Menu

01
Kontakt
Kontakt
02
Über uns
Über Uns
03
Impressum
Impressum
Datenschutz- und DatenverarbeitungsrichtlinieVersion: 1.1
Datum: 23.04.2026
Dokumentenverantwortlich: Geschäftsführung
Freigabe durch: Geschäftsführung1. ZweckDiese Richtlinie definiert die organisatorischen und technischen Grundsätze zum Schutz personenbezogener Daten innerhalb der Organisation.Ziel ist:Sicherstellung der Einhaltung der DSGVO und anwendbarer internationaler DatenschutzgesetzeUmsetzung relevanter Anforderungen aus ISO/IEC 27001Reduktion von Risiken für betroffene Personen und die OrganisationIntegration datenschutzrechtlicher Anforderungen in das Informationssicherheits-Managementsystem (ISMS)Diese Richtlinie ist verbindlicher Bestandteil des ISMS.2. GeltungsbereichDiese Richtlinie gilt für:alle Geschäftsbereichealle Mitarbeitenden und Führungskräfteexterne Dienstleister mit Zugriff auf personenbezogene Datenalle IT-Systeme, Anwendungen, Infrastrukturen und ProzesseSie umfasst sämtliche Verarbeitungstätigkeiten personenbezogener Daten, unabhängig vom Speicherort oder der technischen Plattform.3. Einbettung in das ISMS und RisikomanagementDer Schutz personenbezogener Daten ist integraler Bestandteil des Informationssicherheits-Risikomanagements.Risiken im Zusammenhang mit personenbezogenen Daten werden im Rahmen der allgemeinen Risikoanalyse identifiziert und bewertet.Schutzmaßnahmen werden risikobasiert definiert und regelmäßig überprüft.Datenschutzanforderungen fließen in die Auswahl und Implementierung von Sicherheitskontrollen ein.Die Umsetzung erfolgt gemäß dem kontinuierlichen Verbesserungsprozess (Plan–Do–Check–Act).4. Grundsätze der DatenverarbeitungPersonenbezogene Daten werden gemäß folgenden Prinzipien verarbeitet:Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, TransparenzZweckbindungDatenminimierungRichtigkeitSpeicherbegrenzungIntegrität und VertraulichkeitDiese Prinzipien orientieren sich an Art. 5 DSGVO und werden durch geeignete organisatorische und technische Maßnahmen umgesetzt.5. Rollen und VerantwortlichkeitenDie Geschäftsführung trägt die Gesamtverantwortung für die Einhaltung dieser Richtlinie.System- und Prozessverantwortliche sind für die Umsetzung technischer und organisatorischer Maßnahmen zuständig.Mitarbeitende sind verpflichtet, datenschutzrelevante Vorgaben einzuhalten.Externe Dienstleister werden vertraglich zur Einhaltung entsprechender Datenschutzstandards verpflichtet.Verantwortlichkeiten sind dokumentiert und werden mindestens jährlich überprüft.6. Technische und organisatorische Maßnahmen (TOMs)Zur Sicherstellung eines angemessenen Schutzniveaus werden insbesondere folgende Maßnahmen umgesetzt:rollenbasierte ZugriffskontrolleMulti-Faktor-Authentifizierung für privilegierte ZugriffeVerschlüsselung bei DatenübertragungVerschlüsselung gespeicherter Daten (risikoorientiert)Protokollierung sicherheitsrelevanter EreignisseBackup- und Wiederherstellungsverfahrenregelmäßige SicherheitsupdatesNetzwerksegmentierung (sofern erforderlich)physische Zugriffskontrollen bei relevanten StandortenDie Wirksamkeit der Maßnahmen wird regelmäßig überprüft.7. Datenschutz durch Technikgestaltung und datenschutzfreundliche VoreinstellungenDatenschutzanforderungen werden bereits in der Planungsphase neuer Systeme und Prozesse berücksichtigt.Dabei gilt:Verarbeitung nur der erforderlichen DatenIntegration von Schutzmaßnahmen in die Systemarchitekturdatenschutzfreundliche StandardeinstellungenDokumentation von Entscheidungsgrundlagen8. DatenklassifizierungPersonenbezogene Daten werden im Rahmen der allgemeinen Informationsklassifizierung bewertet.Mögliche Schutzstufen:öffentlichinternvertraulichbesonders schutzbedürftigDie Klassifizierung beeinflusst Auswahl und Intensität der Schutzmaßnahmen.9. Verzeichnis der VerarbeitungstätigkeitenFür relevante Verarbeitungstätigkeiten wird ein dokumentiertes Verzeichnis geführt.Dieses enthält mindestens:Zweck der VerarbeitungKategorien betroffener PersonenKategorien personenbezogener DatenEmpfänger oder Kategorien von EmpfängernSpeicherfristentechnische und organisatorische MaßnahmenDas Verzeichnis wird regelmäßig aktualisiert.10. Speicherfristen und LöschkonzeptFür personenbezogene Daten gelten definierte Aufbewahrungs- und Löschfristen.Grundsätze:Löschung nach Wegfall des ZwecksLöschung nach VertragsendeBerücksichtigung gesetzlicher Aufbewahrungspflichtendokumentierte LöschverfahrenDie Einhaltung der Löschfristen wird regelmäßig überprüft.Bei Beendigung eines Vertragsverhältnisses werden sämtliche personenbezogenen Kundendaten innerhalb einer definierten Frist gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.Backups unterliegen einem rotierenden Löschkonzept und werden automatisiert überschrieben.
Die vollständige Löschung wird dokumentiert.11. BetroffenenrechteDie Organisation gewährleistet die Wahrung gesetzlicher Betroffenenrechte:AuskunftBerichtigungLöschungEinschränkung der VerarbeitungDatenübertragbarkeitWiderspruchAnfragen werden dokumentiert, bewertet und innerhalb gesetzlicher Fristen bearbeitet.Ein definierter Prozess zur Bearbeitung von Betroffenenanfragen ist implementiert.
Anfragen von betroffenen Personen oder Auftraggebern werden über definierte Support- oder Kommunikationskanäle entgegengenommen, dokumentiert und fristgerecht bearbeitet.Die Organisation unterstützt Auftraggeber und Plattformpartner bei der Umsetzung von Lösch-, Berichtigungs- und Auskunftsanfragen.12. Auftragsverarbeitung und DrittparteienWerden personenbezogene Daten durch externe Dienstleister verarbeitet:erfolgt dies ausschließlich auf Grundlage eines Auftragsverarbeitungsvertragswerden geeignete technische und organisatorische Maßnahmen geprüfterfolgt eine risikobasierte Bewertung der Dienstleisterwird eine aktuelle Liste der eingesetzten Auftragsverarbeiter geführtInternationale Datenübermittlungen erfolgen nur unter Beachtung gesetzlicher Vorgaben.13. DatenschutzvorfälleDatenschutzverletzungen werden gemäß der Vorfallsmanagement-Richtlinie behandelt.Dies umfasst:Identifikation und BewertungDokumentationrisikobasierte Entscheidung über MeldepflichtenMeldung an zuständige Behörden innerhalb gesetzlicher Fristen (sofern erforderlich)Benachrichtigung betroffener Personen (sofern vorgeschrieben)14. Schulung und SensibilisierungMitarbeitende werden regelmäßig zu Datenschutz- und Informationssicherheitsanforderungen sensibilisiert.Schulungen werden dokumentiert.15. Überwachung und interne ÜberprüfungDie Einhaltung dieser Richtlinie wird im Rahmen interner Kontrollen überprüft.Festgestellte Abweichungen werden dokumentiert und im Rahmen des kontinuierlichen Verbesserungsprozesses behandelt.16. Überprüfung und AktualisierungDiese Richtlinie wird:mindestens 1× jährlichbei wesentlichen organisatorischen oder technischen Änderungenbei Gesetzesänderungenüberprüft und bei Bedarf aktualisiert.Änderungen werden versioniert dokumentiert.17. InkrafttretenDiese Richtlinie tritt mit Veröffentlichung in Kraft und ist verbindlich für alle betroffenen Personen.