Nachweis der Einhaltung der Grundsätzegemäß Artikel 5 DS-GVO


Datenschutz-Konzept der rheingold GmbH & Co. KG

 

 

Stand: 13.05.2020

Erstellt durch: Michaela Genderka (Datenschutzbeauftragte)

Genehmigt durch: H.-J. Karopka (Geschäftsführer)

 

  1. Einleitung.. 2

1.1        Zum Unternehmen. 2

  1. Beschreibung der Verarbeitung.. 3

2.1        Verantwortlicher. 3

2.2        Zweck. 3

2.3        Betroffene Personen. 3

2.4        Art der gespeicherten Daten. 3

2.5        Empfänger von Daten. 4

2.6        Regelfrist für die Löschung der Daten. 4

2.7        Geplante Übermittlung an Drittstaaten. 4

2.8        Cloud Computing. 4

2.9        Wie hoch ist der Schutzbedarf der Daten?. 4

  1. Allgemeine Maßnahmen zum Datenschutz. 6

3.1        Bestellung eines Datenschutzbeauftragten. 6

3.2        Verpflichtungserklärungen der Mitarbeiter (Vertraulichkeit) 6

3.3        Datenschutz-Schulung der Mitarbeiter (Datenschutzrichtlinie) 6

3.4        EDV-Nutzungsvereinbarung. 7

3.5        ISO-9000 Zertifizierung. 7

3.6        Informations-Sicherheits-Management-System (ISMS) 7

3.7        Hard- und Software entsprechen dem „Stand der Technik“ 7

3.8        Subunternehmer. 8

  1. Technisch-organisatorische Maßnahmen. 9

4.1        Zutrittskontrolle. 9

4.2        Zugangskontrolle. 9

4.3        Zugriffskontrolle. 10

4.4        Weitergabekontrolle. 10

4.5        Eingabekontrolle. 11

4.6        Auftragskontrolle. 11

4.7        Verfügbarkeitskontrolle. 11

4.8        Trennungsgebot. 12

4.9        Sonstige Maßnahmen. 12

 

 

1.   Einleitung

Die psychologische Forschung durch rheingoldInterview® und rheingoldGroup® ist in hohem Maße datenschutzrelevant. Als ein führender Anbieter ist sich die rheingold GmbH & Co. KG (kurz „rheingold“) der damit verbundenen Verantwortung bewusst.

 

Das hier vorliegende Dokument führt die zahlreichen getroffenen Maßnahmen sehr detailliert auf. Sehen Sie selbst, wie die Anforderungen des Bundesdatenschutzgesetzes eingehalten werden.

1.1     Zum Unternehmen

Die rheingold GmbH & Co. KG wurde vor vielen Jahren in Köln gegründet und unterstützt seitdem ihre Kunden in allen Fragen rund um das Thema Markt- und Sozialforschung.

 

Zu den Referenzkunden gehören Kunden sowohl internationale Konzerne als auch mittelständische Firmen.

 

Das Unternehmen beschäftigt derzeit über 40 Mitarbeiter und verfügt – neben seiner Zentrale in Köln – über Vertriebsbüros in San Francisco und Shanghai. Geschäftsführer ist Herr Hans-Joachim Karopka

 

2.   Beschreibung der Verarbeitung

Das Unternehmen verarbeitet personenbezogene Daten. Der genaue Zweck und Umfang wird im hier vorliegenden Kapitel beschrieben – entsprechend der Anforderung des Artikel 30 DS-GVO.

 

Anhand dieser Beschreibung wird ersichtlich, dass nur wenige und „unsensible“ Daten verarbeitet werden. Dementsprechend beschränkt sind die Anforderungen an die notwendigen technisch-organisatorischen Maßnahmen, die gemäß die gemäß Artikel 32 DS-GVO getroffen werden müssen.

2.1     Verantwortlicher

rheingold GmbH & Co. KG

Kaiser-Wilhelm-Ring 46

50672 Köln

Telefon: 0221/912777-10

Internet: www.rheingold-marktforschung.de

 

Geschäftsführer:     Heinz Grüne, Stephan Grünewald, Hans-Joachim Karopka,

Stephan Urlings

 

Datenschutzbeauftragter: Herr Nicholas Vollmer (externer Datenschutzbeauftragter)

2.2     Zweck

Durchführung qualitativer Markt- und Medienanalysen im Kundenauftrag.

 

Die vom Auftraggeber gelieferten (Kontakt-) Daten werden für die Zwecke der Kontaktaufnahme zu den potentiellen Studienteilnehmern und zur rein organisatorischen Durchführung (z.B. Terminabsprachen, Teilnehmernachweise, Einverständniserklärungen, Vergütung, Durchführung der Interviews) genutzt.

 

Die Ergebnisse der Studien werden dem Auftraggeber in anonymisierter Form zur Verfügung gestellt.

 

Eine besondere Sorgfalt wird darauf verwendet, dass die personenbezogenen Daten der Studienteilnehmer schnellstmöglich und vollständig und unwiderruflich gelöscht werden.

2.3     Betroffene Personen

Personen, die vom Auftraggeber für Interviews vorgeschlagen werden. Oftmals handelt es sich um Mitarbeiter, Kunden und Lieferanten des Auftraggebers.

 

2.4     Art der gespeicherten Daten

Der Auftraggeber liefert meist Kontaktdaten z.B.: Name, Telefon, Adresse, E-Mail etc.) und Quotierungsmerkmale (Geschlecht, Alter, Interessen etc.).

 

Im Rahmen einer „normalen“ Befragung ist keine Erhebung, Verarbeitung und Nutzung von „sensiblen Daten“ vorgesehen. Dies wären personenbezogene Daten

  • die unter die „besondere Arten personenbezogener Daten“ gemäß Artikel 9 DS-GVO fallen (Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben),
  • die einem Berufsgeheimnis z.B. gemäß § 203 StGB unterliegen (Angaben zu Daten bezüglich der ärztlichen Schweigepflicht)

2.5     Empfänger von Daten

In der Regel sehen nur die Nutzer diese Daten (also Kunden und rheingold -Mitarbeiter).

 

Seitens der rheingold ist ein Zugriff seitens externer Programmierer und Rechenzentrumsbetreiber nicht auszuschließen. Dies findet im Rahmen von „Auftragsverarbeitungen“ Artikel 28 DS-GVO statt.

2.6     Regelfrist für die Löschung der Daten

Die personenbezogenen Daten werden spätestens nach Abschluss der Studie gelöscht.

 

2.7     Geplante Übermittlung an Drittstaaten

Eine Übermittlung der Daten an Stellen in Drittstaaten wird nicht durchgeführt und ist auch nicht geplant.

 

Da der gesamte Datenverkehr verschlüsselt geschieht, fließen zu keinem Zeitpunkt personenbezogene Daten über das Internet.

2.8     Cloud Computing

Im Internet werden zahlreiche Cloud-Dienste angeboten. Sie zeichnen sich dadurch aus, dass sie (a) über das Internet zu erreichen sind und (b) hochgradig skalierbar sind, um Lastspitzen abzufangen und demzufolge nicht vorhergesagt werden kann, in welchem Rechenzentrum sie aktuell gespeichert werden und (c) vom Benutzer dynamisch angefordert werden können und (d) recht „lockere“ Verträge abgeschlossen werden, die keinen besonderen Schwerpunkt auf Datenschutz haben.

 

Diese Form von Cloud Computing findet keine Anwendung.

2.9     Wie hoch ist der Schutzbedarf der Daten?

Im weiter unten folgenden Kapitel 4 („Technisch-organisatorische Maßnahmen“) werden die getroffenen Schutzmaßnahmen beschrieben.

 

Um die Angemessenheit der Maßnahmen beurteilen zu können, ist es vorab wichtig zu wissen, wie hoch der Schutzbedarf der Daten ist. Welchen Schutz der Daten können die betroffenen Personen vernünftigerweise fordern? Letztlich ist die „Art der Daten“ entscheidend, wenn der erforderliche Schutzbedarf beurteilt werden soll. Für die Daten im Rahmen von „xxx“ gilt:

 

  • Die Daten fallen nicht unter Artikel 9 DS-GVO („Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“).
  • Die Daten unterliegen nicht dem Sozialdatenschutz gemäß § 67 ff SGB X.
  • Die Daten unterliegen nicht der beruflichen Schweigepflicht gemäß § 203 StGB („Verletzung von Privatgeheimnissen“).
  • Die Daten umfassen Details zur geschäftlichen Tätigkeit des Auftraggebers und unterliegen somit dem § 17 UWG („Geschäftsgeheimnis“).

 

Der erforderliche Schutzbedarf kann auch anhand von bewährten Klassifizierungen eingeschätzt werden. Im Fall von „rheingold“ sind die folgenden Zuordnungen zutreffend:

 

  • Gemäß der Schutzstufen der Landesdatenschutzbeauftragten fallen die Daten in die Stufe C („Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Ansehen), zum Beispiel Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten“).
  • Gemäß der Anforderungen zur Vernichtung von Datenträgern (DIN 66399-1) handelt es sich um die Sicherheitsstufe 3 („Anwendbar bei Datenträgern mit sensiblen und vertraulichen Daten sowie personenbezogenen Daten, z.B. Umsatzauswertungen und Steuerunterlagen von Unternehmen sowie Angebote, Bestellungen etc. mit Adressdaten von Personen.“).
  • Gemäß einer anderen Klassifizierung gehören die Daten der „Sozialsphäre“ an („Das, was auch von Menschen wahrgenommen werden kann, zu denen keine persönlichen Beziehungen bestehen. Es geht als z. B. um die berufliche Tätigkeit, die Anwesenheit bei Veranstaltungen oder der Spaziergang durch eine Geschäftsstraße“)

 

Fazit:

 

Nach Abwägung aller zur Verfügung stehenden Kriterien lässt sich feststellen: Die von „rheingold“ genutzten Daten stammen allein aus dem geschäftlichen bzw. beruflichen Umfeld. Betroffen ist ausschließlich die Sozialsphäre. Der datenschutzrechtlich erforderliche Schutzbedarf ist also als „niedrig“ einzuschätzen.

 

3.   Allgemeine Maßnahmen zum Datenschutz

Die wirksame Einhaltung des Bundesdatenschutzgesetzes erfordert eine Reihe von konkreten Maßnahmen, wie die folgenden Punkte aufzeigen.

3.1     Bestellung eines Datenschutzbeauftragten

Das Unternehmen ist zur Bestellung eines Datenschutzbeauftragten verpflichtet, da gemäß § 38 BDSG mindestens 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

 

ð Das Unternehmen hat einen externen Datenschutzbeauftragten bestellt:

 

Dipl. Ing. (FH) Nicholas Vollmer

SecureDataService

Priorstrasse 63

41189 Mönchengladbach

Telefon 02166/ 965233-0

Telefax 02166/ 965233-9
E-Mail n.vollmer@securedataservice.de

 

Herr Vollmer ist diplomierter Ingenieur der Elektrotechnik. Er ist seit 2004 hauptberuflich als externer Datenschutzbeauftragter tätig. Seit Oktober 2007 ist Herr Vollmer beim TÜV zum „Datenschutzauditor (TÜV)“ zertifiziert. Die geforderte Zuverlässigkeit und Fachkunde sind gegeben.

3.2     Verpflichtungserklärungen der Mitarbeiter (Vertraulichkeit)

Das Bundesdatenschutzgesetz fordert eine Verpflichtung zur Vertraulichkeit:

 

„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags […] Dieser Vertrag sieht insbesondere vor, dass der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben […]“

[Quelle: Artikel 28 (3b) DS-GVO]

 

ð Alle Mitarbeiter haben eine Verpflichtungserklärung unterzeichnet, die den obigen Anforderungen entspricht.

 

Die von den Mitarbeitern unterzeichnete Erklärung verfügt zusätzlich zum obigen Gesetzestext eine ausführliche Erläuterung zur Bedeutung des Datengeheimnisses: Wann ist eine Nutzung der Daten erlaubt und wann verboten?

3.3     Datenschutz-Schulung der Mitarbeiter (Datenschutzrichtlinie)

Zusätzlich zur allgemeinen Verpflichtung auf das Datengeheimnis ist eine konkrete Schulung der Mitarbeiter auf die jeweiligen Erfordernisse gefordert.

 

„Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“

[Quelle: Artikel 32 (4) DS-GVO]

 

ð Die Geschäftsführung schult die Mitarbeiter in Form einer sehr ausführlichen schriftlichen Schulung, die vom Datenschutzbeauftragten zur Verfügung gestellt wurde.

 

Auf 17 Seiten wird berichtet über Datenschutzpannen, Beispiele aus dem geschäftlichen Alltag, Datenschutzrecht, Historie des Datenschutzes, betroffene Personen und deren Daten, Bußgelder und Haftstrafen, Datenschutzmaßnahmen im Allgemeinen (Beschreibung der technisch-organisatorischen Maßnahmen) und im Speziellen (Datenschutz am Computer und mit Akten).

 

Die Mitarbeiter werden zusätzlich durch einen regelmäßigen Datenschutz-Newsletter sensibilisiert. [Siehe Standarddokumente  NEWS_001 etc.]

3.4     EDV-Nutzungsvereinbarung

Es ist dem Datenschutz förderlich, wenn die Mitarbeiter ausführlich über den korrekten und datenschutzkonformen Umgang mit der Unternehmens-EDV (und ggf. vorhandenen Papierunterlagen) geschult werden.

 

ð Die Mitarbeiter haben eine ausführliche EDV-Nutzungsvereinbarung erhalten und deren Einhaltung schriftlich zugesagt.

 

Diese EDV-Nutzungsvereinbarung thematisiert den Umgang mit Hard- und Software, den Umgang mit Computern und sonstige Maßnahmen zum Computerschutz, den Umgang mit Papierunterlagen, den (privaten) Umgang mit Internet und E-Mails, den Umgang mit „sensiblen“ Daten und sonstige Aspekte.

3.5     ISO-9000 Zertifizierung

Es ist dem Datenschutz förderlich, wenn die Verantwortlichkeiten und Arbeitsprozesse klar geregelt sind.

 

3.6     Informations-Sicherheits-Management-System (ISMS)

Zur Sicherstellung der IT-Sicherheit ist das Unternehmen zertifiziert… [siehe TOM-Guide® Kapitel 3.32]

3.7     Hard- und Software entsprechen dem „Stand der Technik“

Es ist dem Datenschutz förderlich, wenn Hard- und Software dem aktuellen Stand der Technik entsprechen.

 

ð Die Notebooks/„Microsoft Surface Pro“ sind vom Hersteller Lenovo bzw. von Microsoft durch Festplatten-Passwort und „Windows 10“ Verschlüsselung (Bitlocker) geschützt. Auf den Notebooks läuft „Windows 10 Professional“.
Die Standrechner (selbst zusammengebaut) bestehen aus Markenkomponenten (ASUS, NVidia, Intel, Samsung usw.) mit dem Betriebssystem „Windows 10 Professional“ und sind ebenfalls durch Bitlocker-Verschlüsselung geschützt.
Die Server sind ausschließlich von HP und es kommen die Serverbetriebssysteme von Microsoft Server 2003, 2008 und 2012 zum Einsatz.

Als Clientbetriebssystem dient „Windows 10 Professional“.

Alle Windows-Betriebssysteme werden durch einen WSUS-Server auf dem aktuellsten Stand gehalten und die eingesetzten Anwendungsprogramme durch die Update-Funktionen der Hersteller bzw. durch die „Softwareverteilung“ unserer Gruppenpolicy.

Auf allen Servern ist die Windows-Firewall aktiviert und auf den Client-Rechnern kommt der aktuellste „McAfee Viren- und Firewall“-Schutz zum Einsatz inkl. Steuerung über den „McAfee Orchestrator“.

3.8     Subunternehmer

Es ist dem Datenschutz förderlich, wenn die Anzahl der Auftragsverarbeitungen gering ist und die notwendigen Auftragsverarbeiter sorgfältig ausgewählt werden.

ð rheingold legt größten Wert darauf, dass die Leistungen möglichst durch eigene Mitarbeiter erbracht werden. Nur im Bereich der Akten- und Datenträgervernichtung wird (auch aufgrund der Menge des Materials) auf einen renommierten externen Dienstleister zurückgegriffen: Die Firma documentus in Köln .

 

Alle Auslagerungen finden im Rahmen von Auftragsverarbeitungen gemäß Artikel 28 DS-GVO statt. Die Unter-Auftragnehmer sind entsprechend schriftlich verpflichtet.

 

 

4.   Technisch-organisatorische Maßnahmen

Zusätzlich zu den bereits oben beschriebenen Maßnahmen wird eine Vielzahl von konkreten Schutzmaßnahmen getroffen. Somit werden die Forderungen des Bundesdatenschutzgesetzes erfüllt:

 

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: (a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; (b)die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; (c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; (d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“ [Quelle: Artikel 32 (1) DS-GVO)

 

ð Die folgenden Unterkapitel gehen auf die geforderten Arten von Maßnahmen ein. Die ersten acht Unterkapitel beziehen sich auf die Maßnahmen, die zum Schutze von automatisierten Verfahren getroffen wurden.

 

4.1     Zutrittskontrolle

Die Zutrittskontrolle soll erreichen, dass unbefugte Personen sich gar nicht erst einer Datenverarbeitungsanlage nähern können.

 

„… Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren“.

 

ð Geschäftsräume der rheingold
Der Zutritt zum Gebäude wird durch Mitarbeiter kontrolliert. Besucher müssen sich zentral melden und werden dann von den Mitarbeitern abgeholt.

 

ð Kontakter, Interviewer, Feldinstitute
Das Büro ist verschlossen, wenn keine Mitarbeiter zugegen sind. Im Rahmen des Möglichen bewegen sich Besucher nicht unbeaufsichtigt im Büro.

4.2     Zugangskontrolle

Die Zugangskontrolle soll erreichen, dass unbefugten Personen die Nutzung von Datenverarbeitungsanlagen verwehrt wird.

 

… zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können

 

ð Geschäftsräume der rheingold
Alle Computer erfordern zu ihrer Aktivierung die Angabe eines Mitarbeiter-Benutzernamens und eines Kennwortes.

 

ð Kontakter, Interviewer, Feldinstitute
Computer sind durch Passwörter zu schützen, um zu verhindern, dass unbefugte Personen die Computer nutzen. Jeder Mitarbeiter hat eine eigene Anmeldung mit einem eigenen Passwort. Die Daten werden nur in den Geschäftsräumen des Auftragnehmers verarbeitet.

4.3     Zugriffskontrolle

Die Zugriffskontrolle soll erreichen, dass befugte Personen nur auf solche Daten zugreifen können, für welche auch eine Berechtigung vorliegt.

 

… zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

 

ð Geschäftsräume der rheingold

Ein Zugriffs-Berechtigungskonzept stellt sicher, dass nur unmittelbar befugte Mitarbeiter Zugriff auf die Daten haben. Die personenbezogenen Daten liegen in speziellen Verzeichnissen, die durch die entsprechende Windows-Anmeldung (Passwort mit mindestens 8 Zeichen) zugänglich sind. Die eventuelle Weitergabe an externe Kontakter, Interviewer oder Feldinstitute geschieht meist per E-Mail mit verschlüsseltem Anhang.

 

ð Geschäftsräume der Kontakter, Interviewer, Feldinstitute

Die Daten des Auftraggebers werden möglichst nur in einem verschlüsselten Verzeichnis (TrueCrypt-Container, EFS oder ähnliches) gespeichert; ggf. notwendige Datenspeicherungen an anderen Orten werden schnellstmöglich datenschutzkonform vernichtet.

4.4     Weitergabekontrolle

Die Weitergabekontrolle soll erreichen, dass Daten sicher transportiert werden. Außerdem soll die Übermittlung (also der Datentransfer an „Dritte“) dokumentiert werden.

 

zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist

 

ð Die Weitergabe der Daten findet in aller Regel per E-Mail statt. Alle Beteiligten verschicken E-Mails nur mit ZIP-verschlüsselten Datei-Anhängen.

4.5     Eingabekontrolle

Die Eingabekontrolle soll gewährleisten, dass die Veränderung von Daten personell zugeordnet werden kann.

 

zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind

 

ð Eine explizite Eingabekontrolle ist nicht notwendig, da der Auftrag keine Daten-Eingaben erfordert (sondern nur die Kontaktaufnahme und Durchführung von Inter-views).

[Anmerkung: Eine Eingabekontrolle ist dann notwendig, wenn die Originaldaten ge-ändert werden könnten. Insbesondere wenn diese Originaldaten von mehreren Per-sonen bearbeitet werden könnten, ist eine Eingabekontrolle sinnvoll, um mögliche Fehlerquellen herauszufinden. Dies alles trifft auf das hier beschriebene Verfahren nicht zu.]

4.6     Auftragskontrolle

Die Auftragskontrolle soll gewährleisten, dass Daten im Rahmen einer Auftragsverarbeitung (Artikel 28 DS-GVO) weisungsgemäß verarbeitet werden.

 

… zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können

 

ð Allgemein

Alle Beteiligten sind darüber informiert, dass die Daten nur im Sinne des jeweiligen Auftrags genutzt werden dürfen.

 

ð Kontakter, Interviewer, Feldinstitute

Die Unter-Auftragnehmer dürfen keine Unter-Unteraufträge vergeben. Somit muss der Auftrag dort nur mit eigenen Mitarbeitern ausgeführt werden.

4.7     Verfügbarkeitskontrolle

Die Verfügbarkeitskontrolle soll gewährleisten, dass Daten vor Verlust und Zerstörung geschützt werden.

 

… zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind

 

ð Eine explizite Verfügbarkeitskontrolle ist nicht notwendig. Die Daten werden nur für kurze Zeit (für die Kontaktierung und Interview-Durchführung) genutzt. Sollten die Daten verloren gehen, so könnten sie jederzeit schnell wiederhergestellt werden.

 

ð Viel wichtiger als die Verfügbarkeit ist die schnelle und restlose Löschung. Daher werden die Daten in speziellen Verzeichnissen gespeichert, die explizit von der allgemeinen Datensicherung ausgeschlossen (!) sind. Somit kann vermieden werden, dass die Kontaktdaten in den Datensicherungen für typischerweise 10 Jahre aufbewahrt werden.

4.8     Trennungsgebot

Das Trennungsgebot soll gewährleisten, dass Daten nicht unnötig vermischt und gekoppelt werden.

 

… zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

 

ð Die Daten der jeweiligen Auftraggeber und der jeweiligen Studien werden strikt getrennt gespeichert.

 

ð Kontakter, Interviewer, Feldinstitute:

Der Unter-Auftragnehmer hat die zur Verfügung gestellten Datenträger separat von anderen Datenträgern aufzubewahren, damit z.B. eine versehentliche Verwechslung ausgeschlossen wird. Der Unter-Auftragnehmer hat die zur Verfügung gestellten Daten deutlich getrennt von anderen Daten zu speichern, um z.B. eine Vermischung von Daten zu vermeiden.

 

4.9     Sonstige Maßnahmen

Das Unternehmen trifft darüber hinaus auch weitere Maßnahmen zum Schutze der Papierunterlagen.

4.9.1        Sichere Aktenvernichtung

Die Vernichtung von elektronischen Datenträgern und Papieren erfolgt durch die renommierte Firma documentus. Die Papiere werden von documentus abgeholt und gemäß der DIN 32757 Stufe 3 verkleinert und anschließend verwirbelt und verpresst.

4.9.2        Kein Einblick in die sicherheitsrelevanten Geschäftsräume

Der Dienstleistungsbereich und die EDV-Abteilung sind im Erdgeschoss angesiedelt. Ein Einblick in die Fenster ist durch Jalousien verwehrt.

4.9.3        Strenge Beaufsichtigung von Putzkräften

Die Raumreinigung wird durch externe Putzkräfte gewährleistet. Im Bereich der Digitalisierung und der EDV geschieht dies nur im Beisein von Mitarbeitern.

Nachweis der Einhaltung der Grundsätze
gemäß Artikel 5 DS-GVO

 

rheingold GmbH & Co. KG

Kaiser-Wilhelm-Ring 46, 50672 Köln

 

 

Die EU Datenschutz-Grundverordnung (DS-GVO) ist seit dem 25.05.2018 in ganz Europa anzuwenden. Dort wird im Artikel 5 ein „Nachweis der Einhaltung der Grundsätze“ gefordert.

 

 

ΠAllgemeine Informationen

 

Das Unternehmen fällt in den nicht-öffentlichen Bereich und unterliegt somit der EU Datenschutz-Grundverordnung 2016/679 (DS-GVO).

 

Für die Beschäftigtendaten gilt der § 26 BDSG (in der Fassung vom 25.05.2018).

 

Das Unternehmen unterliegt den Richtlinien der deutschen Markt- und Sozialforschung.

 

Ein externer Datenschutzbeauftragter im Sinne des Artikel 37 ist seit dem Jahr 2020 durchgehend benannt: Frau Michaela Genderka von der Firma eMGe-DaTa  in Tönisvorst. Ihre Person ist auf der Website bekannt gemacht, und wurde der NRW-Aufsichtsbehörde gemeldet. Sie ist u.a. per E-Mail erreichbar unter m.genderka@emge-data.de

 

Als Datenschutz-Konzept dient der Datenschutz-Praxisleitfaden PrivazyPlan®. In diesem ca. 500-seitigen PDF-Dokument (welches monatlich aktualisiert wird) werden alle ca. 50 bußgeldbewehrten Pflichten erklärt und angeleitet.
Ergänzt wird dies durch das Datenschutz-Praxishandbuch TOM-Guide®, welches auf über 600 Seiten sehr ausführlich u.a. über technisch-organisatorische Maßnahmen aufklärt.

 

In einem Datenschutz-Handbuch werden die wichtigsten Papierdokumente gesammelt; es wird bei dem Datenschutz-Koordinator (Herrn Heinz Grüne) aufbewahrt. Hier finden sich allgemeine Dokumente und ein Ausdruck des Verarbeitungsverzeichnisses und diverse Kapitel, die die rheingold GmbH & Co. KG mit eigenen Dokumenten füllen kann. So ist alles an einem Ort.

 Artikel 5 (1a): Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

 

Compliance: Das Unternehmen stellt die Compliance sicher, indem es die ca. 50 bußgeldbewehrten Pflichten mit Hilfe des PrivazyPlan® systematisch bearbeitet.

 

Die Ergebnisse aller Maßnahmen werden in einem Dateisystem mit ca. 50 Unterverzeichnissen gesammelt.

 

Die Überwachung der Pflichten erfolgt sowohl durch das Unternehmen selbst, als auch gemäß Artikel 39 (1b) durch den Datenschutzbeauftragten.

 

Das Verarbeitungsverzeichnis gemäß Artikel 30 ist der Dreh- und Angelpunkt vieler Maßnahmen. Es wurde mit großer Sorgfalt erstellt und wird kontinuierlich aktuell gehalten. Der Datenschutzbeauftragte ist mit der Führung des Verarbeitungsverzeichnisses beauftragt.

 

Hinsichtlich der IT-Sicherheit wird im Rahmen des Artikel 32 ein IT-Sicherheits-Managementsystem gemäß ISA+ aufgebaut.

 

Rechtmäßigkeit: Die Rechtsgrundlage einer jeden Verarbeitung im Sinne des Artikel 6 und 9 und § 26 BDSG ist im Verarbeitungsverzeichnis dokumentiert und mit dem Datenschutzbeauftragten abgestimmt.

 

Die Rechtmäßigkeit von Einwilligung im Sinne der Artikel 7 und 8 und des § 26 BDSG wird durch spezielle Checklisten sichergestellt.

 

Die Beauftragung von Auftragsverarbeitungen gemäß Artikel 28 erfolgt stets mit einem entsprechenden Vertrag.

 

Im Falle von Übermittlungen an Dritte ist die jeweilige Rechtsgrundlage ebenfalls dokumentiert.

 

Bei Übermittlungen an Drittländer werden die Auflagen des Artikel 44 eingehalten.

 

Transparenz: Für jede Verarbeitung wird ein sehr ausführlicher „Transparenztext“ erstellt, der zu 100% mit dem Verarbeitungsverzeichnis übereinstimmt. Hier werden alle Angaben gemäß der Artikel 13, 14, 15, 26 und 30 geliefert. Diese Texte werden den betroffenen Personen zur Verfügung gestellt (und ggf. auch im Internet publiziert).

 

Sollten Daten bei Dritten erhoben werden (ohne dass die betroffenen Personen davon wissen), so werden Sie gemäß Artikel 14 im Rahmen der Transparenztexte (siehe oben) darüber informiert.

 

Das Recht auf Auskunft und Daten-Kopie gemäß Artikel 15 ist sichergestellt. Auch die Daten-Übertragbarkeit gemäß Artikel 20 ist gewährleistet.

 

Im Falle einer gemeinsamen Verantwortlichkeit würden die betroffenen Personen gemäß Artikel 26 über die wesentlichen Vertragsbestandteile informiert.

 

Im Falle von Datenschutz-Verletzungen mit hohem Risiko für die Rechte und Freiheiten der betroffenen Personen werden diese im Rahmen des Artikel 34 benachrichtigt.
Im Unternehmen können Probleme dieser Art unter info@rheingold-online.de gemeldet werden.

 

Datenschutz-Folgenabschätzungen: Das Risiko einer jeden Verarbeitung muss abgeschätzt werden. Im Falle eines „hohen“ Risikos muss gemäß Artikel 35 eine Datenschutz-Folgenabschätzung durchgeführt werden. Zuvor wird eine Risiko-Potenentialanalyse durchgeführt, die die wesentlichen Risiko-Indifikatoren abfragt. Gemäß der NRW-Aufsichtsbehörde wird auf jeden Fall aber mindestens eine Mini-Datenschutz-Folgenabschätzung durchgeführt.

 

 

… alle diese Maßnahmen zu „Compliance und Transparenz“ sind sichergestellt, weil das Stammblatt einer jeden Verarbeitung diese Pflichten konkret thematisiert und die jeweilige Kontaktperson zur Pflichterfüllung und ‑Dokumentation auffordert.

 

Im Rahmen von „Plan-Do-Check-Act“ sollen alle Maßnahmen regelmäßig überwacht und kontinuierlich verbessert werden.

 

 

Ž Artikel 5 (1b): Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden.

 

Sollten sich Zweckänderungen ergeben, so werden die betroffenen Personen gemäß Artikel 13 (3) ggf. darüber informiert.

 

Die Beschäftigten wurden (in der „Theorie-Schulung“) darüber informiert, dass eine Zweckänderung nicht spontan erfolgen darf.

 

Jede Änderung an den Verarbeitungen soll vorab mit dem Datenschutzbeauftragten besprochen werden. Sobald im Verarbeitungsverzeichnis ein geänderter Zweck gespeichert wird, so wird der Datenschutzbeauftragte automatisch per E-Mail informiert, dass möglicherweise eine „Zweckänderung“ stattfinden soll. Dementsprechend kann er handeln.

 

Im Kapitel 12.3 des PrivazyPlan® steht eine spezielle Checkliste zur Verfügung, die eine geplante Zweckänderung ausführlich thematisiert.

 

 

 Artikel 5 (1c): Personenbezogene Daten sollen dem Zweck angemessen und auf das notwendige Maß begrenzt sein („Datenminimierung“).

 

Die Pflicht zur datenschutzfreundlichen Technikgestaltung und Voreinstellungen gemäß Artikel 25 wird im Rahmen der Stammblätter thematisiert.

 

Des Weiteren achtet auch der Datenschutzbeauftragte schon bei den Arbeiten am Verarbeitungsverzeichnis darauf, dass Formulare/Programme datenschutzfreundlich gestaltet sind und möglichst wenig Daten erheben.

 

Im Verarbeitungsverzeichnis werden Maßnahmen dieser Art explizit dokumentiert.

 

Im Kapitel 13.14 des PrivazyPlan® werden ganz ausführlich die wichtistgen Mittel zur Datenminimierung vorgestellt.

 

 

 Artikel 5 (1d): Personenbezogene Daten sollen sachlich richtig und auf dem neuesten Stand sein. Unrichtige Daten sollen unverzüglich gelöscht werden.

 

Das Recht auf Berichtigung gemäß Artikel 16 wird in den Stammblättern explizit thematisiert.

 

Das Recht auf Datenlöschung gemäß Artikel 17 kann ebenfalls die Richtigkeit der Daten sicherstellen.

 

Die Fachabteilungen sind – u.a. durch das Stammblatt einer jeden Verarbeitung – im Bilde, dass die betroffenen Personen solche Rechte haben.

 

 

‘ Artikel 5 (1e): Personenbezogene Daten sollten möglichst anonymisiert/pseudonymisiert werden. Und möglichst schnell wieder gelöscht werden.

 

Die Regel-Löschfrist gemäß Artikel 17 wird auf einen möglichst kurzen Zeitraum gesetzt und so im Verarbeitungsverzeichnis dokumentiert. Im Stammblatt sorgen die Kontaktpersonen dafür, dass diese Frist in der Praxis eingehalten wird.

 

Im Verarbeitungsverzeichnis werden Maßnahmen dieser Art explizit dokumentiert.

 

Im Kapitel 13.14 des PrivazyPlan® werden ganz ausführlich die wichtistgen Mittel zur Datenminimierung vorgestellt.

 

 

’ Artikel 5 (1e): Personenbezogene Daten sollen „sicher“ verarbeitet werden.

 

Ein IT-Sicherheits-Managementsystem (ISMS) wird eingerichtet, um den Artikel 32 erfüllen zu können.

 

Konkret wird hierzu die ISA+-Informations-Sicherheits-Analyse des Bayerischen IT-Sicherheitscluster e.V. genutzt. Dieses System ist durch externe Auditoren zertifizierbar, und dieser Schritt ist für die Zukunft geplant.