Datenschutzkonzept der Carosa UG (haftungsbeschränkt)

Das Datenschutzkonzept beschreibt die technische und organisatorische Umsetzung des Datenschutzes im Unternehmen. Es dient der Information von interessierten Kreisen.


1. Datenschutzleitlinie

Der Schutz der in unserem Unternehmen verarbeiteten personenbezogenen Daten, insbesondere die Wahrung ihrer Vertraulichkeit, Integrität und Verfügbarkeit, ist unsere Pflicht und wird durch die Geschäftsführung, den Datenschutzbeauftragten sowie weitere Personen der Carosa UG (haftungsbeschränkt) regelmäßig kontrolliert.

Der Vorstand ist sich der hohen Bedeutung des Datenschutzes und seiner persönlichen Verantwortlichkeit bewusst. Mit der Einführung, Umsetzung und stetigen Verbesserung des Datenschutz-Management-Systems wollen wir den hohen Stellenwert unterstreichen, den die Verarbeitung personenbezogener Daten für uns hat.

1.1 Grundsätze

Die Erfüllung der gesetzlichen Anforderungen stellt das Mindestmaß unserer Datenschutzbemühungen dar. Zur Erfüllung gesetzlicher Pflichten erforderliche Maßnahmen müssen mit Priorität umgesetzt werden.

Alle Maßnahmen haben sich daran zu orientieren, ob sich mit einem verhältnismäßigen Einsatz von Mitteln ihr Ziel erreichen lässt. Ziel ist stets, die mit einer Verarbeitung einhergehenden Risiken angemessen zu beherrschen, möglichst aber, ohne die eigenen Interessen des Unternehmens über Gebühr einzuschränken.

Für die Verarbeitung personenbezogener Daten gelten die folgenden Grundsätze:

Wir verarbeiten personenbezogene Daten nur, wenn und solange dafür eine klare Erlaubnis oder Verpflichtung besteht!

Der jeweils konkret verfolgte Zweck einer Verarbeitung und die hierfür beanspruchte Rechtsgrundlage werden im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. Eine hier nicht behandelte Verarbeitung von Daten darf nicht erfolgen!

Wir vermeiden personenbezogene Daten!

Es werden nur insoweit Daten eingesetzt, wie dies zur Erreichung eines legitimen Zwecks erforderlich ist. Zur Erreichung eines bestimmten Zwecks nicht relevante Daten werden nicht verarbeitet.

Soweit sich ein Zweck auch mit anonymen oder pseudonymen Daten angemessen erreichen lässt, müssen diese verwendet werden. Entsprechend geht auch die Verarbeitung allgemeiner oder verallgemeinerter Informationen der Verarbeitung von Detailinformationen vor.

Auch die Dauer der Verarbeitung ist auf das erforderliche Maß zu begrenzen. Daten sind – unter Beachtung etwaiger Aufbewahrungspflichten – frühestmöglich zu löschen.

Wir beachten die Interessen der Betroffenen!

Jede Verarbeitung erfolgt nur unter Berücksichtigung der Interessen und Erwartungen der Betroffenen. Personenbezogene Daten werden nur genutzt, soweit dies zur Erreichung eines legitimen Zwecks unvermeidbar und dem Betroffenen zumutbar ist.

Wir tragen dafür Sorge, dass die durch uns erfolgende Verarbeitung für den Betroffenen nachvollziehbar ist und achten die Rechte der Betroffenen, insbesondere auf Information.

Wir handhaben den Zugriff auf personenbezogene Daten restriktiv!

Wir behandeln alle personenbezogenen Daten streng vertraulich! Daten werden Personen oder Prozessen nur zugänglich gemacht, wenn, soweit und solange dies im Einzelfall notwendig ist. Diese Beschränkung gilt sowohl für Datensammlungen insgesamt, als auch für die darin enthaltenen Detailinformationen.

Wir achten auf die Richtigkeit der personenbezogenen Daten, die wir verarbeiten!

Wenn wir erfahren, dass solche Daten nicht korrekt sind, berichtigen wir diese unverzüglich.

Wir sorgen für Sicherheit bei der Datenverarbeitung!

Durch den Stand der Technik entsprechende technische und organisatorische Maßnahmen stellen wir einen angemessenen Schutz vor Datenschutzverletzungen sicher. Dabei berücksichtigen wir das Risiko, welches mit einer Verarbeitung verbunden ist.

Wir können unsere Datenschutzbemühungen nachweisen!

Wir beurteilen und messen den Erfolg unserer Datenschutzmaßnahmen in angemessenem Umfang und korrigieren Fehlentwicklungen.

1.2 Verantwortung und Aufgaben

Der Geschäftsführer trägt zwar rechtlich die Gesamtverantwortung für den Datenschutz, kann aber die zu bewältigenden Aufgaben tatsächlich nicht alleine erledigen. Der Aufbau einer geeigneten Organisation und die Delegation von Aufgaben sind damit notwendig und Pflicht der Geschäftsführung. Der Geschäftsführer bleibt für die korrekte Auswahl und Überwachung der eingesetzten Mitarbeiter persönlich verantwortlich.

Der Vorstand kann seiner verbleibenden Verantwortung nur gerecht werden, wenn er angemessen informiert ist. Daher ist ein entsprechendes Berichtswesen eingerichtet. Alle Verantwortlichen haben das Recht, direkt an den Vorstand zu berichten.

Grundsätzlich sind alle Mitarbeiter aufgerufen, die Datenschutzbemühungen des Unternehmens aktiv zu unterstützen und in ihrem Aufgabenbereich nach besten Kräften für die korrekte Umsetzung von Vorgaben zu sorgen. Sie werden entsprechend geschult und laufend sensibilisiert. Mitarbeiter werden angemessen angeleitet. Alle Mitarbeiter sind insoweit auch persönlich verantwortlich.

Für alle Bereiche oder Aufgaben ist eindeutig festgelegt, wem die Verantwortung übertragen ist, bzw. für neue Aufgaben übertragen wird. Die Zuweisung erfolgt immer an eine bestimmte Person, die auch über ihre Funktion oder Rolle benannt werden kann. Soweit erforderlich, sind geeignete Stellvertreter zu benennen. Vertreter können auch mehrere Personen oder Angehörige einer Rolle sein. Es wird stets sichergestellt, dass der Verantwortliche und etwaige Vertreter sowohl fachlich als auch persönlich in der Lage sind, ihre Aufgaben sorgfältig, vertrauensvoll und angemessen zu erfüllen.

Bei der Zuweisung von Verantwortlichkeiten müssen Interessenskonflikte vermieden werden. Miteinander unverträgliche Rollen sind bestimmt und dokumentiert.

Über die Verantwortlichkeiten im Unternehmen wird eine laufende Dokumentation geführt.

Um zu gewährleisten, dass relevante Interessen auch bereichsübergreifend berücksichtigt werden, ist bei der Konzeption eines Prozesses festzulegen, welche Rollen, Stellen oder Personen ggf. zu beteiligen oder zu informieren sind.

Folgende Rollen haben besondere Aufgaben im Bereich des Datenschutzes:

  • Datenschutzbeauftragter: Der Beauftragte für den Datenschutz unterrichtet und berät die Angehörigen des Unternehmens hinsichtlich ihrer datenschutzrechtlichen Verpflichtungen. Er überwacht die Einhaltung der Datenschutzvorschriften. Der Beauftragte ist keinen Weisungen unterworfen und nicht für die korrekte Umsetzung des Datenschutzes verantwortlich. Die Pflicht zur Bestellung eines Datenschutzbeauftragten richtet sich nach dem Gesetz.

  • Datenschutzverantwortlicher: Die rechtliche Verantwortung für die Beachtung des Datenschutzes trägt stets die Geschäftsführung. Die Geschäftsführung, hat sich darauf verständigt, dass die Verantwortung einem einzelnen Angehörigen der Geschäftsführung übertragen wird. Die Umsetzung der von der Geschäftsführung initiierten Maßnahmen kann auch an andere Personen delegiert werden.

  • Datenschutzkoordinator: Der eingesetzte Koordinator trägt Sorge für die Umsetzung des Datenschutzes in den einzelnen Abteilungen des Unternehmens und stellt ggf. die Abstimmung zwischen diesen her. Der Koordinator ist im Rahmen des Datenschutzes mit den erforderlichen Weisungsbefugnissen ausgestattet. Der Koordinator berichtet regelmäßig dem Geschäftsführer.


2. Datenschutzbeauftragter

Kontakt zum externen Datenschutzbeauftragten:

Im Moment aufgrund der Mitarbeiteranzahl <10 im Unternehmen noch nicht notwendig

3. Technische und organisatorische Maßnahmen

Nachstehend wird beschrieben, welche technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt sind. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Unternehmen verarbeiteten Daten und Informationen. Die Struktur orientiert sich nach der international anerkannten Norm DIN ISO/IEC 27002.

3.1 Leitlinie

Die Datenschutzleitlinie der Carosa UG (haftungsbeschränk) beinhaltet die Leitaussagen der Geschäftsführung zum Umgang mit personenbezogenen Daten im Unternehmen. Alle Beschäftigten, freie Mitarbeiter und unterstützende Unternehmen sind verpflichtet, diese zentralen Regelungen zu beachten.

Das erreichte IT-Sicherheitsniveau der Organisationseinheiten, Prozesse und Systeme wird durch eine Kombination aus periodisch wiederkehrenden Prüfungen und kontinuierlichen Kontrollen überwacht.

Ein Review der Sicherheitspolitik erfolgt zumindest jährlich, soweit nicht eine essentielle Änderung dies früher erfordert. Hierdurch wird die laufende Angemessenheit, Eignung und Effektivität der Regelung sichergestellt.

3.2 Organisation der Informationssicherheit

Die Führungskräfte der Carosa UG (haftungsbeschränkt) sind in ihrer Organisationseinheit für die vollständige Umsetzung der Grundsätze der IT-Sicherheit und für die Erfüllung der an sie gestellten IT-Sicherheitsaufgaben verantwortlich.

Informationssicherheitsrollen und -verantwortlichkeiten sind in der IT-Sicherheitsorganisation definiert. Miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche sind getrennt, um die Möglichkeiten zu unbefugter oder unbeabsichtigter Änderung oder zum Missbrauch der Werte (z.B. Betriebsmittel, Wechseldatenträger, Notebooks) unseres Unternehmens zu reduzieren.

Wir verfügen über ein Verfahren, das festlegt, wann und durch wen relevante Behörden benachrichtigt und erkannte Datenschutz- und Informationssicherheitsvorfälle rechtzeitig gemeldet werden.

Auch pflegen wir laufenden Kontakt zu speziellen Interessengruppen, um über Änderungen und Verbesserungen im Bereich Datenschutz und Informationssicherheit informiert zu sein.

Durch unsere jeweiligen Richtlinien und Prozesse zur Nutzung von Mobilgeräten, stellen wir den Datenschutz und die Datensicherheit auch in diesen Bereichen sicher.

3.3 Personalsicherheit

Wir haben unsere Mitarbeiter sorgsam ausgewählt und ihre Eignung für ihre Rolle im Unternehmen überprüft. Ihre Verantwortlichkeiten haben wir in Funktionsbeschreibungen festgelegt und gleichen regelmäßig ab, ob die Mitarbeiter diesen entsprechen. Vor Beginn ihrer Anstellung unterschreiben alle Mitarbeiter eine Vertraulichkeits- sowie Datenschutzvereinbarung, die über die Beendigung des Beschäftigungsverhältnisses hinaus gilt. Die Mitarbeiter werden im Bereich Datenschutz und Datensicherheit geschult, insbesondere werden Schulungen bei Funktionswechsel noch einmal aufgefrischt. Sie sind sich daher ihrer Verantwortung diesbezüglich bewusst. In einem dokumentierten Prozess für die Zeit vor, während und nach Beendigung des Beschäftigungsverhältnisses stellen wir sicher, dass personenbezogene Daten geschützt und die Datensicherheit gewährleistet ist. Diese beinhaltet auch Maßregelungen für den Fall eines Datenschutzverstoßes.

3.4 Verwaltung der Werte

Sämtliche Werte (wie z.B. Betriebsmittel, Wechseldatenträger, Notebooks) und Informationsträger, die mit personenbezogenen Daten in Zusammenhang stehen, werden von uns inventarisiert und gepflegt.

Wir haben zum Schutz dieser Werte Verantwortliche festgelegt, die für den Lebenszyklus eines Wertes zuständig sind.

Es wurden dokumentierte Regeln für den zulässigen Gebrauch unserer Werte aufgestellt. Die Rückgabe erfolgt dokumentiert.

Unsere Informationen und Daten werden anhand der gesetzlichen Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung klassifiziert und gekennzeichnet.

Diesem Klassifizierungsschema entsprechend, haben wir dokumentierte Verfahren für die Handhabung unserer Werte, insbesondere auch unserer Wechseldatenträger, entwickelt und umgesetzt. Wir verfügen über einen dokumentierten und geregelten Prozess zum Transport von Datenträgern, um diese vor unbefugtem Zugriff, Missbrauch oder Verfälschung zu schützen.

Nicht mehr benötigte Datenträger entsorgen wir sicher, unter Anwendung eines dokumentierten Verfahrens und verpflichteter zertifizierter Dienstleister.

3.5 Zugriffssteuerung

Wir verfügen über geregelte und dokumentierte Maßnahmen, die sicherstellen, dass berechtigte Personen nur auf solche personenbezogenen Daten Zugriff erhalten, für die sie die Befugnis zur Einsichtnahme und zur Verarbeitung besitzen.

Berechtigungen zum Zugriff auf IT-Systeme werden über ein geregeltes Verfahren auf der Grundlage eines dokumentierten und restriktiven Berechtigungskonzepts vergeben. Den Zugang zu Netzwerken und Netzwerkdiensten haben wir geregelt und umgesetzt.

Es ist sichergestellt, dass nur befugte Benutzer Zugang zu Systemen und Diensten haben und unbefugter Zugang unterbunden wird, insbesondere besteht ein formaler Prozess für die Registrierung und Deregistrierung von Benutzern, der die Zuordnung von Zugangsrechten ermöglicht. Unsere administrativen Rechte erteilen wir eingeschränkt und gesteuert. Wir verfügen über einen dokumentierten und geregelten Prozess über den Umgang mit Passwörtern. Ist- und Soll-Zustand von Benutzerzugangsrechten werden regelmäßig abgeglichen. Bei Bedarf werden diese entzogen oder angepasst.

Wir schränken den Zugriff auf unsere Daten bedarfsgerecht ein und steuern den Zugang auf unsere Systeme und Anwendungen durch ein sicheres Anmeldeverfahren. Wir verwenden ein System zur Nutzung sicherer und starker Kennwörter. Der Gebrauch von Hilfsprogrammen, die fähig sein könnten, System- und Anwendungsschutzmaßnahmen zu umgehen, ist eingeschränkt und streng überwacht.

3.6 Kryptographie

Der angemessene und wirksame Gebrauch von Kryptographie zum Schutz der Vertraulichkeit, Authentizität oder Integrität von Information ist sichergestellt. Zu diesem Zwecke haben wir eine Richtlinie über den Einsatz von Kryptographischen Maßnahmen im Unternehmen implementiert, die auch die Verwaltung von kryptographischen Schlüsseln umfasst und dem Schutzbedarf angemessen ist.

3.7 Physische und umgebungsbezogene Sicherheit

Wir haben dokumentierte und geregelte Maßnahmen getroffen, die verhindern sollen, dass Unbefugte Zutritt zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden. Diese umfassen unter anderem:

  • Die Geschäftsräume werden exklusiv genutzt.

  • Der Eingang wird überwacht.

  • Türen zu Sicherheitsbereichen sind stets geschlossen. Schutz erfolgt über ein Sicherheitsschlüssel-basiertes System.

  • Besucher oder externe Dienstleister werden individuell eingelassen

  • Der Brandschutz wird beachtet.

  • Die Sicherheit der Verkabelung wird beachtet.

  • Die Instandhaltung von Systemen wird geplant und umgesetzt.

  • Das Entfernen und Änderungen von Systemen und Informationen erfolgt geregelt.

  • Die Sicherheit von Systemen außerhalb der Geschäftsräume wird beachtet.

  • Die Entsorgung oder Wiederverwendung von Betriebsmitteln erfolgt geregelt.

  • Benutzergeräte werden durch Verschlüsselung geschützt.

  • Richtlinien für Clean Desk und Bildschirmsperren werden umgesetzt.


3.8 Betriebssicherheit


Wir verfügen über geregelte und dokumentierte Maßnahmen, um einen ordnungsgemäßen und sicheren Betrieb von informations- und datenverarbeitenden Einrichtungen sicherzustellen. Diese umfassen u.a. die Steuerung im Falle einer Änderung an den informationsverarbeitenden Einrichtungen, als auch eine Steuerung und regelmäßige Messung unserer Kapazitäten und Ressourcen, um die Verfügbarkeit der erforderlichen Systemleistung sicherzustellen. So werden z.B. unter anderem folgende Werte laufend aktuell überwacht:

  • Festplattenstatus und verfügbarer Speicher

  • Raid-Status

  • Dienste und Status aller virtuellen Maschinen

  • Speicherbelegung der Storages und Hauptspeicher

  • Auslastung Ethernet in Kbit/s und Mbit/s

  • Anzahl der RDP-Sessions der einzelnen Terminal-Server

  • Durchsatz und Auslastung der Firewall

  • Erreichbarkeit aller Server über VPN

  • Erreichbarkeit und Durchsatz der Switches

  • Verfügbarkeit des Mailservices (intern wie extern)


Ein geschütztes Verfahren zur Datensicherung wurde von uns implementiert und ist dokumentiert.

Standardwartungsfenster sind definiert. Zusätzlich notwendige Fenster werden mindestens 3 Tage vorab angekündigt.

Maßnahmen zur Erkennung, Vorbeugung und Wiederherstellung zum Schutz von Schadsoftware wurden getroffen und werden regelmäßig aktualisiert.

Wir verfügen über eine zentral überwachte und geschützte Ereignisprotokollierung und haben für den Fall der Speicherung sensibler personenbezogener Daten Maßnahmen zum Schutz der Privatsphäre getroffen. Sämtliche Protokollierungseinrichtungen und Protokollinformationen, einschließlich Administratoren und Bedienerprotokolle sind vor Manipulation und unbefugtem Zugriff geschützt.

Die Synchronisation unserer Uhren erfolgt zentral mit einer einzigen Referenzzeitquelle.

Wir verfügen über ein zentrales Verfahren zur gesteuerten Installation von Software auf Systemen in unserem Unternehmen.

Regelungen für die Einschränkungen von Softwareinstallationen sind von uns zentral implementiert.

Im Falle einer Auditprüfung unserer Informationssysteme haben wir Maßnahmen festgelegt, die Störungen der Geschäftsprozesse soweit wie möglich zu minimieren.

3.9 Kommunikationssicherheit

Die Sicherheit unserer in Netzwerken und Netzwerkdiensten gespeicherten personenbezogenen Daten und Informationen ist unumgänglich. Daher haben wir dokumentierte Maßnahmen eingesetzt, die unsere Netzwerke verwalten, steuern und sichern.

Informationsdienste, Benutzer und Informationssysteme werden bedarfsgerecht, soweit wie möglich, voneinander getrennt gehalten.

Wir verfügen über Richtlinien und Verfahren für die Informations- und Datenübertragung, sowie die Vereinbarungen zur Informationsübertragung an externe Stellen. Unsere elektronische Nachrichtenübermittlung wird angemessen geschützt. So haben wir unter anderem Maßnahmen zum Schutz der Nachrichten vor unbefugtem Zugriff, vor Veränderung oder Denial of Service getroffen, die dem von der Organisation übernommenen Klassifizierungsschema entsprechen.

Um unsere Daten zu schützen, schließen wir bedarfsgerechte Vertraulichkeits- oder Geheimhaltungsvereinbarungen ab, die wir regelmäßig überprüfen.

3.10 Anschaffung, Entwicklung und Instandhaltung von Systemen

Es ist sichergestellt, dass Daten- und Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus unserer Systeme ist. Dies beinhaltet auch die Anforderungen an und die Sicherung von Informationssystemen, die Dienste über öffentliche Netze bereitstellen. Der Schutz der Transaktionen bei Anwendungsdiensten erfolgt bedarfsgerecht. Zudem haben wir ein Verfahren zur Verwaltung von Systemänderungen eingerichtet, um die Integrität des Systems und deren Anwendungen und bis zu anfallenden Wartungsarbeiten sicherzustellen. Bei Änderungen an Betriebsplattformen werden geschäftskritische Anwendungen überprüft und getestet, um sicherzustellen, dass es keine negativen Auswirkungen auf die Organisationssicherheit gibt. Wir verfügen über einen gesteuerten Prozess zur Analyse, der Entwicklung und der Pflege sicherer IT Systeme.

3.11 Beziehungen zu Servicedienstleistern

Wir wählen unsere Servicedienstleister im Vorfeld sorgsam aus und überprüfen ihre Geeignetheit hinsichtlich der Wahrung des Daten- und Informationssicherheitsschutzes.

Dokumentierte Vereinbarungen (Verträge zur Auftragsverarbeitung) sichern den Schutz und die Geheimhaltung unserer Werte und Daten. Die Servicedienstleister werden verpflichtet, technisch-organisatorische Maßnahmen zu treffen, um dies zu gewährleisten.

Es besteht eine reglementierte und benutzerdefinierte Zugriffsberechtigung auf die für den jeweiligen Lieferanten zwingend benötigten Werte und Daten.

Regelmäßig führen wir eine Überprüfung der Datenschutz- und Datensicherheitsmaßnahmen unserer Servicedienstleister durch, um das vereinbarte Niveau aufrecht zu erhalten. Auch die zugewiesenen Berechtigungen unterliegen einer ständigen dokumentierten Kontrolle.

Nach Beendigung des Vertragsverhältnisses sind unsere Kunden und Servicedienstleister verpflichtet, die von uns erhaltenen Daten und Werte an uns zurückzugeben oder ordnungsgemäß zu vernichten. Zudem gilt die Wahrung der Geheimhaltungspflicht in der Regel unbegrenzt.

3.12 Handhabung von Informationssicherheits- und Datenschutzereignissen

Unser Unternehmen verfügt über einen geregelten dokumentierten Prozess für die Handhabung von Informationssicherheits- und Datenschutzvorfällen, um diesbezüglich eine konsistente und wirksame Herangehensweise zu gewährleisten. Die Mitarbeiter sind angehalten, sämtliche Datenschutz – und Sicherheitsereignisse unverzüglich zu melden und werden diesbezüglich regelmäßig geschult. Sämtliche Ereignisse werden dokumentiert, klassifiziert und bewertet. Das implementierte Interventionsteam hat genaue Vorgaben, wie auf ein Ereignis zu reagieren ist. Zusammen mit dem Vorstand werden regelmäßig Verbesserungsmaßnahmen besprochen und umgesetzt, die sich aus den Erkenntnissen und den gesammelten Beweisen eines Ereignisses ergeben.

3.13 Informationssicherheitsaspekte beim Business Continuity Management

Im Rahmen der Informationssicherheit wird die vorgesehene Verfügbarkeit von Systemen eigens bewertet und dokumentiert. Aus den Anforderungen leiten wir die technischen und organisatorischen Vorgaben, wie redundante Systeme / Anbindungen oder entsprechende Planungen ab und setzen diese konsequent und gesteuert um. Ein übergreifender Notfallplan bildet den Rahmen bezüglich der entsprechenden Handlungsanweisungen für ausgewählte dokumentierte Notfallszenarien. Laufende aktualisierte Übungspläne für die Erprobung der eingesetzten Maßnahmen und die Dokumentation der Durchführung entsprechender Tests rundet das Notfallmanagement ab. Alle Server und Storage Systeme sind mit einer mindestens 36-monatigen, Herstellergarantie ausgestattet.

3.14 Compliance

Wir haben alle relevanten gesetzlichen, regulatorischen, selbstauferlegten oder vertraglichen Anforderungen sowie das Vorgehen unseres Unternehmens zur Einhaltung dieser Anforderungen bestimmt, dokumentiert und halten diese auf dem neuesten Stand.

Entsprechend der gesetzlichen, regulatorischen, vertraglichen und geschäftlichen Anforderungen schützen wir Aufzeichnungen und personenbezogene Daten bedarfsgerecht. Jährliche Tätigkeitsberichte des Datenschutzbeauftragten dokumentieren die ergriffenen Maßnahmen.

Wir beachten hierfür die Regelungen Kryptographischer Maßnahmen.

Um den Schutz unserer Informationen und Daten sicher zu stellen, erfolgt regelmäßig eine unabhängige Überprüfung unseres Informationssicherheits- und Datenschutzniveaus, unserer Sicherheits- und Datenschutzrichtlinien, sowie die Einhaltung von technischen Vorgaben.

4. Weitere Maßnahmen

4.1 Verfahrensverzeichnisse

Aktuelle Verarbeitungsübersichten bzw. Verfahrensverzeichnisse sind vorhanden.

4.2 Datenschutz-Folgeabschätzungen

Soweit gesetzlich gefordert, werden Verfahren vor ihrer Inbetriebnahme auf Basis vordefinierter Risikokriterien und –stufen identifiziert und den Schutzmaßnahmen gegenübergestellt. Die so getroffenen datenschutzrechtlichen Bewertungen fließen in die Umsetzung der Maßnahmen ein und werden dokumentiert.

4.3 Schulung und Sensibilisierung der Mitarbeiter

Mitarbeiter werden regelmäßig in Fragen des Datenschutzes und der Datensicherheit dokumentiert geschult und sensibilisiert.

5. Regelungen im Unternehmen

Es bestehen unter anderem folgende Informationssicherheits- und Datenschutzregelungen im Unternehmen:

  • Richtlinie Betroffenenrechte

  • Handbuch Datenschutzmanagementsystem

  • Richtlinie Risikoanalyse und -behandlung

  • Onboarding Mitarbeiter

  • Offboarding Mitarbeiter

  • Richtlinie Auftragsverarbeitung

  • Richtlinie Berechtigungsvergabe

  • Richtlinie Datenschutznotfall

  • Richtlinie Datenarchivierung und -löschung

  • Richtlinie IT-Nutzung

  • Kontaktpersonen im Rahmen eines Datenschutznotfalles

  • Übersicht Datenklassifikation und Verarbeitung