriereportal, Papierdokumente CardBro, Freshdesk, GMail, MS Office, Zoho CRM, GPS, Thames, Veriff, Co-Brand, Inkasso Papierdokumente Sage, CardBro, Papierdokumente
personenbezogene Daten Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten) Meta- / Kommunikationsdaten (z. B. Geräteinformationen, eindeutige Kennung) Name, Geburtsdatum, Adresse, Kontaktdaten (z. B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Lebenslauf, Foto) Name, Geburtsdatum, Adresse, Kontaktdaten (z. B. E-Mail, Telefonnummern), Inhaltsdaten (z. B. Texteingaben, Historie, Foto), Kontodaten (IBAN), Vorgangsnummer Name, Adresse Kontodaten (IBAN), Vorgangsnummer

Mit der Löschung ist sicherzustellen, dass die Daten oder deren Personenbezug nicht mehr vorhanden sind und sich vollständig und endgültig nicht mehr wiederherstellen lassen. Eine Wiederherstellung gilt in diesem Sinne als nicht mehr möglich, wenn sie physikalisch ausgeschlossen ist oder nur mit unverhältnismäßig hohem Aufwand möglich wäre.

Die Löschung von Datenbankeinträgen erfolgt durch das Anonymisieren oder Überschreiben des jeweiligen Eintrages. E-Mails und Tickets werden softwareseitig durch Verschieben des jeweiligen Eintrags in und dem Entfernen dessen aus dem Papierkorb durch Überschreiben gelöscht. Fortlaufende elektronische Dokumente wie Word- oder Excel-Listen zur Erfassung von personenbezogenen Kundendaten werden den jeweiligen Fristen entsprechend modifiziert. Für die Vernichtung von Dokumenten und elektronischen Datenträgern wird ein spezieller Shredder eingesetzt.

Für die einzelnen Systeme bedeutet das Folgendes.



Category Anonymization Deletion (Archieve)
Period after Process Process Period
Zoho CRM Analysis Data - Creation date - AUT Anonymization immediately
Customer Contact Core Data 1 year Account closure / end of business MAN restricted Archive MAN Deletion 3+1 years
Google Drive Accounting Documents 2 years Creation date MAN restricted Archive by search filter 'creation date' AUT Deletion 7+1 years
Any Customer Data - Account closure / end of business - MAN Deletion by search filter 'closed' 3+1 years
GMAIL Any Customer Data - Settlement / Abort - AUT Deletion 7+1 years
Freshdesk Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
Onepilot Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
CardBro / Portal Accounting Documents 7+1 years Creation date AUT Anonymization MAN Deletion 10+1 years
Any Customer Data 3+1 years Account closure / end of business AUT Anonymization MAN Deletion 10+1 years
GPS Accounting Documents 2 years Creation date AUT restricted Archive AUT Deletion 7+1 years
Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
Thames Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
Veriff Any Customer Data - Registration - AUT Deletion 3 months
Sage Any Employee Data Immediately Creation date MAN restricted Archive AUT Deletion 10+1 years
BackUp / Logs Any Data
Webseiten (Cookies) / godaddy Any Customer Data - Creation date / Session - AUT Deletion 1 year


3.2.2.2 Werbung


Die Verarbeitung personenbezogener Daten zu Zwecken der Werbung oder Marktforschung ist nur zulässig, sofern sich dies mit dem Zweck, für den die Daten ursprünglich erhoben wurden, vereinbaren lässt oder eine explizite Einwilligung vor Verarbeitung vorlag.


3.2.2.3 Cookies / Tracking


Wenn auf Webseiten oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt werden, bedarf es zuvor der Einwilligung der betroffen Person (Opt-In). Über die Verarbeitung wird sie in Datenschutzhinweisen und ggf. Cookie-Hinweisen informiert. Diese Hinweise sind so integriert, dass sie für die betroffene Person leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind.


Werden zur Auswertung des Nutzungsverhaltens von Webseiten und Apps Nutzungsprofile erstellt (Tracking), so werden die betroffenen Personen darüber in jedem Fall in den Datenschutzhinweisen informiert werden. Ein personenbezogenes Tracking darf nur erfolgen, wenn die betroffene Person eingewilligt hat. Erfolgt das Tracking unter einem Pseudonym, so wird der betroffenen Person in den Datenschutzhinweisen eine Widerspruchsmöglichkeit eröffnet (Opt-out). Eine gänzlich anonymisiertes Tracking ist aus unserem berechtigten Interesse heraus rechtlich zulässig.


3.2.2.4 Mitarbeiter


Für das Arbeitsverhältnis dürfen personenbezogenen Daten nur verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Arbeitsvertrages erforderlich sind. Bei der Anbahnung eines Arbeitsverhältnisses dürfen personenbezogene Daten von Bewerbern verarbeitet werden. Nach Ablehnung löschen wir die Daten des Bewerbers unter Berücksichtigung beweisrechtlicher Fristen, es sei denn, der Bewerber hat in eine weitere Speicherung für einen späteren Auswahlprozess eingewilligt.


3.2.3 Transparenz


Die betroffene Person wird von uns über den Umgang mit ihren Daten umfassend informiert. Grundsätzlich erheben wir die personenbezogenen Daten bei der betroffenen Person selbst. Bei Erhebung der Daten muss die betroffene Person mindestens Folgendes erkennen können oder entsprechend informiert werden über:


  • Die Identität der verantwortlichen Stelle
  • Den Zweck der Datenverarbeitung
  • Dritte / Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden


Falls andere Stellen oder Behörden Informationen über die betroffene Person anfordern, werden diese ohne Einwilligung der betroffenen Person nur herausgegeben, wenn hierfür eine gesetzliche Verpflichtung oder ein berechtigtes Interesse unsererseits besteht und die Identität des Anfragenden zweifelsfrei feststeht. Im Zweifel ist der Datenschutzbeauftragte zu kontaktieren.


3.2.4 Richtigkeit


Personenbezogene Daten werden richtig, vollständig und – soweit erforderlich – auf dem aktuellen Stand gespeichert. Wir haben angemessene Maßnahmen getroffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.


3.2.5 Integrität und Vertraulichkeit


Für personenbezogene Daten gilt das Datengeheimnis. Wir behandeln sie im persönlichen Umgang vertraulich und schützen sie durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung.


Es gilt das Need-to-know-Prinzip: Mitarbeiter erhalten nur Zugang zu personenbezogenen Daten, wenn und soweit dies für ihre jeweiligen Aufgaben erforderlich ist. Dies ermöglicht die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.



3.3 Auftragsverarbeiter


Sollen externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelnen Verarbeitungsschritten (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten (z.B. Wartung, Reparatur) beauftragt werden, bei denen sie (jedenfalls die Möglichkeit der) Kenntnis personenbezogener Daten bekommen, so sind diese mit einer Auftragsverarbeitungsvereinbarung auf unser Datenschutzniveau verpflichtet. Dienstleister werden von uns vor Auftragserteilung sorgfältig ausgewählt. 


Der Auftragnehmer darf personenbezogene Daten nur im Rahmen unserer Weisungen verarbeiten und hat die geforderten technischen und organisatorischen Schutzmaßnahmen zu gewährleisten. Dabei behält das beauftragende Unternehmen die volle Verantwortung für die korrekte Durchführung der Datenverarbeitung.


Bei einer grenzüberschreitenden Auftragsdatenverarbeitung werden die jeweiligen nationalen Anforderungen für eine Weitergabe personenbezogener Daten ins Ausland erfüllt. Insbesondere findet die Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in einem Drittstaat nur statt, wenn der Auftragnehmer ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau nachweist. Ein geeignetes Instrument ist die Vereinbarung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung in Drittstaaten mit dem Auftragnehmer und möglichen Subunternehmern.


Jeder geplante Wechsel eines Dienstleisters, der personenbezogene Daten im Auftrag unserer Kunden verarbeitet, wird dem Kunden mitgeteilt und bedarf seiner Zustimmung.



3.4 Rechte der betroffenen Person


Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind. Werden personenbezogene Daten an Dritte übermittelt, wird auch über die Identität des Empfängers oder über die Kategorien von Empfängern Auskunft gegeben. Näheres 


Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so stellen wir der betroffenen Person die notwendigen Informationen der Verarbeitung zur Verfügung.


Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann die betroffene Person ihre Berichtigung o. Ergänzung verlangen.


Die betroffene Person kann die Verarbeitung ihrer personenbezogenen Daten einschränken, so z.B. der Verarbeitung zu Zwecken der Werbung oder Marktforschung widersprechen. Für diese Zwecke wird die weitere Verarbeitung der Daten gesperrt. Das gleiche gilt, soweit die Verarbeitung der Daten auf einer Einwilligung beruht und diese durch formlose Erklärung mit Wirkung für die Zukunft widerrufen wird, was jederzeit möglich ist. Der Widerruf der Einwilligung hat keine negativen Auswirkungen.


Die betroffene Person ist berechtigt, die Löschung ihrer Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Verarbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende schutzwürdige Interessen müssen beachtet werden. Näheres regelt unser Datenaufbewahrungs- und Löschkonzept.


Die betroffene Person hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung ihrer Daten, das berücksichtigt wird, wenn ihr schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation unser Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift uns zur Durchführung der Verarbeitung verpflichtet.


3.4.1 Prozessbeschreibung


Alle per E-Mail eingehenden Auskunftsersuchen werden unverzüglich und ohne Eingangsbestätigung an den DSB weitergeleitet. Der DSB prüft, ob entsprechende Daten zur eindeutigen Identifikation der betroffenen Person vorliegen und gleicht diese gemeinsam mit dem Inspektor, den Prozessverantwortlichen und den vorhandenen Datensätzen ab. Der DSB richtet seine Rechercheanfrage bzw. auszuführende Maßnahmen (z. B. Löschung) per E-Mail mit der Priorität „hoch“ an den Prozessverantwortlichen. Der DSB sendet an die betroffene Person eine Empfangsbestätigung über den Erhalt des Auskunftsersuchens. In diesem wird auf den laufenden Vorgang verwiesen und mitgeteilt, binnen welcher Frist die angeforderten Informationen zur Verfügung gestellt werden.


Macht die betroffene Person von ihrem Auskunftsrecht gebrauch, sind folgende Informationen über die Erhebung personenbezogener Daten gemäß Art. 15 DSGVO zur Verfügung zu stellen:


  • die Verarbeitungssysteme;
  • die (Kategorien) personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern;
  • geplante Dauer der Speicherung
  • sowie Aufklärung über den Prozessstatus.


Darüber hinaus ist der betroffenen Person die Zuweisung der personenbezogenen Daten jeweils zu allen Verarbeitungszwecken und Verarbeitungssystemen zur Verfügung zu stellen.


Macht die betroffene Person von ihrem Recht auf Einschränkung der Verarbeitung Gebrauch, widerspricht der Verarbeitung oder verlangt die Datenlöschung, so prüft der DSB gemeinsam mit dem entsprechenden Prozessverantwortlichen ob die Beschränkung auf noch verbleibende Zwecke der Verarbeitung, der Widerspruch oder die Datenlöschung rechtlich zulässig sind und die Daten nicht aufgrund rechtlicher Pflichten auf Projektebene weiter verarbeitet werden müssen. Ist die Beschränkung, der Widerspruch oder die Datenlöschung zulässig, veranlasst der Prozessverantwortliche die Extraktion der Daten, deren Zweck der Verarbeitung aufgrund der Beschränkung oder des Widerspruchs weggefallen ist, von den Verarbeitungs- bzw. Speicherorten auf Archiv Systeme sowie die gleichzeitige Löschung in den Verarbeitungs- bzw. Speicherorten. Ist die Datenlöschung ebenfalls zulässig, wird sie sofort ausgeführt. 


Macht die betroffene Person von ihrem Recht auf Datenübertragbarkeit Gebrauch, teilt der DSB die zu übertragenden Daten dem Inspektor und dem Prozessverantwortliche mit.


Nach Abstimmung / Information der zu treffenden Maßnahme wird diese vom entsprechenden Prozessverantwortlichen durchgeführt.


Sind personenbezogene Daten der betroffenen Person Dritten (Kunden, Lieferanten, Auftraggeber etc.) gegenüber offengelegt worden, sind diese durch den Prozessverantwortlichen über die notwendigen Maßnahmen ebenfalls zu informieren. Insbesondere Auftragsverarbeiter sind von den Prozessverantwortlichen anzuweisen, Auskünfte zu geben, Daten nicht weiter oder eingeschränkt zu verarbeiten oder Daten zu löschen sowie Auftraggeber über umgesetzte Maßnahmen zu informieren. Der Prozessverantwortliche überwacht diesen Prozess und informiert den DSB über den Erfolg.


Nach Abstimmung und Freigabe der Antwort erfolgt diese an die betroffene Person durch den DSB per E-Mail. 



3.5 Datenschutzvorfälle


Jeder unserer Mitarbeiter meldet unverzüglich Fälle von Verstößen gegen diese Richtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle). Bei unrechtmäßiger Übermittlung personenbezogener Daten an Dritte, bei unrechtmäßigem Zugriff Dritter auf oder bei Verlust von personenbezogenen Daten sind die von Teqcycle vorgesehenen Meldungen unverzüglich vorzunehmen, damit die gesetzlichen und vertraglichen Meldepflichten erfüllt werden.


Darüber hinaus ergreifen unsere Mitarbeiter in Abstimmung mit dem Datenschutzbeauftragten und der Geschäftsleitung unverzüglich Maßnahmen, um Beeinträchtigungen der Rechte der betroffenen Person zu minimieren oder zu beseitigen. Daraus werden Maßnahmen zur Vermeidung zukünftiger Datenschutzvorfälle abgeleitet und in bestehende Prozesse implementiert.


3.5.1 Prozessbeschreibung


Folgende Vorfälle sind beispielhaft datenschutzrelevant:


  • Verlust Mobilgeräte auf dem Versandweg (Verdacht auf Datenschutzverletzung)
  • Unberechtigter Zugriff auf Mobilgerät (Datenschutzverletzung)
  • Unbefugter Zutritt in Geschäftsräume (Verdacht auf Datenschutzverletzung)
  • Unbefugter Zugriff auf Onlineprotal / Reversys / Datenbank (Datenschutz-verletzung)
  • Unberechtigte Weitergabe personenbezogener Daten an Dritte wie falscher E-Mail-Empfänger, Beantwortung Kundenanfragen (Datenschutzverletzung


Alle Meldungen von oder Kenntnis über eingegangene Datenschutzvorfälle - unabhängig vom Kommunikationsweg (E-Mail, Telefon, Brief, persönlich, …), sind mit kurzer Beschreibung des Vorfalls über privacy@cardcompact.com unverzüglich, direkt an den DSB zu richten.


Der DSB richtet seine Rechercheanfrage zur Prüfung auszuführende Maßnahmen (z. B. Meldung an die Aufsichtsbehörde oder betroffene Person) per E-Mail mit der Priorität „hoch“ an den Prozessverantwortlichen. 


Die Arbeiten für das Rechercheverfahren sind unverzüglich durch den Prozessverantwortlichen oder seinen Vertreter aufzunehmen. Die Dokumentation erfolgt vorzugsweise mit der Meldung Datenschutzvorfall. Ergänzt wird sie um alle diesen Vorfall betreffenden Informationen (Beweis-/Bildmaterial).


Der DSB prüft, ob und inwieweit die betroffene Person über den Vorfall aufgrund der Verletzung des Schutzes ihrer personenbezogenen Daten zu informieren ist. Eine Information erfolgt gem. Art. 34 Abs. 1 DSVGO nur bei einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person.


Der DSB stimmt die Meldung und ihre Erforderlichkeit mit der Geschäftsführung ab.


Die Meldung an die betroffene Person erfolgt unverzüglich nach Feststellung und der Prüfung durch den DSB mit folgenden Informationen: 


  • Welche Verletzung liegt vor?
  • Welche und wie viele Daten sind betroffen?
  • Welche Maßnahmen zur Abmilderung oder Behebung der Verletzung des Schutzes personenbezogener Daten wurden ergriffen?
  • Welches hohe Risiko für die Rechte des Betroffenen ist entstanden bzw. erhöht?
  • Namen und die Kontaktdaten des Datenschutzbeauftragten


Der DSB prüft, ob und inwieweit der Auftraggeber über den Vorfall aufgrund der Verletzung des Schutzes personenbezogenen Daten gemäß der AVV zu informieren ist.


Der DSB stimmt die Meldung und ihre Erforderlichkeit mit der Geschäftsführung ab.


Die Meldung an den Auftraggeber erfolgt unverzüglich nach Feststellung und der Prüfung durch den DSB.


Im Falle eines (hohen) Risikos für die Rechte der betroffenen Person leitet der Prozessverantwortliche nach Prüfung mit dem DSB geeignete Maßnahmen zur Minimierung oder Aufhebung des (hohen) Risikos für die persönlichen Rechte und Freiheiten der betroffenen Personen in Folge der Verletzung des Schutzes personenbezogener Daten ein.


Solche Maßnahmen sind gem. Art. 34 Abs. 3 lit. b) DSGVO technische und organisatorische Sicherheitsvorkehrungen, insbesondere solche, durch welche die personenbezogenen Daten für alle Personen, die unberechtigten Zugang erhalten haben (Datenschutzverletzung) oder haben können (Verdacht auf Datenschutzverletzung), unzugänglich gemacht werden, etwa durch Sperrung oder Löschung.


Sind personenbezogene Daten der betroffenen Person Dritten (Kunden, Lieferanten, Auftraggeber etc.) gegenüber offengelegt worden, sind diese durch den Prozessverantwortlichen über die notwendigen Maßnahmen ebenfalls zu informieren. Insbesondere Auftragsverarbeiter sind von den Prozessverantwortlichen anzuweisen, Auskünfte zu geben, Daten nicht weiter oder eingeschränkt zu verarbeiten oder Daten zu löschen sowie Auftraggeber über umgesetzte Maßnahmen zu informieren. 


Der Prozessverantwortliche überwacht diesen Prozess und informiert den DSB über den Erfolg.


Erfolgreich umgesetzte Maßnahmen sind durch den Prozessverantwortlichen zu dokumentieren und dem DSB mitzuteilen.


3.6 Rechenschafts- & Dokumentationspflicht 


Die Einhaltung der Vorgaben, die sich aus dieser Richtlinie ergeben, ist jederzeit gem. Art. 5 Abs. 2 DSGVO nachweisbar (Rechenschaftspflicht). Dies erfolgt insbesondere durch eine schlüssige und nachvollziehbare schriftliche Dokumentation hinsichtlich getroffener Maßnahmen und dazugehöriger Abwägungen.


Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze wird regelmäßig durch Datenschutzaudits und weitere Kontrollen überprüft. Die bei diesen Audits gewonnen Erkenntnisse nutzen wir für die Weiterentwicklung eines effektiven Datenschutzes.


4. IT-Sicherheit


Informationsverarbeitung spielt eine Schlüsselrolle für die Aufgabenerfüllung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Da unsere Kernkompetenz in der Entwicklung innovativer Produkte liegt, ist der Schutz unternehmensrelevanter Informationen vor unberechtigtem Zugriff und vor unerlaubter Änderung von existenzieller Bedeutung.


Unsere Daten und IT-Systeme in allen technikabhängigen und kaufmännischen Bereichen sind in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandzeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). Die Anforderungen an Vertraulichkeit haben ein an Gesetzeskonformität orientiertes Niveau. Für Daten der Entwicklungsabteilung gelten maximale Anforderungen an die Vertraulichkeit.


Unsere Sicherheitsmaßnahmen stehen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systemen. Mitarbeiter wie auch die Geschäftsleitung sind sich ihrer Verantwortung beim Umgang mit IT bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften. 


4.1 Sicherheitsmaßnahmen  


Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt.


Computer-Viren-Schutzprogramme werden auf allen IT-Systemen eingesetzt. Alle Internetzugänge werden durch eine geeignete Firewall gesichert. Alle Schutzprogramme werden so konfiguriert und administriert, dass sie einen effektiven Schutz darstellen und Manipulationen verhindert werden. Des Weiteren unterstützen die IT-Benutzer durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.


Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind.


Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten IT-Notfallplan zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrecht zu erhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.


Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, sind von uns konkrete Sicherheitsanforderungen in den Service Level Agreements vorgegeben. Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe Outsourcing-Vorhaben erstellen wir ein detailliertes Sicherheitskonzept mit konkreten Maßnahmenvorgaben.


Geschäftliche Hard- und Software werden für betriebliche Aufgaben, und zwar für die jeweils vorgesehenen Zwecke, verwendet und sind gegen Verlust und Manipulation gesichert. Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden in erster Linie im Rahmen der betrieblichen Aufgabenstellung durch uns zur Verfügung gestellt. Sie sind Arbeitsmittel und Unternehmensressource. Sie dürfen im Rahmen der jeweils geltenden Rechtsvorschriften und der unternehmensinternen Richtlinien genutzt werden. Im Fall der erlaubten Nutzung zu privaten Zwecken wird das Fernmeldegeheimnis und das jeweils nationale geltende Telekommunikationsrecht beachtet, soweit diese Anwendung finden.


5. Verbesserung der Sicherheit


Dieses Managementsystem der Informationssicherheit und des Datenschutzes wird über https://www.datenschutz-planung.de/ regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind sowie schließlich zum bestimmten Erfolg führen.


Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten.


Die Geschäftsleitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an den Datenschutzbeauftragten weiterzugeben.


6. Geheimhaltung


Unsere Mitarbeiter, Kunden, Lieferanten und andere Geschäftspartner werden auf die Geheimhaltung von schützenswerten unternehmensbezogenen Daten (Geschäfts- und Betriebsgeheimnisse) verpflichtet. Alle Informationen, Daten und Unterlagen jedweder Form unserer Organisation, Mitarbeiter, Kunden, Lieferanten und anderer Geschäftspartner sind vertraulich zu behandeln und nur für die vereinbarten Zwecke zu verwenden. Derartige Informationen werden Dritten in keiner Form zugänglich gemacht.


Für den Fall, dass wir von Behörden oder Gerichten aufgefordert werden, derartige Informationen zu offenbaren, werden wir die Betroffenen unverzüglich informieren, bevor jene zur Verfügung gestellt werden.


Die Pflicht zur Geheimhaltung gilt auch über die Geschäfts- oder Arbeitsbeziehung hinaus.


Weitere Details finden sich in der Verpflichtung zur Vertraulichkeit, Geheimhaltungserklärung und Non Disclosure Agreement (NDA).



7. Verpflichtung & Schulung der Mitarbeiter 


Jeder unserer Mitarbeiter, der Umgang mit personen- und unternehmensbezogenen Daten hat, ist auf einen vertraulichen Umgang mit diesen Daten sowie zur Geheimhaltung von Geschäfts- und Betriebsgeheimnissen sowie zur Einhaltung dieser Leitlinie verpflichtet. Mitarbeiter, die besonderen Geheimhaltungsverpflichtungen (z.B. Fernmeldegeheimnis nach § 88 TKG) unterliegen, werden von den Vorgesetzten ergänzend schriftlich verpflichtet.


Der Datenschutzbeauftragte überwacht in Abstimmung mit dem IT-Sicherheitsbeauftragten die Verpflichtung von Mitarbeitern zwecks vorzunehmender Schulungen zur korrekten Nutzung der IT-Dienste und Einhaltung datenschutzrechtlicher Bestimmungen. Für in Abstimmung mit den jeweiligen Abteilungsleitungen angesetzte Schulungstermine werden die betroffenen Mitarbeiter freigestellt.


Weitere Details finden sich in der Präsentation zur Datenschutzschulung.


Stand: Juni 2023

Datenschutzrichtlinie 

 

1. Ziel


Die Persönlichkeitsrechte und die Privatsphäre eines jeden Einzelnen zu wahren sowie Geschäfts- und Betriebsgeheimnisse zu schützen, sind für uns die Basis für vertrauensvolle Geschäftsbeziehungen.

In dieser Leitlinie wird beschrieben, wie wir Daten verarbeiten, an wen wir sie weiterleiten sowie welche Rechte betroffene Personen sowie Unternehmen im Zusammenhang mit unserer Verarbeitung der Daten haben. Außerdem beschreiben wir, mit welchen Maßnahmen wir die Sicherheit der Daten gewährleisten und wie betroffene Personen und Unternehmen Kontakt mit uns aufnehmen können, wenn Sie Fragen zur praktischen Umsetzung unseres Schutzes ihrer personen- und unternehmensbezogenen Daten haben. 


2. Allgemein


Unsere Mitarbeiter sind zur Einhaltung dieser Leitlinie und daraus abgeleitete Richtlinien und Arbeitsanweisungen verpflichtet. Jeder Mitarbeiter ist in seinem Verantwortungsbereich für deren Umsetzung verantwortlich.

Jede betroffene Person kann sich mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an unseren Datenschutzbeauftragten (privacy@cardcompact.com) wenden. Anfragen und Beschwerden werden vertraulich behandelt.

Die Geschäftsleitung ist in vollem Umfang für die gesamte Datenverarbeitung bei der Card Compact Ltd. verantwortlich.


3. Datenschutz


Diese Leitlinie regelt u.a. die datenschutzkonforme Verarbeitung personenbezogener Daten betroffener Personen (jede natürliche Person, über die Daten verarbeitet werden) und die insoweit bei Card Compact bestehenden Verantwortlichkeiten.

Das Unternehmen führt ein Verzeichnis über alle Datenverarbeitungsvorgänge im Unternehmen. In jeder Fachabteilung wird mindestens einer Person die Verantwortung übertragen, die dafür notwendigen Informationen zu den Verfahren der jeweiligen Abteilung zusammenzutragen und diese entsprechend den Anforderungen des Art. 30 DSGVO in Abstimmung mit dem Datenschutzbeauftragten zu dokumentieren.


3.1 Datenschutzbeauftragter


Wir haben nach Maßgabe des Art. 37 DSGVO einen betrieblichen Datenschutzbeauftragten berufen und einen Abwesenheitsvertreter bestellt.

Unser Datenschutzbeauftragte nimmt die ihm kraft Gesetzes und aus dieser Leitlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seines Fachwissens sowie seiner beruflichen Qualifikation wahr. Unser Datenschutzbeauftragte hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Er unterrichtet und berät die Unternehmensleitung sowie die Mitarbeiter hinsichtlich ihrer Datenschutzpflichten. Ihm obliegt die Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich, der Sensibilisierung und Schulung der Mitarbeiter.

Unser Datenschutzbeauftragte wird frühzeitig in alle Datenschutzfragen eingebunden und wird sowohl von der Unternehmensleitung als auch den Mitarbeitern bei der Erfüllung seiner Aufgaben unterstützt. Unser Datenschutzbeauftragte berichtet regelmäßig der Geschäftsleitung über stattgefundene Prüfungen, Beanstandungen und ggf. noch zu beseitigende Organisationsmängel.

Jeder Mitarbeiter kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an unseren Datenschutzbeauftragten wenden, wobei absolute Vertraulichkeit gewahrt wird. 


3.2 Grundprinzipien der Verarbeitung 


Bei der Verarbeitung personenbezogener Daten berücksichtigen wir Persönlichkeitsrechte (Grundrechte und -freiheiten) der betroffenen Person. Personenbezogene Daten erheben und verarbeiten wir auf rechtmäßige Weise.


3.2.1  Erlaubnistatbestände


Grundsätzlich ist die Verarbeitung personenbezogener Daten nicht gestattet. Wir erheben, verarbeiten und nutzen personenbezogene Daten nur aufgrund der folgenden, rechtlich zulässigen Erlaubnistatbestände gem. Art. 6 DSGVO.


  • Vertragserfüllung

Die Verarbeitung personenbezogener Daten ist zulässig, wenn für die Erfüllung eines Vertrags zwischen uns und der betroffenen Person, oder bei der Anbahnung der Geschäftsbeziehung auf Anfrage dieser, eine Datenverarbeitung erforderlich ist.


  • Einwilligung

Eine Datenverarbeitung kann aufgrund einer Einwilligung der betroffenen Person stattfinden. Vor der Einwilligung wird die betroffene Person über die Verarbeitung umfänglich durch uns informiert. Die Einwilligungserklärung wird aus Beweisgründen grundsätzlich schriftlich oder elektronisch eingeholt. Unter Umständen, z.B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt werden. Die Einwilligung muss jedenfalls dokumentiert werden.


  • Gesetzliche Erlaubnis

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn gesetzliche Rechtsvorschriften die Datenverarbeitung von uns verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften.


  • Berechtigtes Interesse

Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung unseres berechtigten Interesses erforderlich ist. Berechtigte Interessen sind in der Regel rechtliche (z.B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z.B. Vermeidung von Vertragsstörungen). Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen der betroffenen Person das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen werden für jede Verarbeitung geprüft.


3.2.2 Zweckbindung & Datenminimierung


Die Verarbeitung personenbezogener Daten erfolgt zudem lediglich zu Zwecken, die vor der Erhebung der Daten festgelegt wurden. Grundsätzlich dürfen nur solche Daten verarbeitet werden, die zur Erreichung des Geschäftszwecks erforderlich sind und in unmittelbarem Zusammenhang mit dem Verarbeitungszweck stehen. Nachträgliche Änderungen der Zwecke sind damit nur eingeschränkt möglich oder bedürfen einer Einwilligung oder Rechtfertigung. Eine Zweckänderung ist schriftlich zu dokumentieren.

Vor einer Verarbeitung personenbezogener Daten prüfen wir, ob und in welchem Umfang diese notwendig ist, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Wenn es zur Erreichung des Zwecks möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Zweck steht, werden anonymisierte Daten verwendet.



Personenbezogene Daten werden von uns nicht auf Vorrat für potentielle zukünftige Zwecke gespeichert, es sei denn, dies ist durch nationales Recht vorgeschrieben oder erlaubt.


Personenbezogene Daten, deren Verarbeitung nach dem Entfallen des Zwecks und/oder nach Ablauf von gesetzlichen oder vertraglichen Aufbewahrungsfristen nicht mehr erforderlich sind, löschen wir. „Löschen“ personenbezogener Daten meint hier sowohl das endgültige und damit unwiderrufliche, vollständige Beseitigen von Daten (Vernichten) wie auch des Personenbezugs dieser (Anonymisieren). In jedem Fall ist nach dem Löschvorgang ein Bezug zu konkreten Personen nicht mehr herstellbar.


3.2.2.1 Aufbewahrungs- und Löschprozess

  1. Feststellung der datenschutzrechtlichen Verpflichtung zur Löschung (Zweckfortfall, Ausübung von Rechten der betroffenen Person)
  2. Feststellung der wesentlichen Aufbewahrungspflichten (gesetzlich und vertraglich)
  3. Feststellung der relevanten Aufbewahrungsfristen (gesetzlich und vertraglich)
  4. Kontrolle und Dokumentation der Löschung


Soweit für Daten, deren ursprünglicher Verwendungszweck entfallen ist, darüberhinausgehende Aufbewahrungspflichten i.S.d. Art. 17 Abs. 3 lit. b u. e DSGVO gelten und deren Aufbewahrungsfristen noch nicht abgelaufen sind, sind diese Daten gem. § 35 Abs. 1 BDSG jeder weiteren aktiven Verwendung auf Produktivebene zu entziehen (Sperrung). Erst mit dem Wegfall der ursprünglichen Verarbeitungszwecke, Aufbewahrungspflichten und dem Ablauf der entsprechenden Aufbewahrungsfristen, sind Daten vollständig und endgültig von allen übrigen, diese Daten verarbeitenden Systemen zu löschen bzw. deren Löschung zu veranlassen (Auftragsverarbeitung).

Grundsätzlich sind personenbezogene Daten unverzüglich zu löschen, wenn sie für den ursprünglichen Zweck nicht mehr verarbeitet werden und auch die Aufbewahrungspflichten entfallen bzw. Aufbewahrungsfristen verstrichen sind.

Aus Gründen der Praktikabilität ist es jedoch nicht möglich, in jedem Einzelfall Aufbewahrungspflichten und deren Fristen exakt einzuhalten und eine tagesgenaue Archivierung oder Löschung einzelner personenbezogener Daten durchzuführen. Daher werden Daten grundsätzlich innerhalb vertretbarer Zeiträume gesammelt archiviert und gelöscht.


Soweit nicht im Einzelfall eine frühere Löschung angezeigt ist, gilt als Regellöschfrist: Daten, deren Aufbewahrungsfrist in oder mit einem bestimmten Kalenderjahr abläuft, werden spätestens zum Ablauf des 1. Quartals des folgenden Kalenderjahres gelöscht.

Sofern zusammenhängende Datensätze sich nur mit unverhältnismäßigen Aufwand voneinander trennen, separat identifizieren, archivieren und löschen lassen, ist der gesamte Datensatz zu archivieren und zu löschen.


Maßgeblich ist das Datum mit der längst notwendigen Zweckverwendung oder Aufbewahrungsfrist, je nachdem welcher Zeitpunkt der Spätere ist. Im Unternehmen gelten folgende Löschfristen:


Zeitraum sofort 6 Monate 3/10 Jahre 7/10 Jahre
Zweck Wegfall des Verarbeitungs-zwecks alle persönlichen Daten zur Bewerbung (Lebenslauf, Bewerbungsschreiben, Zeugnisse) Daten, die zur Abwehr zivilrechtlicher und strafrechtlicher Ansprüche erforderlich sind (Verjährung) und in Personalakten enthalten sind alle Daten, die sich auf die Buchhaltung beziehen (Bilanzen, Lohnabrechnungen, Rechnungen )
Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a, b, f DSGVO 6 Monate (Art. 6 Abs. 1 S. 1 lit. c DSGVO) nach Ablehnung oder 3 Jahre (Art. 6 Abs. 1 S. 1 lit. c, f DSGVO) nach Ausscheiden 3 Jahre (Art. 6 Abs. 1 S. 1 lit. f DSGVO) nach Schließung Kartenkonto oder Beendigung Arbeitsverhältnisses 7 Jahre (Art. 6 Abs. 1 S. 1 lit. f DSGVO) nach Erstellung von Rechnungen und Umsätzen
Verarbeitungssystem Webseiten, godaddy GMail, Indeed, Uni Passau Karriereportal, Papierdokumente CardBro, Freshdesk, GMail, MS Office, Zoho CRM, GPS, Thames, Veriff, Co-Brand, Inkasso Papierdokumente Sage, CardBro, Papierdokumente
personenbezogene Daten Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten) Meta- / Kommunikationsdaten (z. B. Geräteinformationen, eindeutige Kennung) Name, Geburtsdatum, Adresse, Kontaktdaten (z. B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Lebenslauf, Foto) Name, Geburtsdatum, Adresse, Kontaktdaten (z. B. E-Mail, Telefonnummern), Inhaltsdaten (z. B. Texteingaben, Historie, Foto), Kontodaten (IBAN), Vorgangsnummer Name, Adresse Kontodaten (IBAN), Vorgangsnummer



Mit der Löschung ist sicherzustellen, dass die Daten oder deren Personenbezug nicht mehr vorhanden sind und sich vollständig und endgültig nicht mehr wiederherstellen lassen. Eine Wiederherstellung gilt in diesem Sinne als nicht mehr möglich, wenn sie physikalisch ausgeschlossen ist oder nur mit unverhältnismäßig hohem Aufwand möglich wäre.


Die Löschung von Datenbankeinträgen erfolgt durch das Anonymisieren oder Überschreiben des jeweiligen Eintrages. E-Mails und Tickets werden softwareseitig durch Verschieben des jeweiligen Eintrags in und dem Entfernen dessen aus dem Papierkorb durch Überschreiben gelöscht. Fortlaufende elektronische Dokumente wie Word- oder Excel-Listen zur Erfassung von personenbezogenen Kundendaten werden den jeweiligen Fristen entsprechend modifiziert. Für die Vernichtung von Dokumenten und elektronischen Datenträgern wird ein spezieller Shredder eingesetzt.


Für die einzelnen Systeme bedeutet das Folgendes.


Category Anonymization Deletion (Archieve)
Period after Process Process Period
Zoho CRM Analysis Data - Creation date - AUT Anonymization immediately
Customer Contact Core Data 1 year Account closure / end of business MAN restricted Archive MAN Deletion 3+1 years
Google Drive Accounting Documents 2 years Creation date MAN restricted Archive by search filter 'creation date' AUT Deletion 7+1 years
Any Customer Data - Account closure / end of business - MAN Deletion by search filter 'closed' 3+1 years
GMAIL Any Customer Data - Settlement / Abort - AUT Deletion 7+1 years
Freshdesk Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
Onepilot Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
CardBro / Portal Accounting Documents 7+1 years Creation date AUT Anonymization MAN Deletion 10+1 years
Any Customer Data 3+1 years Account closure / end of business AUT Anonymization MAN Deletion 10+1 years
GPS Accounting Documents 2 years Creation date AUT restricted Archive AUT Deletion 7+1 years
Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
Thames Any Customer Data 1 year Account closure / end of business AUT restricted Archive AUT Deletion 3+1 years
Veriff Any Customer Data - Registration - AUT Deletion 3 months
Sage Any Employee Data Immediately Creation date MAN restricted Archive AUT Deletion 10+1 years
BackUp / Logs Any Data
Webseiten (Cookies) / godaddy Any Customer Data - Creation date / Session - AUT Deletion 1 year

3.2.2.2 Werbung

Die Verarbeitung personenbezogener Daten zu Zwecken der Werbung oder Marktforschung ist nur zulässig, sofern sich dies mit dem Zweck, für den die Daten ursprünglich erhoben wurden, vereinbaren lässt oder eine explizite Einwilligung vor Verarbeitung vorlag.

3.2.2.3 Cookies / Tracking

Wenn auf Webseiten oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt werden, bedarf es zuvor der Einwilligung der betroffen Person (Opt-In). Über die Verarbeitung wird sie in Datenschutzhinweisen und ggf. Cookie-Hinweisen informiert. Diese Hinweise sind so integriert, dass sie für die betroffene Person leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind.

Werden zur Auswertung des Nutzungsverhaltens von Webseiten und Apps Nutzungsprofile erstellt (Tracking), so werden die betroffenen Personen darüber in jedem Fall in den Datenschutzhinweisen informiert werden. Ein personenbezogenes Tracking darf nur erfolgen, wenn die betroffene Person eingewilligt hat. Erfolgt das Tracking unter einem Pseudonym, so wird der betroffenen Person in den Datenschutzhinweisen eine Widerspruchsmöglichkeit eröffnet (Opt-out). Eine gänzlich anonymisiertes Tracking ist aus unserem berechtigten Interesse heraus rechtlich zulässig.

3.2.2.4 Mitarbeiter

Für das Arbeitsverhältnis dürfen personenbezogenen Daten nur verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Arbeitsvertrages erforderlich sind. Bei der Anbahnung eines Arbeitsverhältnisses dürfen personenbezogene Daten von Bewerbern verarbeitet werden. Nach Ablehnung löschen wir die Daten des Bewerbers unter Berücksichtigung beweisrechtlicher Fristen, es sei denn, der Bewerber hat in eine weitere Speicherung für einen späteren Auswahlprozess eingewilligt.

3.2.3 Transparenz

Die betroffene Person wird von uns über den Umgang mit ihren Daten umfassend informiert. Grundsätzlich erheben wir die personenbezogenen Daten bei der betroffenen Person selbst. Bei Erhebung der Daten muss die betroffene Person mindestens Folgendes erkennen können oder entsprechend informiert werden über:

  • Die Identität der verantwortlichen Stelle
  • Den Zweck der Datenverarbeitung
  • Dritte / Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden

Falls andere Stellen oder Behörden Informationen über die betroffene Person anfordern, werden diese ohne Einwilligung der betroffenen Person nur herausgegeben, wenn hierfür eine gesetzliche Verpflichtung oder ein berechtigtes Interesse unsererseits besteht und die Identität des Anfragenden zweifelsfrei feststeht. Im Zweifel ist der Datenschutzbeauftragte zu kontaktieren.

3.2.4 Richtigkeit

Personenbezogene Daten werden richtig, vollständig und – soweit erforderlich – auf dem aktuellen Stand gespeichert. Wir haben angemessene Maßnahmen getroffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

3.2.5 Integrität und Vertraulichkeit

Für personenbezogene Daten gilt das Datengeheimnis. Wir behandeln sie im persönlichen Umgang vertraulich und schützen sie durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung.

Es gilt das Need-to-know-Prinzip: Mitarbeiter erhalten nur Zugang zu personenbezogenen Daten, wenn und soweit dies für ihre jeweiligen Aufgaben erforderlich ist. Dies ermöglicht die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.


3.3 Auftragsverarbeiter

Sollen externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelnen Verarbeitungsschritten (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten (z.B. Wartung, Reparatur) beauftragt werden, bei denen sie (jedenfalls die Möglichkeit der) Kenntnis personenbezogener Daten bekommen, so sind diese mit einer Auftragsverarbeitungsvereinbarung auf unser Datenschutzniveau verpflichtet. Dienstleister werden von uns vor Auftragserteilung sorgfältig ausgewählt. 

Der Auftragnehmer darf personenbezogene Daten nur im Rahmen unserer Weisungen verarbeiten und hat die geforderten technischen und organisatorischen Schutzmaßnahmen zu gewährleisten. Dabei behält das beauftragende Unternehmen die volle Verantwortung für die korrekte Durchführung der Datenverarbeitung.

Bei einer grenzüberschreitenden Auftragsdatenverarbeitung werden die jeweiligen nationalen Anforderungen für eine Weitergabe personenbezogener Daten ins Ausland erfüllt. Insbesondere findet die Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in einem Drittstaat nur statt, wenn der Auftragnehmer ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau nachweist. Ein geeignetes Instrument ist die Vereinbarung der EU-Standardvertragsklauseln zur Auftragsdatenverarbeitung in Drittstaaten mit dem Auftragnehmer und möglichen Subunternehmern.

Jeder geplante Wechsel eines Dienstleisters, der personenbezogene Daten im Auftrag unserer Kunden verarbeitet, wird dem Kunden mitgeteilt und bedarf seiner Zustimmung.


3.4 Rechte der betroffenen Person

Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind. Werden personenbezogene Daten an Dritte übermittelt, wird auch über die Identität des Empfängers oder über die Kategorien von Empfängern Auskunft gegeben. Näheres 

Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so stellen wir der betroffenen Person die notwendigen Informationen der Verarbeitung zur Verfügung.

Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann die betroffene Person ihre Berichtigung o. Ergänzung verlangen.

Die betroffene Person kann die Verarbeitung ihrer personenbezogenen Daten einschränken, so z.B. der Verarbeitung zu Zwecken der Werbung oder Marktforschung widersprechen. Für diese Zwecke wird die weitere Verarbeitung der Daten gesperrt. Das gleiche gilt, soweit die Verarbeitung der Daten auf einer Einwilligung beruht und diese durch formlose Erklärung mit Wirkung für die Zukunft widerrufen wird, was jederzeit möglich ist. Der Widerruf der Einwilligung hat keine negativen Auswirkungen.

Die betroffene Person ist berechtigt, die Löschung ihrer Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Verarbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende schutzwürdige Interessen müssen beachtet werden. Näheres regelt unser Datenaufbewahrungs- und Löschkonzept.

Die betroffene Person hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung ihrer Daten, das berücksichtigt wird, wenn ihr schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation unser Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift uns zur Durchführung der Verarbeitung verpflichtet.

3.4.1 Prozessbeschreibung

Alle per E-Mail eingehenden Auskunftsersuchen werden unverzüglich und ohne Eingangsbestätigung an den DSB weitergeleitet. Der DSB prüft, ob entsprechende Daten zur eindeutigen Identifikation der betroffenen Person vorliegen und gleicht diese gemeinsam mit dem Inspektor, den Prozessverantwortlichen und den vorhandenen Datensätzen ab. Der DSB richtet seine Rechercheanfrage bzw. auszuführende Maßnahmen (z. B. Löschung) per E-Mail mit der Priorität „hoch“ an den Prozessverantwortlichen. Der DSB sendet an die betroffene Person eine Empfangsbestätigung über den Erhalt des Auskunftsersuchens. In diesem wird auf den laufenden Vorgang verwiesen und mitgeteilt, binnen welcher Frist die angeforderten Informationen zur Verfügung gestellt werden.

Macht die betroffene Person von ihrem Auskunftsrecht gebrauch, sind folgende Informationen über die Erhebung personenbezogener Daten gemäß Art. 15 DSGVO zur Verfügung zu stellen:

  • die Verarbeitungssysteme;
  • die (Kategorien) personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern;
  • geplante Dauer der Speicherung
  • sowie Aufklärung über den Prozessstatus.

Darüber hinaus ist der betroffenen Person die Zuweisung der personenbezogenen Daten jeweils zu allen Verarbeitungszwecken und Verarbeitungssystemen zur Verfügung zu stellen.

Macht die betroffene Person von ihrem Recht auf Einschränkung der Verarbeitung Gebrauch, widerspricht der Verarbeitung oder verlangt die Datenlöschung, so prüft der DSB gemeinsam mit dem entsprechenden Prozessverantwortlichen ob die Beschränkung auf noch verbleibende Zwecke der Verarbeitung, der Widerspruch oder die Datenlöschung rechtlich zulässig sind und die Daten nicht aufgrund rechtlicher Pflichten auf Projektebene weiter verarbeitet werden müssen. Ist die Beschränkung, der Widerspruch oder die Datenlöschung zulässig, veranlasst der Prozessverantwortliche die Extraktion der Daten, deren Zweck der Verarbeitung aufgrund der Beschränkung oder des Widerspruchs weggefallen ist, von den Verarbeitungs- bzw. Speicherorten auf Archiv Systeme sowie die gleichzeitige Löschung in den Verarbeitungs- bzw. Speicherorten. Ist die Datenlöschung ebenfalls zulässig, wird sie sofort ausgeführt. 

Macht die betroffene Person von ihrem Recht auf Datenübertragbarkeit Gebrauch, teilt der DSB die zu übertragenden Daten dem Inspektor und dem Prozessverantwortliche mit.

Nach Abstimmung / Information der zu treffenden Maßnahme wird diese vom entsprechenden Prozessverantwortlichen durchgeführt.

Sind personenbezogene Daten der betroffenen Person Dritten (Kunden, Lieferanten, Auftraggeber etc.) gegenüber offengelegt worden, sind diese durch den Prozessverantwortlichen über die notwendigen Maßnahmen ebenfalls zu informieren. Insbesondere Auftragsverarbeiter sind von den Prozessverantwortlichen anzuweisen, Auskünfte zu geben, Daten nicht weiter oder eingeschränkt zu verarbeiten oder Daten zu löschen sowie Auftraggeber über umgesetzte Maßnahmen zu informieren. Der Prozessverantwortliche überwacht diesen Prozess und informiert den DSB über den Erfolg.

Nach Abstimmung und Freigabe der Antwort erfolgt diese an die betroffene Person durch den DSB per E-Mail . 


3.5 Datenschutzvorfälle

Jeder unserer Mitarbeiter meldet unverzüglich Fälle von Verstößen gegen diese Richtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle). Bei unrechtmäßiger Übermittlung personenbezogener Daten an Dritte, bei unrechtmäßigem Zugriff Dritter auf oder bei Verlust von personenbezogenen Daten sind die von Teqcycle vorgesehenen Meldungen unverzüglich vorzunehmen, damit die gesetzlichen und vertraglichen Meldepflichten erfüllt werden.

Darüber hinaus ergreifen unsere Mitarbeiter in Abstimmung mit dem Datenschutzbeauftragten und der Geschäftsleitung unverzüglich Maßnahmen, um Beeinträchtigungen der Rechte der betroffenen Person zu minimieren oder zu beseitigen. Daraus werden Maßnahmen zur Vermeidung zukünftiger Datenschutzvorfälle abgeleitet und in bestehende Prozesse implementiert.

3.5.1 Prozessbeschreibung

Folgende Vorfälle sind beispielhaft datenschutzrelevant:

  • Verlust Mobilgeräte auf dem Versandweg (Verdacht auf Datenschutzverletzung)
  • Unberechtigter Zugriff auf Mobilgerät (Datenschutzverletzung)
  • Unbefugter Zutritt in Geschäftsräume (Verdacht auf Datenschutzverletzung)
  • Unbefugter Zugriff auf Onlineprotal / Reversys / Datenbank (Datenschutz-verletzung)
  • Unberechtigte Weitergabe personenbezogener Daten an Dritte wie falscher E-Mail-Empfänger, Beantwortung Kundenanfragen (Datenschutzverletzung

Alle Meldungen von oder Kenntnis über eingegangene Datenschutzvorfälle - unabhängig vom Kommunikationsweg (E-Mail, Telefon, Brief, persönlich, …), sind mit kurzer Beschreibung des Vorfalls über privacy@cardcompact.com unverzüglich, direkt an den DSB zu richten.

Der DSB richtet seine Rechercheanfrage zur Prüfung auszuführende Maßnahmen (z. B. Meldung an die Aufsichtsbehörde oder betroffene Person) per E-Mail mit der Priorität „hoch“ an den Prozessverantwortlichen. 

Die Arbeiten für das Rechercheverfahren sind unverzüglich durch den Prozessverantwortlichen oder seinen Vertreter aufzunehmen. Die Dokumentation erfolgt vorzugsweise mit der Meldung Datenschutzvorfall. Ergänzt wird sie um alle diesen Vorfall betreffenden Informationen (Beweis-/Bildmaterial).

Der DSB prüft, ob und inwieweit die betroffene Person über den Vorfall aufgrund der Verletzung des Schutzes ihrer personenbezogenen Daten zu informieren ist. Eine Information erfolgt gem. Art. 34 Abs. 1 DSVGO nur bei einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person.

Der DSB stimmt die Meldung und ihre Erforderlichkeit mit der Geschäftsführung ab.

Die Meldung an die betroffene Person erfolgt unverzüglich nach Feststellung und der Prüfung durch den DSB mit folgenden Informationen: 

  • Welche Verletzung liegt vor?
  • Welche und wie viele Daten sind betroffen?
  • Welche Maßnahmen zur Abmilderung oder Behebung der Verletzung des Schutzes personenbezogener Daten wurden ergriffen?
  • Welches hohe Risiko für die Rechte des Betroffenen ist entstanden bzw. erhöht?
  • Namen und die Kontaktdaten des Datenschutzbeauftragten

Der DSB prüft, ob und inwieweit der Auftraggeber über den Vorfall aufgrund der Verletzung des Schutzes personenbezogenen Daten gemäß der AVV zu informieren ist.

Der DSB stimmt die Meldung und ihre Erforderlichkeit mit der Geschäftsführung ab.

Die Meldung an den Auftraggeber erfolgt unverzüglich nach Feststellung und der Prüfung durch den DSB.

Im Falle eines (hohen) Risikos für die Rechte der betroffenen Person leitet der Prozessverantwortliche nach Prüfung mit dem DSB geeignete Maßnahmen zur Minimierung oder Aufhebung des (hohen) Risikos für die persönlichen Rechte und Freiheiten der betroffenen Personen in Folge der Verletzung des Schutzes personenbezogener Daten ein.

Solche Maßnahmen sind gem. Art. 34 Abs. 3 lit. b) DSGVO technische und organisatorische Sicherheitsvorkehrungen, insbesondere solche, durch welche die personenbezogenen Daten für alle Personen, die unberechtigten Zugang erhalten haben (Datenschutzverletzung) oder haben können (Verdacht auf Datenschutzverletzung), unzugänglich gemacht werden, etwa durch Sperrung oder Löschung.

Sind personenbezogene Daten der betroffenen Person Dritten (Kunden, Lieferanten, Auftraggeber etc.) gegenüber offengelegt worden, sind diese durch den Prozessverantwortlichen über die notwendigen Maßnahmen ebenfalls zu informieren. Insbesondere Auftragsverarbeiter sind von den Prozessverantwortlichen anzuweisen, Auskünfte zu geben, Daten nicht weiter oder eingeschränkt zu verarbeiten oder Daten zu löschen sowie Auftraggeber über umgesetzte Maßnahmen zu informieren. 

Der Prozessverantwortliche überwacht diesen Prozess und informiert den DSB über den Erfolg.

Erfolgreich umgesetzte Maßnahmen sind durch den Prozessverantwortlichen zu dokumentieren und dem DSB mitzuteilen.


3.6 Rechenschafts- & Dokumentationspflicht 

Die Einhaltung der Vorgaben, die sich aus dieser Richtlinie ergeben, ist jederzeit gem. Art. 5 Abs. 2 DSGVO nachweisbar (Rechenschaftspflicht). Dies erfolgt insbesondere durch eine schlüssige und nachvollziehbare schriftliche Dokumentation hinsichtlich getroffener Maßnahmen und dazugehöriger Abwägungen.

Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze wird regelmäßig durch Datenschutzaudits und weitere Kontrollen überprüft. Die bei diesen Audits gewonnen Erkenntnisse nutzen wir für die Weiterentwicklung eines effektiven Datenschutzes.


4. IT-Sicherheit

Informationsverarbeitung spielt eine Schlüsselrolle für die Aufgabenerfüllung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Da unsere Kernkompetenz in der Entwicklung innovativer Produkte liegt, ist der Schutz unternehmensrelevanter Informationen vor unberechtigtem Zugriff und vor unerlaubter Änderung von existenzieller Bedeutung.

Unsere Daten und IT-Systeme in allen technikabhängigen und kaufmännischen Bereichen sind in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandzeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). Die Anforderungen an Vertraulichkeit haben ein an Gesetzeskonformität orientiertes Niveau. Für Daten der Entwicklungsabteilung gelten maximale Anforderungen an die Vertraulichkeit.

Unsere Sicherheitsmaßnahmen stehen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systemen. Mitarbeiter wie auch die Geschäftsleitung sind sich ihrer Verantwortung beim Umgang mit IT bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften. 


4.1 Sicherheitsmaßnahmen  

Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt.

Computer-Viren-Schutzprogramme werden auf allen IT-Systemen eingesetzt. Alle Internetzugänge werden durch eine geeignete Firewall gesichert. Alle Schutzprogramme werden so konfiguriert und administriert, dass sie einen effektiven Schutz darstellen und Manipulationen verhindert werden. Des Weiteren unterstützen die IT-Benutzer durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.

Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind.

Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten IT-Notfallplan zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrecht zu erhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.

Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, sind von uns konkrete Sicherheitsanforderungen in den Service Level Agreements vorgegeben. Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe Outsourcing-Vorhaben erstellen wir ein detailliertes Sicherheitskonzept mit konkreten Maßnahmenvorgaben.

Geschäftliche Hard- und Software werden für betriebliche Aufgaben, und zwar für die jeweils vorgesehenen Zwecke, verwendet und sind gegen Verlust und Manipulation gesichert. Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden in erster Linie im Rahmen der betrieblichen Aufgabenstellung durch uns zur Verfügung gestellt. Sie sind Arbeitsmittel und Unternehmensressource. Sie dürfen im Rahmen der jeweils geltenden Rechtsvorschriften und der unternehmensinternen Richtlinien genutzt werden. Im Fall der erlaubten Nutzung zu privaten Zwecken wird das Fernmeldegeheimnis und das jeweils nationale geltende Telekommunikationsrecht beachtet, soweit diese Anwendung finden.



5. Verbesserung der Sicherheit

Dieses Managementsystem der Informationssicherheit und des Datenschutzes wird über https://www.datenschutz-planung.de/ regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind sowie schließlich zum bestimmten Erfolg führen.

Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten.

Die Geschäftsleitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an den Datenschutzbeauftragten weiterzugeben.

6. Geheimhaltung

Unsere Mitarbeiter, Kunden, Lieferanten und andere Geschäftspartner werden auf die Geheimhaltung von schützenswerten unternehmensbezogenen Daten (Geschäfts- und Betriebsgeheimnisse) verpflichtet. Alle Informationen, Daten und Unterlagen jedweder Form unserer Organisation, Mitarbeiter, Kunden, Lieferanten und anderer Geschäftspartner sind vertraulich zu behandeln und nur für die vereinbarten Zwecke zu verwenden. Derartige Informationen werden Dritten in keiner Form zugänglich gemacht.

Für den Fall, dass wir von Behörden oder Gerichten aufgefordert werden, derartige Informationen zu offenbaren, werden wir die Betroffenen unverzüglich informieren, bevor jene zur Verfügung gestellt werden.

Die Pflicht zur Geheimhaltung gilt auch über die Geschäfts- oder Arbeitsbeziehung hinaus.

Weitere Details finden sich in der Verpflichtung zur Vertraulichkeit, Geheimhaltungserklärung und Non Disclosure Agreement (NDA).

7. Verpflichtung & Schulung der Mitarbeiter 

Jeder unserer Mitarbeiter, der Umgang mit personen- und unternehmensbezogenen Daten hat, ist auf einen vertraulichen Umgang mit diesen Daten sowie zur Geheimhaltung von Geschäfts- und Betriebsgeheimnissen sowie zur Einhaltung dieser Leitlinie verpflichtet. Mitarbeiter, die besonderen Geheimhaltungsverpflichtungen (z.B. Fernmeldegeheimnis nach § 88 TKG) unterliegen, werden von den Vorgesetzten ergänzend schriftlich verpflichtet.

Der Datenschutzbeauftragte überwacht in Abstimmung mit dem IT-Sicherheitsbeauftragten die Verpflichtung von Mitarbeitern zwecks vorzunehmender Schulungen zur korrekten Nutzung der IT-Dienste und Einhaltung datenschutzrechtlicher Bestimmungen. Für in Abstimmung mit den jeweiligen Abteilungsleitungen angesetzte Schulungstermine werden die betroffenen Mitarbeiter freigestellt.

Weitere Details finden sich in der Präsentation zur Datenschutzschulung.

Stand: Juni 2023

Share by: