Informationsschreiben 25. Mai 2018
// Information zur Datenverarbeitung nach EU-Datenschutz-Grundverordnung (DS-GVO)Sehr geehrte Damen und Herren,
seit dem 25. Mai ist die EU-Datenschutz-Grundverordnung (DSGVO) gültig. Die neue Regelung vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten jetzt EU-weit. Ein sehr komplexes Thema.
Aufgrund der neuen DSGVO informieren wie Sie daher wie folgt, wie Ihre Daten in unserem Hause verarbeitet werden und weisen ausdrücklich auf Ihr Widerrufsrecht hin.
Wir verarbeiten und nutzen Ihre Daten nur im Rahmen der erteilten Aufträge. Sofern bereits von Ihnen übermittelt oder bisher nicht schriftlich widersprochen haben wir auf folgende Daten Zugriff:
| Arten der Verarbeitung personenbezogener Daten | Zwecke der Verarbeitungen | Arten der personenbezogenen Daten | Kategorien betroffener Personen |
| Erhebung Speicherung Verwendung Übermittlung an Post-/Paketdienstleister Löschung [Übermittlung an weitere Auftragsverarbeiter, die als Subunternehmer für uns tätig sind] |
Vertragserfüllung |
Vor- und Nachname Anschrift (beruflich / privat) Telefonnummer (beruflich / privat) Faxnummer (beruflich / privat) E-Mail-Adresse (beruflich / privat) USt.- ID Bankdaten |
Wir, die Firma Wrede Bürotechnik GmbH, und seine Beschäftigten Kunden und deren Beschäftigte Lieferanten |
Wir sind verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Standes der Technik zu sichern.
Wir werden in unserem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere mindesten die in Anlage 2 aufgeführten Maßnahmen der
a) Zutrittskontrolle
b) Zugangskontrolle
c) Zugriffskontrolle
d) Weitergabekontrolle
e) Eingabekontrolle
f) Auftragskontrolle
g) Verfügbarkeitskontrolle
h) Trennungskontrolle
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt uns jedoch vorbehalten, wobei wir sicherstellen, dass das vereinbarte Schutzniveau nicht unterschritten wird.
Den bei der Datenverarbeitung durch uns beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Wir werden alle Personen, die mit der Datenverarbeitung im Zusammenhang stehen entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. B DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen sind so gefasst, dass sie auch nach Beendigung des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und unserem Betrieb bestehen bleiben.
Des weiteren gehen wir auch unserer Informationspflicht nach. Wir teilen Ihnen unverzüglich Störungen, Verstöße unsererseits oder unserer Mitarbeiter sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Verantwortlichen nach Art. 33 und Art. 34 DS-GVO.
Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung von Subunternehmern durchgeführt. Wir verpflichten uns dazu Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Wir haben bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieses Informationsschreiben zu verpflichten und dabei sicherzustellen, dass wir unsere Rechte aus dieser Vereinbarung (insbesondere seine Prüf—und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen können. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, haben wir sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklausen).
Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn wir Dritte mit Dienstleistungen beauftragen, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen und Bewachungsdienste ohne konkreten Bezug auf Leistungen, die wir für SIe erbringen. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, sowie diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für uns genutzt werden.
Im Hinblick auf unsere Haftung verweisen wir auf Art. 82 DS-GVO.
Des weiteren informieren wir Sie auch über Ihre Rechte nach der neuen DSGVO wie folgt:
Sie haben das Recht
- gemäß Art. 15 DSGVO das Recht, in dem dort bezeichneten Umfang Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen;
- gemäß Art. 16 DSGVO das Recht, unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
- gemäß Art. 17 DSGVO das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die weitere Verarbeitung
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung;
- aus Gründen des öffentlichen Interesses oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist; - gemäß Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit
- die Richtigkeit der Daten von Ihnen bestritten wird;
- die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen;
- wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder
- Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben; - gemäß Art. 20 DSGVO das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
Zum Schluss sei darauf verwiesen, dass alle in diesem Informationsschreiben enthaltende Verweise auf die DS-GVO gelten für die DS-GVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.
Auf eine weitere erfolgreiche Zusammenarbeit verbleiben wir
mit den besten Grüßen
Ihr Team von Wrede Bürotechnik GmbH
Anlage: Datensicherheitskonzept
Datensicherheitskonzept
- Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Wir werden technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen der DS-GVO entsprechen. Dies beinhaltet:
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle) durch folgende Maßnahmen:
Zutrittskontrollsystem, Zutrittsberechtigungssystem, Alarmsicherung, zusätzliche Sicherung durch verschließbare Schränke, Absperrmaßnahmen durch verschlossene und überwachte Tore und Türen; Arbeitsanweisung, Zutrittsregelung und physische Sicherheit
- zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle) durch folgende Maßnahmen:
Passwortkontrolle, Sperrung nach Fehlversuchen, Änderungsrhythmus, personengebundene Benutzerverwaltung, Belehrung der IT-Nutzer, Informationssicherheitsrichtlinie „Zugangs-/ Zugriffsschutz bei IT-Systemen“; Verschlüsselung von Datenträgern
Arbeitsanweisung Zutrittsregelung und physische Sicherheit; Einbruchmeldeanlagen;
- dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle) durch folgende Maßnahmen:
Rollen- und Rechtekonzept, Informationssicherheitsrichtlinie, Verschlüsselung von Datenträgern,Arbeitsanweisungen zur Zutrittsregelung, Berechtigungskonzept Software
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle) durch folgende Maßnahmen:
- Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle) durch folgende Maßnahmen:
Verschlüsselungssysteme, elektronische Signatur
- dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) durch folgende Maßnahmen:
Berechtigungskonzept Software, Arbeitsanweisung, Einsatz von Protokollierungs- und Protokollauswertungssystemen
- dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle) durch folgende Maßnahmen:
- Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) durch folgende Maßnahmen:
Sicherung der Daten (Backup-System), redundante Infrastruktur, Arbeitsanweisung Zutrittsregelung; bauliche Maßnahmen; Einbruchmeldeanlage; Firewall
- dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) durch folgende Maßnahmen: