Datenschutz-Leitlinie ISR-Gruppe

 

1. Grundsätze

Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen. Deshalb verarbeiten wir die personenbezogenen Daten unserer Mitarbeiter, Kunden sowie Geschäftspartner in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.

In dieser Datenschutzrichtlinie wird beschrieben, welche Arten von personenbezogenen Daten wir erheben, wie diese Daten genutzt werden, an wen sie übermittelt werden und welche Wahlmöglichkeiten und Rechte betroffene Personen im Zusammenhang mit unserer Verarbeitung der Daten haben.

Außerdem beschreiben wir, mit welchen Maßnahmen wir die Sicherheit der Daten gewährleisten und wie betroffene Personen Kontakt mit uns aufnehmen können, wenn Sie Fragen zu unserer Datenschutzpraxis haben.

Diese Richtlinie regelt die datenschutzkonforme Informationsverarbeitung und die insoweit bei der ISR-Gruppe bestehenden Verantwortlichkeiten. Alle Mitarbeiter sind zur Einhaltung der Richtlinie verpflichtet.

Sie richtet sich an:

  • die Geschäftsleitung
  • den IT-Systemadministrator
  • die Annahme
  • die Buchhaltung
  • den Vertrieb
  • die Auftragsabwicklung inkl. Rechnungsabteilung
  • alle Benutzer, die die zur Verfügung gestellten Systeme für die Erledigung ihrer
    betrieblichen Aufgaben nutzen.
  • den betrieblichen Datenschutzbeauftragten, der ihre Umsetzung kontrollierend
    begleitet und die ihm speziell zugewiesenen Aufgaben wahrzunehmen hat.
  • unsere Kunden und Lieferanten

für die Gesellschaften und Standorte:

ISR Itzehoer Schrott und Recycling GmbH & Co. KG

Hafenstraße 35, 25524 Itzehoe

Am Südufer, 25541 Brunsbüttel

Industriestraße, 16348 Wandlitz

Wilhelm-Weber-Str. 3, 21079 Hamburg

Rondenbarg 31, 22525 Hamburg

 

SMS Recycling GmbH & Co. KG

Wilslebener Str. 6, 06449 Aschersleben

In den Langen Stücken 18a, 38820 Halberstadt

 

LSH Lübecker Schrotthandel GmbH

Dampfpfeife 12-20, 23569 Lübeck

 

Warnsholz GmbH & Co. KG

Robert-Bosch-Str. 8, 25335 Elmshorn


Peter Stolz Edelstahlhandelsgesellschaft mbH

Hovestraße 32, 20539 Hamburg

 

Dabei gelten folgende Grundsätze:

  • Die Hardware und Software zum Zwecke der Datenverarbeitung sind ausschließlich für betriebliche Aufgaben zu verwenden und gegen Verlust und Manipulation zu sichern. Eine Nutzung für private Zwecke bedarf der ausdrücklichen Genehmigung durch die Geschäftsleitung.
  • Jeder Mitarbeiter ist in seinem Verantwortungsbereich für die Umsetzung der Richtlinie verantwortlich.Die Einhaltung muss von ihm regelmäßig kontrolliert werden.
  • Die Geschäftsleitung stellt sicher, dass ihre Mitarbeiter über diese Richtlinie informiert werden; das gilt auch für temporär Beschäftigte.
  • Der Datenschutzbeauftragte (DSB) berät bei der Umsetzung der Richtlinie und prüft deren Einhaltung. Insoweit sind alle Adressaten der Richtlinie dem DSB auskunftspflichtig.

2. Der betriebliche Datenschutzbeauftragte

2.1
Die ISR-Gruppe hat nach Maßgabe des Artikels 37 Abs. 2 DS-GVO Herrn Arne Mohrdiek zum betrieblichen Konzern-Datenschutzbeauftragten (DSB) bestellt. Zur direkten Kontaktaufnahme steht die Email-Adresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zur Verfügung. Der DSB nimmt die ihm kraft Gesetzes und aus dieser Richtlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seines Fachwissens sowie seiner beruflichen Qualifikation wahr.

2.2
Der Datenschutzbeauftragte unterrichtet und berät die Unternehmensleitung sowie die Beschäftigten hinsichtlich ihrer Datenschutzpflichten. Ihm obliegt die Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter. Im Falle risikoreicher Datenverarbeitungen steht der DSB dem Verantwortlichem beratend bei der Abschätzung des Risikos zur Seite.

2.3
Der DSB berichtet unmittelbar der Unternehmensleitung.

2.4
Der DSB wird frühzeitig in alle Datenschutzfragen eingebunden und wird sowohl von der Unternehmensleitung als auch den Beschäftigten bei der Erfüllung seiner Aufgaben unterstützt.

2.5
Jeder Mitarbeiter kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an den DSB wenden, wobei auf Wunsch absolute Vertraulichkeit gewahrt wird.

3. Beschaffung Hard- und Software

3.1
Die Beschaffung von Hard- und Software erfolgt grundsätzlich erst nach Genehmigung durch die Geschäftsleitung. Bereits bei der Auswahl von Hard- und Software wird das Prinzip der Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als ein tragendes Kriterium beachtet.

3.2
Falls mit der Beschaffung ein neues Verfahren der Verarbeitung personenbezogener Daten eingeführt werden soll, ist der Datenschutzbeauftragte / die Geschäftsleitung rechtzeitig vorab von der anfordernden Stelle zu informieren (siehe 5.2). Die Beschaffung erfolgt erst nach Stellungnahme des DSB / Freigabe durch die Geschäftsleitung. Der DSB berät dahingehend, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist.

3.3
Private Hard- und Software dürfen nicht zur Verarbeitung personenbezogener Daten Verwendung finden. Die dienstliche Nutzung privater Hard- und Software im heimischen und außerbetrieblichen Bereich (z.B. private Notebooks) bedarf der Genehmigung durch die IT-Abteilung im Einzelfall.

3.4
Bei Verdacht des Diebstahls von Hard- und Software, des unbefugten Zugriffs auf personenbezogene Daten, von Sabotage etc. sind die DV-Abteilung und der DSB / die Geschäftsleitung unverzüglich zu informieren.

4. Verpflichtung/Schulung der Mitarbeiter

4.1
Jeder Mitarbeiter, der Umgang mit personenbezogenen Daten hat, ist auf einen vertraulichen Umgang mit personenbezogenen Daten und die Einhaltung dieser Richtlinie zu verpflichten.

4.2
Die Schulung der Mitarbeiter erfolgt regelmäßig, jedoch mindestens einmal im Jahr.

5. Transparenz der Datenverarbeitung

5.1
Über Verfahren, die den Umgang mit personenbezogenen Daten betreffen, führt der Datenschutzbeauftragte/ die Geschäftsleitung ein Verzeichnis von Verarbeitungen gem. Art. 30 DS-GVO.

5.2
Der für ein Verfahren Verantwortliche meldet Veränderungen an den DSB / die Geschäftsleitung zur Aktualisierung des Verzeichnisses. Unabhängig von dieser Meldung ist der DSB / die Geschäftsleitung bei der Planung der Einführung neuer Verarbeitungen bzw. der Veränderung bestehender Verfahren von Beginn einzubeziehen.

5.3
Soweit der DSB / der für ein Verfahren Verantwortliche feststellt, dass die beabsichtigte Verarbeitung einer Datenschutz-Folgenabschätzung unterliegt, teilt er dies umgehend mit. Das Verfahren darf erst nach Zustimmung des DSB / der Geschäftsleitung durchgeführt werden. Im Zweifel entscheidet die Geschäftsleitung.

5.4
Macht ein Betroffener von seinem Auskunftsrecht nach Art. 15 DS-GVO oder seinem Korrektur- oder Widerspruchsrecht nach Art. 16 und Art. 21 DS-GVO Gebrauch, so erfolgt die Bearbeitung durch den DSB / den für das Verfahren Verantwortliche. Auskunfts- und Einsichtsrechte von Mitarbeitern werden durch die Personalverwaltung erfüllt. Es ist sicherzustellen, dass dem Betroffenen seine Daten auf Wunsch in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden können.

6. Erhebung / Verarbeitung von personenbezogenen Daten

6.1
Die Erhebung und Verarbeitung personenbezogener Daten darf nur im Rahmen des rechtlich Zulässigen erfolgen. Hierbei sind auch die besonderen Voraussetzungen für die Erhebung und Verarbeitung sensibler Daten gemäß Art. 9 Abs. 1 DS-GVO zu beachten. Grundsätzlich dürfen nur solche Informationen verarbeitet und genutzt werden, die zur betrieblichen Aufgabenerfüllung erforderlich sind und in unmittelbarem Zusammenhang mit dem Verarbeitungszweck stehen.

6.2
Personenbezogene Daten werden zum Zwecke der Vertragsabwicklung zwischen den Verantwortlichen der oben genannten Gesellschaften als Teil einer Unternehmensgruppe arbeitsteilig verarbeitet. Diese gemeinsame Verarbeitung erfolgt für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Die gemeinsame Verarbeitung gilt weiterhin für die Durchführung der aus den Beschäftigtenverhältnissen erwachsenen rechtlichen Verpflichtungen (z.B. Lohn- und Gehaltsabrechnungen).

6.3
Es wird sichergestellt, dass Betroffene keiner Entscheidung unterworfen werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen und zugleich den Betroffenen gegenüber eine rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen (bspw. Profiling).

6.4
Vor Einführung neuer Arten von Erhebungen ist die die Zulässigkeit bestimmende Zweckbestimmung der Daten durch den für die Anwendung Verantwortlichen zu prüfen. Grundsätzlich ist eine Zweckänderung nur dann zulässig, wenn die Verarbeitung mit denjenigen Zwecken vereinbar ist, für die die Daten ursprünglich erhoben worden sind. Eine Zweckänderung ist auch zulässig, wenn eine Einwilligung der betroffenen Person durch den Verantwortlichen eingeholt wird. Gleichzeitig hat der für die Verarbeitung Verantwortliche vor der Erhebung bzw. der Speicherung von Daten schriftlich festzulegen, ob und in welcher Art und Weise der gesetzlichen Benachrichtigungspflicht des Betroffenen zu genügen ist.

6.5
Falls andere Stellen Informationen über Betroffene anfordern, dürfen diese ohne Einwilligung des Betroffenen nur gegeben werden, wenn hierfür eine gesetzliche Verpflichtung oder ein die Weitergabe rechtfertigendes legitimes Interesse des Unternehmens besteht und die Identität des Anfragenden zweifelsfrei feststeht. Im Zweifel ist der DSB / die Geschäftsleitung zu kontaktieren.

7. Datenhaltung / Versand / Löschung

7.1
Die Speicherung von Daten erfolgt grundsätzlich auf den hierzu zur Verfügung gestellten Netzlaufwerken. Eine Speicherung auf mobilen Datenträgern oder Cloudspeicher bedarf der Genehmigung durch die IT-Abteilung. Bei Netzwerken ist die IT-Abteilung für die Sicherung der Daten verantwortlich, die auf dem Server gespeichert sind.

7.2
Soweit technisch bedingt ein anderer Speicherort erforderlich ist (z.B. Notebook, Desktop-PC) ist der jeweilige Benutzer für die Durchführung der Datensicherung selbst verantwortlich. Die gewählten Datensicherungsmaßnahmen sind in dem Verfahrensverzeichnis zu dokumentieren.

7.3
Gesetzliche Aufbewahrungsfristen und Löschungstermine sind zu beachten. Die IT-Abteilung ist über die Einhaltung der Termine insbesondere im Hinblick auf die Löschung personenbezogener Daten in Sicherungskopien zu informieren.

7.4
Bei der Weiter- oder Rückgabe nicht mehr benötigter IT-Komponenten ist der Benutzer verpflichtet, dafür zu sorgen, dass zuvor sämtliche Daten wirksam gelöscht wurden.

8. Externe Dienstleister / Auftragsverarbeitung / Wartung

8.1
Sollen externe Dienstleister erstmals mit der Verarbeitung personenbezogener Daten bzw. einzelnen Verarbeitungsschritten (z.B. Erhebung, Löschung = Entsorgung) bzw. mit Tätigkeiten (z.B. Wartung, Reparatur) beauftragt werden, bei denen sie die Möglichkeit der Kenntnis personenbezogener Daten bekommen, so ist mit diesen ein Vertrag unter vollständiger Berücksichtigung der Anforderungen des Art. 28 DS-GVO zu schließen. Im Einzelfall werden die Daten zur Wahrung berechtigter Interessen gegebenenfalls mit Auskunfteien oder Kreditversicherern ausgetauscht. Der DSB ist vor Vertragsabschluss darüber zu informieren.

9. Sicherheit der Verarbeitung

9.1
Für jedes Verfahren sind eine dokumentierte Schutzbedarfsfeststellung sowie eine Analyse bzgl. der für den Betroffenen möglichen Risiken zu erstellen. Dieses erfolgt im Rahmen der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten.

9.2
Neben dieser Richtlinie bestehen ergänzende Regelungen, die insbesondere zur Realisierung der Datensicherungsgebote des Art. 32 DS-GVO zu treffende Maßnahmen betreffen.

10. Rechenschafts- und Dokumentationspflicht

Die Einhaltung der Vorgaben, die sich aus dieser Richtlinie ergeben, muss jederzeit nachweisbar sein. Eine Nachweisbarkeit hat insbesondere durch eine schlüssige und nachvollziehbare schriftliche Dokumentation hinsichtlich getroffener Maßnahmen und dazugehöriger Abwägungen zu erfolgen.

© 2018 ISR Schrott & Recycling | Impressum | AGB | Datenschutz
Diese Website verwendet Cookies. Indem Sie fortfahren, akzeptieren Sie die Verwendung von Cookies.