1. ÜBER DIESE RICHTLINIE

SC RHEIN VISION SRL ist im Rahmen ihrer gesellschaftlichen Verantwortung verpflichtet, die internationalen Datenschutzgesetze einzuhalten., Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG. Diese Richtlinie basiert auf geltendem europäischem Recht und rumänischen Datenschutzrichtlinien. Der Schutz personenbezogener Daten ist die Grundlage für vertrauensvolle Beziehungen – sowohl unter den Mitarbeitern als auch mit Geschäftspartnern.

Diese Richtlinie enthält einen Überblick über die wichtigsten Datenschutzbestimmungen, die von der Geschäftsleitung und den Mitarbeitern innerhalb von RHEIN VISION einzuhalten sind. Die Datenschutzrichtlinien von RHEIN VISION stehen allen Mitarbeitern ebenfalls zur Verfügung und bieten Informationen und Erläuterungen zum Thema Datenschutz.

2. BEGRIFFE UND DEFINITIONEN

Die geltenden Vorschriften zur Datenschutzgesetzgebung (nachfolgend: Datenschutzgesetz) verwenden ihre eigene Terminologie. Dies ermöglicht prägnante Erläuterungen im Text und verbessert die Lesbarkeit.

In dieser Datenschutzrichtlinie verwenden wir folgende Begriffe:

Persönliche Daten – Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die „betroffene Person”) beziehen. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das Datenschutzrecht bezieht sich auf die Verwendung von „personenbezogenen Daten”, d. h. auf alle Informationen über eine natürliche Person, deren Identität festgestellt werden kann. Zu diesen Informationen gehören beispielsweise Name, Geburtsdatum, Adresse, Telefonnummer, IP-Adresse usw. Auch Angaben zum allgemeinen Verhalten oder zu Gewohnheiten einer Person (z. B. Werturteile) sowie Fotos und Bilder von Überwachungskameras zählen zu den personenbezogenen Daten.

Daher muss immer dann davon ausgegangen werden, dass das Datenschutzrecht Anwendung findet, wenn Informationen einer natürlichen Person zugeordnet werden können.

• Die betreffende Person –jede natürliche Person, deren Daten verarbeitet werden.

Datenverarbeitung – Die Verarbeitung personenbezogener Daten umfasst jedes Verfahren, ob automatisiert oder nicht, zur Erhebung, Speicherung, Organisation, Änderung, zum Abruf, zur Verwendung, Übermittlung, Verbreitung oder Verknüpfung und zum Abgleich von Daten. Sie umfasst auch die Löschung und Sperrung von Daten sowie der Verantwortlichen für die Datenverarbeitung.

• Verarbeitung – pVerarbeitung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Verwendung, Weitergabe, Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.
• Einschränkung der Verarbeitung – rDie Einschränkung der Verarbeitung ist die Kennzeichnung gespeicherter personenbezogener Daten mit dem Ziel, deren Verarbeitung in Zukunft einzuschränken.
• Profiling – pProfiling bezeichnet jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, des Aufenthaltsorts oder der Bewegungen der natürlichen Person zu analysieren oder vorherzusagen.
• Pseudonym – Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, vorausgesetzt, dass diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten keiner identifizierten oder identifizierbaren natürlichen Person zugeordnet werden.
• Verantwortlicher oder für die Verarbeitung zuständige Person – Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht eines Mitgliedstaats festgelegt, so kann der Verantwortliche oder die spezifischen Kriterien für seine Ernennung durch das Unionsrecht oder das Recht eines Mitgliedstaats vorgesehen werden.
• Prozessor – natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.
• Empfänger - Empfänger ist eine natürliche oder juristische Person, eine Behörde, eine Einrichtung oder eine andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich um einen Dritten handelt. Behörden, die im Rahmen einer bestimmten Untersuchung gemäß dem Recht der Union oder eines Mitgliedstaats personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch diese Behörden erfolgt im Einklang mit den geltenden Datenschutzbestimmungen und den Zwecken der Verarbeitung.
• Dritte Seite - natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und Personen, die unter der direkten Verantwortung des Verantwortlichen oder des Auftragsverarbeiters zur Verarbeitung personenbezogener Daten befugt sind.
• Zustimmung - jede spezifische, informierte und unmissverständliche Willensbekundung der betroffenen Person, mit der diese durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis zur Verarbeitung der sie betreffenden personenbezogenen Daten erklärt.

Die Einwilligung ist eine schriftliche Erklärung in klarer und verständlicher Sprache. Die betroffene Person wird darüber informiert, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung.

Werden auch personenbezogene Daten von Minderjährigen der betroffenen Personen verarbeitet, ist die Einwilligung von Minderjährigen über 16 Jahren erforderlich; im Falle anderer Personen erteilt der Erziehungsberechtigte die Einwilligung.

• Kekse –Textdateien, die über einen Internetbrowser auf einem Computersystem gespeichert werden.

Viele Websites und Server verwenden Cookies. Viele Cookies enthalten eine Cookie-ID. Diese Cookie-ID ist eine eindeutige Kennung für den Cookie. Sie besteht aus einer Zeichenfolge, anhand derer Websites und Server dem Internetbrowser zugeordnet werden können, in dem der Cookie gespeichert wurde. Dadurch können die besuchten Websites und Server den Browser des Nutzers von anderen Internetbrowsern unterscheiden, die andere Cookies enthalten. Ein bestimmter Internetbrowser kann mithilfe der eindeutigen Cookie-ID erkannt und identifiziert werden.

Durch die Verwendung von Cookies können wir den Nutzern dieser Website benutzerfreundlichere Dienste anbieten, die ohne die vorherige Einstellung nicht möglich wären.

Mithilfe von Cookies können wir die Informationen und Angebote auf unserer Website für Sie optimieren. Cookies ermöglichen es uns, wie bereits erwähnt, Nutzer unserer Website wiederzuerkennen. Dies dient dazu, Ihnen die Nutzung unserer Website zu erleichtern. So müssen Sie beispielsweise Ihre Zugangsdaten nicht jedes Mal neu eingeben, wenn Sie die Website besuchen, da diese von der Website übernommen und im Cookie auf Ihrem Computer gespeichert werden.

Datenschutzvorfall – ein Ereignis, bei dem ein begründeter Verdacht besteht, dass personenbezogene Daten unrechtmäßig entdeckt, erhoben, verändert, kopiert, übermittelt oder verwendet wurden. Dies kann sich sowohl auf Handlungen Dritter als auch von Mitarbeitern beziehen.

3. GRUNDSÄTZE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

• Fairness und Rechtmäßigkeit

Personenbezogene Daten müssen rechtmäßig erhoben und verarbeitet werden.

• Umfang

Die Verarbeitung personenbezogener Daten darf nur zu den Zwecken erfolgen, zu denen die Daten erhoben wurden. Nachträgliche Änderungen der Zwecke sind nur in begrenztem Umfang und unter Begründung möglich.

• Transparenz

Die betroffene Person muss über die Verarbeitung ihrer Daten informiert werden. Personenbezogene Daten müssen grundsätzlich von der betroffenen Person selbst erhoben werden. Bei der Datenerhebung muss die betroffene Person zumindest über Folgendes informiert oder entsprechend aufgeklärt werden:

• Identität der zuständigen Behörde
• Zweck der Datenverarbeitung
• festgelegte Lagerfristen
• Dritte oder Kategorien von Dritten, an die die Daten übermittelt werden

Der Verantwortliche unterrichtet die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, über die ergriffenen Maßnahmen. Diese Frist kann gegebenenfalls um zwei Monate verlängert werden, insbesondere unter Berücksichtigung der Komplexität und Anzahl der Anträge. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über jede solche Verlängerung und gibt die Gründe für die Verzögerung an. Stellt die betroffene Person einen Antrag in elektronischer Form, werden die Informationen nach Möglichkeit ebenfalls in elektronischer Form bereitgestellt, es sei denn, die betroffene Person wünscht ein anderes Format.

Wenn der Verantwortliche auf die Anfrage der betroffenen Person nicht reagiert, unterrichtet er die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage, über die Gründe für die Nichtreaktion sowie über die Möglichkeit, Beschwerde bei einer Aufsichtsbehörde einzulegen und einen gerichtlichen Rechtsbehelf einzulegen.

Sind Anfragen einer betroffenen Person offensichtlich unbegründet oder übertrieben, insbesondere aufgrund ihrer Wiederholung, kann der Verantwortliche:

a) entweder eine angemessene Gebühr zu erheben, die die Verwaltungskosten für die Bereitstellung der Informationen oder die Kommunikation bzw. für die Durchführung der angeforderten Maßnahmen berücksichtigt;

b) oder sich weigern, der Aufforderung nachzukommen.

In diesen Fällen trägt der Verantwortliche die Beweislast dafür, dass die Anfrage offensichtlich unbegründet oder übertrieben ist. Der Verantwortliche kann die Bereitstellung zusätzlicher Informationen verlangen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Die den betroffenen Personen bereitzustellenden Informationen können in Kombination mit standardisierten Piktogrammen erfolgen, um einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung in leicht sichtbarer, verständlicher und gut lesbarer Form zu geben. Werden die Piktogramme in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.

• Datenvermeidung und Datenökonomie

Vor der Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang dies zur Erreichung des mit der Verarbeitung verbundenen Zwecks erforderlich ist. Sofern dies möglich ist und die Maßnahme im Hinblick auf den angestrebten Zweck angemessen ist, sollten anonymisierte oder statistische Daten verwendet werden. Personenbezogene Daten dürfen nicht für zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch nationales Recht vorgeschrieben oder erlaubt.

• Lösch- und Speicherbegrenzung

Personenbezogene Daten, die nach Ablauf der gesetzlichen Aufbewahrungsfristen nicht mehr benötigt werden, müssen gelöscht werden. Bestehen im Einzelfall schutzwürdige Gründe für die Aufbewahrung dieser Daten, so sind die Daten bis zur rechtlichen Klärung dieser Gründe weiterhin aufzubewahren.

• Genauigkeit des Datenschutzprozesses

Gespeicherte personenbezogene Daten müssen korrekt, vollständig und – soweit erforderlich – auf dem neuesten Stand sein. Es sind geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass irrelevante, unvollständige oder veraltete Daten gelöscht, berichtigt, vervollständigt oder aktualisiert werden.

• Datenschutz und Datensicherheit

Personenbezogene Daten unterliegen der Vertraulichkeit. Sie müssen vertraulich behandelt und durch geeignete organisatorische und technische Maßnahmen vor unbefugtem Zugriff, unrechtmäßiger Verarbeitung oder Übermittlung sowie vor versehentlichem Verlust, Veränderung oder Zerstörung geschützt werden.

4. Zulässigkeit der Datenverarbeitung / Zulassungsvoraussetzungen

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn eine der nachstehend genannten Genehmigungsvoraussetzungen erfüllt ist. 

• Datenverarbeitung im Rahmen eines Vertragsverhältnisses

Die personenbezogenen Daten des Kunden, Lieferanten oder sonstigen Geschäftspartners können zum Zweck der Durchführung und Erfüllung eines Vertrags verarbeitet werden. Auch in der sogenannten Vertragsanbahnungsphase (Erstellung eines Angebots, Kontaktaufnahme mit Interessenten anhand der von ihnen bereitgestellten Daten) ist die Verarbeitung personenbezogener Daten zulässig.

• Datenverarbeitungsvereinbarung

Die Datenverarbeitung kann mit Einwilligung der betroffenen Person erfolgen. Vor Erteilung der Einwilligung muss die betroffene Person über die geltenden Bestimmungen informiert werden. Die Einwilligungserklärung muss aus Beweisgründen schriftlich oder elektronisch erfolgen. In bestimmten Fällen, beispielsweise bei einer telefonischen Beratung, kann die Einwilligung auch mündlich erteilt werden. Die Erteilung der Einwilligung muss dokumentiert werden.

NOTIZ! Die Einwilligung kann von der Person, deren personenbezogene Daten verarbeitet werden, jederzeit widerrufen werden.

• Datenverarbeitung auf Grundlage rechtlicher Genehmigung

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn nationale Rechtsvorschriften die Datenverarbeitung erfordern, vorschreiben oder gestatten. Art und Umfang der Datenverarbeitung müssen für die rechtmäßige Verarbeitung der Daten erforderlich sein und sich an diesen Vorschriften orientieren.

• Datenverarbeitung auf Grundlage eines berechtigten Interesses

Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn sie zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist. Eine Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen ist jedoch unzulässig, wenn im Einzelfall schutzwürdige Interessen der betroffenen Person vorliegen, die das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen müssen für jede Verarbeitung geprüft und dokumentiert werden.

• Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung solcher personenbezogener Daten, insbesondere sensibler Daten, ist nur zulässig, wenn dies gesetzlich vorgeschrieben ist oder die betroffene Person ausdrücklich eingewilligt hat. Die Verarbeitung solcher Daten ist auch zulässig, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gegen die betroffene Person unbedingt erforderlich ist.

• Automatisierte Einzelentscheidungen

Die automatisierte Verarbeitung personenbezogener Daten, anhand derer individuelle persönliche Merkmale bewertet werden, darf nicht alleinige Grundlage für Entscheidungen mit negativen rechtlichen Folgen oder erheblichen Beeinträchtigungen für die betroffene Person sein. Die betroffene Person muss über die automatisierte Entscheidung und deren Ergebnis informiert werden und die Möglichkeit zur Stellungnahme erhalten. Um Fehlentscheidungen zu vermeiden, muss eine Kontrolle und Plausibilitätsprüfung durch einen Mitarbeiter sichergestellt sein.

• Nutzerdaten und das Internet

Werden auf Webseiten personenbezogene Daten erhoben, verarbeitet und genutzt, werden die Betroffenen darüber in Datenschutzerklärungen und gegebenenfalls in Cookie-Hinweisen informiert. Die Datenschutzerklärungen und gegebenenfalls die Cookie-Hinweise müssen so eingebunden sein, dass sie für die betroffene Person jederzeit leicht erkennbar, zugänglich und verfügbar sind.

Werden Nutzungsprofile (Tracking) erstellt, um das Nutzungsverhalten von Websites und Apps auszuwerten, müssen die betroffenen Personen in jedem Fall in den Datenschutzhinweisen darüber informiert werden. Erfolgt das Tracking unter einem Pseudonym, muss die betroffene Person die Möglichkeit haben, in den Datenschutzhinweisen Widerspruch einzulegen (Opt-out).

• Datenverarbeitung im Zusammenhang mit dem Beschäftigungsverhältnis

Im Rahmen des Beschäftigungsverhältnisses können personenbezogene Daten verarbeitet werden, die für den Abschluss, die Durchführung und die Beendigung des Arbeitsvertrags erforderlich sind.

Bei der Anbahnung eines Arbeitsverhältnisses können personenbezogene Daten von Bewerbern verarbeitet werden. Im Falle einer Absage müssen die Daten des Bewerbers unter Berücksichtigung gesetzlicher Probezeiten gelöscht werden, es sei denn, der Bewerber hat einer weiteren Speicherung für ein späteres Auswahlverfahren zugestimmt.

Im Rahmen des bestehenden Beschäftigungsverhältnisses muss die Datenverarbeitung stets im Zusammenhang mit dem Zweck des Arbeitsvertrags stehen, es sei denn, eine der folgenden Voraussetzungen für die Datenverarbeitung ist nicht gegeben.

Bei der Anbahnung oder im Rahmen eines bestehenden Arbeitsverhältnisses sind, falls zusätzliche Informationen über den Bewerber von Dritten eingeholt werden müssen, die jeweiligen gesetzlichen Bestimmungen zu beachten. Im Zweifelsfall ist die Einwilligung der betroffenen Person einzuholen.

• Datenverarbeitung auf Grundlage rechtlicher Genehmigung

Die Verarbeitung personenbezogener Daten von Mitarbeitern ist auch dann zulässig, wenn nationale Rechtsvorschriften die Datenverarbeitung erfordern, vorschreiben oder gestatten. Art und Umfang der Datenverarbeitung müssen für die rechtmäßige Verarbeitung der Daten erforderlich und an diesen Vorschriften ausgerichtet sein. Bei Vorliegen einer solchen Rechtsfreiheit sind die schutzwürdigen Interessen des Mitarbeiters zu berücksichtigen.

(1) Die Verarbeitung ist nur dann rechtmäßig, wenn und soweit mindestens eine der folgenden Bedingungen erfüllt ist:

(a) die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt hat;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen diese Interessen und erfordern den Schutz personenbezogener Daten, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.

• Kollektive Regelungen für die Datenverarbeitung

Geht die Verarbeitung über den Zweck der Vertragserfüllung hinaus, ist sie zulässig, wenn sie durch eine Tarifvereinbarung gestattet ist. Tarifvereinbarungen sind kollektive Lohnverträge oder Vereinbarungen zwischen Arbeitgebern und Arbeitnehmervertretern im Rahmen der Möglichkeiten des jeweiligen Arbeitsrechts. Die Regelungen müssen sich auf den konkreten Zweck der beantragten Verarbeitung erstrecken und können im Einklang mit dem nationalen Datenschutzrecht stehen.

• Einwilligung zur Datenverarbeitung

Die Verarbeitung von Mitarbeiterdaten kann mit Einwilligung der betroffenen Person erfolgen. Die Einwilligung muss freiwillig erfolgen. Unfreiwillige Einwilligungen sind ungültig. Die Einwilligung muss aus Beweisgründen schriftlich oder elektronisch erfolgen. Sofern die Umstände dies ausnahmsweise nicht zulassen, kann die Einwilligung auch mündlich erfolgen. Die Einwilligung muss in jedem Fall ordnungsgemäß dokumentiert werden. Bei freiwilliger und informierter Datenübermittlung durch die betroffene Person kann von einer Einwilligung ausgegangen werden, sofern das nationale Recht keine ausdrückliche Einwilligung vorsieht. Vor der Einwilligung ist die betroffene Person gemäß dieser Datenschutzrichtlinie zu informieren.

• Datenverarbeitung aufgrund eines berechtigten Interesses

Die Verarbeitung personenbezogener Daten von Mitarbeitern kann auch erfolgen, wenn dies zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist. Berechtigte Interessen beruhen in der Regel auf rechtlichen (z. B. der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) oder wirtschaftlichen Gründen.

Die Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses ist unzulässig, wenn im Einzelfall Grund zur Annahme besteht, dass die schutzwürdigen Interessen des betroffenen Arbeitnehmers das Interesse an der Verarbeitung überwiegen. Das Vorliegen berechtigter Interessen muss für jede Verarbeitung einzeln geprüft werden.

Kontrollmaßnahmen, die die Verarbeitung von Mitarbeiterdaten erfordern, dürfen nur bei einer rechtlichen Verpflichtung oder einem berechtigten Grund durchgeführt werden. Auch im Falle eines berechtigten Grundes ist die Verhältnismäßigkeit der Kontrollmaßnahme zu prüfen. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z. B. die Einhaltung gesetzlicher Vorgaben und interner Unternehmensrichtlinien) sind gegen die möglichen berechtigten Interessen der betroffenen Mitarbeiter abzuwägen und dürfen nur durchgeführt werden, wenn sie verhältnismäßig sind. Die berechtigten Interessen des Unternehmens und die möglichen berechtigten Interessen der Mitarbeiter sind vor jeder Maßnahme zu ermitteln und zu dokumentieren. Darüber hinaus sind alle weiteren Anforderungen nach nationalem Recht zu beachten.

• Verarbeitung schutzwürdiger Daten

Unternehmen wird nicht verarbeitet persönliche Daten, die offenbaren rassische oder ethnische Herkunft, politische Meinungen, philosophische Überzeugungen oder Gewerkschaftszugehörigkeit und Verarbeitung von genetische Daten, Daten zu Sexualleben oder sexuelle Orientierung einer natürlichen Person.

Die Gesundheitsdaten der Mitarbeiter werden vom Gesundheitsdienstleister verarbeitet; das Unternehmen wird über die Arbeitsfähigkeit bzw. -unfähigkeit des Mitarbeiters informiert. Die Auswertung der Gesundheitsdaten erfolgt mit Einwilligung des Mitarbeiters durch das Unternehmen. Die Verarbeitung ist für Zwecke der Präventiv- und Arbeitsmedizin sowie zur Beurteilung der Arbeitsfähigkeit des Mitarbeiters erforderlich.

Ebenso können Daten über Verurteilungen (z. B. Strafregister) oft nur unter besonderen, im nationalen Recht festgelegten Bedingungen verarbeitet werden.

Die Verarbeitung muss ausdrücklich durch nationales Recht gestattet oder vorgeschrieben sein. Darüber hinaus kann die Verarbeitung gestattet werden, wenn dies erforderlich ist, damit die verantwortliche Stelle ihre Rechte und Pflichten im Bereich des Arbeitsrechts wahrnehmen kann.

• Automatisierte Entscheidungen

Soweit das Beschäftigungsverhältnis die automatisierte Verarbeitung von Daten beinhaltet, mit denen individuelle Persönlichkeitsmerkmale beurteilt werden (z. B. im Rahmen der Personalauswahl oder der Beurteilung von Qualifikationsprofilen), darf diese automatisierte Verarbeitung nicht die ausschließliche Grundlage für Entscheidungen mit negativen oder erheblichen Folgen sein.

Um Fehlentscheidungen zu vermeiden, muss in automatisierten Verfahren sichergestellt werden, dass eine natürliche Person den Sachverhalt prüft und diese Prüfung die Grundlage für die Entscheidung bildet. Der betroffene Mitarbeiter ist über die automatisierte Einzelentscheidung und deren Ergebnis zu informieren und hat Gelegenheit zur Stellungnahme.

• Telekommunikation und Internet

Telefonsysteme, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden vom Unternehmen primär für die Erfüllung betrieblicher Aufgaben bereitgestellt. Sie dienen der Arbeitsunterstützung und stellen eine Unternehmensressource dar. Ihre Nutzung erfolgt im Einklang mit geltenden gesetzlichen Bestimmungen und internen Unternehmensrichtlinien.

Die Telefon- und E-Mail-Kommunikation sowie die Nutzung des Intranets und des Internets werden generell überwacht. Um Angriffe auf die IT-Infrastruktur oder einzelne Nutzer zu verhindern, wurden an den Netzwerkschnittstellen des Unternehmens Schutzmaßnahmen implementiert, die technisch schädliche Inhalte blockieren oder Angriffsmuster analysieren. Aus Sicherheits- und Nachvollziehbarkeitsgründen wird die Nutzung von Telefonsystemen, E-Mail-Adressen, Intranet, Internet und internen sozialen Netzwerken dokumentiert.

Persönliche Überprüfungen dieser Daten dürfen nur bei einem konkreten und begründeten Verdacht auf einen Verstoß gegen Gesetze oder Unternehmensrichtlinien erfolgen. Diese Überprüfungen dürfen nur nach dem Grundsatz der Verhältnismäßigkeit durchgeführt werden. Nationale Gesetze sind in Verbindung mit den geltenden Unternehmensrichtlinien zu beachten.

5. ÜBERMITTLUNG PERSONENBEZOGENER DATEN

Die Übermittlung personenbezogener Daten an Empfänger außerhalb von RHEIN VISION unterliegt den Bedingungen der Genehmigung zur Verarbeitung personenbezogener Daten. Der Empfänger der Daten ist verpflichtet, diese ausschließlich für die angegebenen Zwecke zu verwenden.

Im Falle einer Datenübermittlung an einen Empfänger außerhalb der Unternehmensgruppe in einem Drittland muss der Empfänger ein Datensicherheitsniveau gewährleisten, das dieser Datenschutzverordnung entspricht. Dies gilt nicht, wenn die Übermittlung aufgrund einer rechtlichen Verpflichtung erfolgt.

Im Falle der Datenübermittlung durch Dritte an die Unternehmensgruppe muss sichergestellt werden, dass die Daten für die vorgesehenen Zwecke verwendet werden können.

6. ZUGEWIESENE BEARBEITUNG (im Falle einer Abtretung, Übertragung, Fusion usw.)

Bei der Auftragsverarbeitung wird ein Auftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt, ohne dass die Verantwortung für die zugehörigen Geschäftsprozesse übertragen wird. In diesen Fällen muss mit dem externen Auftragnehmer ein Vertrag über die Auftragsverarbeitung abgeschlossen werden.

Das beauftragende Unternehmen trägt die volle Verantwortung für die ordnungsgemäße Durchführung der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur gemäß seinen Anweisungen verarbeiten.

1. Der Auftragnehmer muss auf der Grundlage seiner Eignung zur Bereitstellung der notwendigen technischen und organisatorischen Schutzmaßnahmen ausgewählt werden.
2. Der Auftrag muss schriftlich erteilt werden. Die Anweisungen zur Datenverarbeitung sowie die Verantwortlichkeiten des Auftragnehmers und des Auftragnehmers müssen dokumentiert werden.
3. Der Auftragnehmer muss sich vor Beginn der Datenverarbeitung vergewissern, dass die Verpflichtungen erfüllt sind. Die Einhaltung der Datensicherheitsanforderungen kann der Auftragnehmer insbesondere durch Vorlage eines entsprechenden Zertifikats nachweisen. Je nach Risiko der Datenverarbeitung muss die Überprüfung regelmäßig, gegebenenfalls auch während der Vertragslaufzeit, wiederholt werden.
4. Bei der Datenverarbeitung im Rahmen eines grenzüberschreitenden Auftrags müssen die jeweiligen nationalen Anforderungen für die Übermittlung personenbezogener Daten ins Ausland erfüllt werden. Insbesondere darf die Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in einem Drittland nur erfolgen, wenn der Auftragnehmer ein Datensicherheitsniveau nachweisen kann, das dem dieser Datenschutzrichtlinie entspricht.

7. Rechte der betroffenen Person

Jede betroffene Person kann die folgenden Rechte ausüben. Ihre Geltendmachung wird von der zuständigen Stelle unverzüglich bearbeitet und darf für die betroffene Person zu keinem Nachteil führen.

1. Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten aus welcher Quelle zu welchem Zweck gespeichert werden. Sofern im Rahmen des Arbeitsverhältnisses weitere Rechte auf Einsicht in die Unterlagen des Arbeitgebers (z. B. die Personalakte) vorgesehen sind, bleiben diese unberührt.
2. Werden personenbezogene Daten an Dritte übermittelt, müssen auch Informationen über die Identität des Empfängers oder die Kategorien der Empfänger angegeben werden.
3. Sind die personenbezogenen Daten unrichtig oder unvollständig, kann die betroffene Person deren Berichtigung oder Vervollständigung verlangen.
4. Die betroffene Person kann der Verarbeitung ihrer personenbezogenen Daten zu Werbe-, Marktforschungs- oder Umfragezwecken widersprechen. Die Daten müssen für diese Zwecke gesperrt werden.
5. Die betroffene Person hat das Recht, die Löschung ihrer Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung der Daten fehlt oder nicht mehr gegeben ist. Dasselbe gilt, wenn der Zweck der Datenverarbeitung aufgrund von Zeitablauf oder aus anderen Gründen entfällt. Bestehende Aufbewahrungspflichten und schutzwürdige Interessen, die die Löschung überwiegen, sind dabei zu berücksichtigen.
6. Die betroffene Person hat das Recht, der Verarbeitung ihrer Daten zu widersprechen. Dieser Widerspruch ist zu berücksichtigen, wenn ihr berechtigtes Interesse am Schutz ihrer Daten aufgrund ihrer besonderen persönlichen Situation ihr Interesse an der Verarbeitung überwiegt. Dies gilt nicht, wenn die Verarbeitung aufgrund einer Rechtsvorschrift erforderlich ist.

8. Vertraulichkeit der Verarbeitung

Personenbezogene Daten unterliegen der Vertraulichkeit. Die unbefugte Erhebung, Verarbeitung oder Nutzung durch Mitarbeiter ist untersagt.

Jegliche Verarbeitung personenbezogener Daten durch einen Mitarbeiter ohne entsprechende Benennung und Berechtigung zur Erfüllung seiner Aufgaben gilt als unberechtigt. Es gilt das Prinzip der Kenntnisnahme auf das Notwendigste: Mitarbeiter dürfen nur dann und in dem Umfang Zugriff auf personenbezogene Daten erhalten, wie es für ihre jeweiligen Aufgaben erforderlich ist. Dies erfordert die sorgfältige Zuweisung und Trennung von Rollen und Verantwortlichkeiten sowie deren Implementierung und Pflege im Rahmen von Berechtigungskonzepten.

Es ist Mitarbeitern untersagt, personenbezogene Daten für private oder kommerzielle Zwecke zu verwenden, sie an unbefugte Personen weiterzugeben oder sie auf andere Weise zugänglich zu machen.

9. Verarbeitungssicherheit

Personenbezogene Daten müssen jederzeit vor unberechtigtem Zugriff, unrechtmäßiger Verarbeitung oder Übermittlung sowie vor Verlust, Verfälschung oder Zerstörung geschützt werden. Dies gilt unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor der Einführung neuer Datenverarbeitungsverfahren, insbesondere neuer IT-Systeme, müssen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festgelegt und umgesetzt werden. Diese Maßnahmen müssen dem aktuellen Stand der Technik, den mit der Verarbeitung verbundenen Risiken und den datenschutzrechtlichen Anforderungen (ermittelt durch die Klassifizierung von Informationen) entsprechen.

Unter Berücksichtigung des aktuellen Entwicklungsstands, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos mit unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich gegebenenfalls folgender Maßnahmen:

(a) Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;

c) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen;

d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung.

Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten sind Bestandteil des unternehmensweiten Informationssicherheits- und Datenschutzmanagements und müssen kontinuierlich an technische Entwicklungen und organisatorische Veränderungen angepasst werden.

10. DATENSCHUTZKONTROLLE

Die Einhaltung der Datenschutzrichtlinien und geltenden Datenschutzgesetze wird regelmäßig durch Datenschutzprüfungen und zusätzliche Kontrollen überprüft.

Die Ergebnisse von Datenschutzprüfungen müssen der Geschäftsleitung mitgeteilt werden.

11. DATENSCHUTZVORFALL

Jeder Mitarbeiter ist verpflichtet, den Datenschutzbeauftragten unverzüglich über jeden Verstoß gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle) zu informieren. Die Meldung kann per E-Mail an [E-Mail-Adresse einfügen] gesendet werden. dpo@rhein-vision.com in folgenden Fällen:

• unrechtmäßige Übermittlung personenbezogener Daten an Dritte,
• unerlaubter Zugriff Dritter auf personenbezogene Daten oder
• Verlust persönlicher Daten

Benachrichtigungen innerhalb des Unternehmens müssen unverzüglich erfolgen, damit die bestehenden Meldepflichten für Datenschutzvorfälle gemäß nationalem Recht erfüllt werden können.

Benachrichtigung der Aufsichtsbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche die gemäß Artikel 55 zuständige Aufsichtsbehörde unverzüglich und, soweit möglich, spätestens 72 Stunden nach Kenntniserlangung zu benachrichtigen, es sei denn, die Verletzung birgt ein Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Benachrichtigung nicht innerhalb von 72 Stunden, ist ihr eine begründete Erklärung der Aufsichtsbehörde beizufügen.

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, sobald er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt.

Die in Absatz:

(a) die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze;

b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, an die weitere Informationen eingeholt werden können, mitzuteilen;

c) beschreibt die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d) Beschreibung der vom Verantwortlichen getroffenen oder geplanten Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich Maßnahmen zur Minderung ihrer möglichen negativen Auswirkungen.

(4) Soweit es nicht möglich ist, die Informationen gleichzeitig bereitzustellen, können sie in mehreren Schritten ohne unangemessene Verzögerung bereitgestellt werden.

(5) Der Verantwortliche führt Aufzeichnungen über alle Datenschutzverletzungen, einschließlich einer Beschreibung der tatsächlichen Umstände, unter denen die Datenschutzverletzung aufgetreten ist, ihrer Auswirkungen und der getroffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht es der Aufsichtsbehörde, die Einhaltung dieses Artikels zu überprüfen.

12. VERANTWORTLICHKEITEN UND SANKTIONEN

Die Geschäftsleitung ist für die Verarbeitung personenbezogener Daten gemäß der Richtlinie verantwortlich.

Sie ist daher verpflichtet, sicherzustellen, dass die gesetzlichen Datenschutzbestimmungen (z. B. nationale Meldepflichten) eingehalten werden.

Im Falle von Datenschutzprüfungen durch Behörden muss der Datenschutzbeauftragte unverzüglich informiert werden.

Die Geschäftsleitung hat einen Datenschutzbeauftragten bestellt. Dieser kann Kontrollen durchführen und muss die Mitarbeiter mit den Datenschutzrichtlinien vertraut machen. Die Geschäftsleitung ist verpflichtet, den Datenschutzbeauftragten bei seiner Tätigkeit zu unterstützen.

Das Management muss sicherstellen, dass die Mitarbeiter im erforderlichen Umfang über Datenschutz informiert werden. Die unsachgemäße Verarbeitung personenbezogener Daten oder andere Verstöße gegen Datenschutzgesetze haben in vielen Ländern rechtliche Konsequenzen und können zu Schadensersatzansprüchen führen. Verstöße, für die einzelne Mitarbeiter verantwortlich sind, können disziplinarische Maßnahmen nach sich ziehen.

13. DATENSCHUTZBEAUFTRAGTER

Als spezialisierte interne Einheit gewährleistet der Datenschutzbeauftragte die Einhaltung der Datenschutzbestimmungen. Er ist für die Überwachung der Einhaltung dieser Bestimmungen verantwortlich und informiert die Geschäftsleitung umgehend über Datensicherheitsrisiken.

Jede betroffene Person kann sich mit Anregungen, Fragen, Informationsanfragen oder Beschwerden zum Datenschutz oder zur Datensicherheit an den Datenschutzbeauftragten wenden. Anfragen und Beschwerden werden auf Wunsch vertraulich behandelt.

14. IMPLEMENTARE

Dieses Dokument muss allen Betroffenen zugänglich sein.