Vorwort

Im digitalen Zeitalter sind Dienstleistungen nur dann möglich, wenn Daten erfasst und verarbeitet werden.

Ob Sie eine oder mehrere unserer Leistungen in Anspruch nehmen, in einer Geschäftsbeziehung mit uns stehen oder bei uns arbeiten oder sich für eine Tätigkeit bewerben, gilt für uns der Grundsatz: Wo Daten gespeichert und gesendet werden, muss ein hohes Maß an Datenschutz und Datensicherheit gewährleistet sein. Denn Datenschutz ist Schutz der Person.

Unser Anspruch ist es, dass die Diakonie Coburg und ihre verbundenen Unternehmen nicht nur für Qualität in der Arbeit stehen, sondern auch Standards beim Datenschutz setzen. Deshalb sehen wir es als unsere Pflicht an, den gesetzlichen Anforderungen zu entsprechen, die mit der Erhebung und Verarbeitung personenbezogener Daten verbunden sind. Oberste Priorität hat für uns, einen einheitlichen und unternehmensweit gültigen Standard beim Umgang mit personenbezogenen Daten sicherzustellen. Denn die Persönlichkeitsrechte und die Privatsphäre eines jeden Einzelnen zu wahren, ist für uns die Basis für vertrauensvolle Geschäftsbeziehungen.

In unserer Unternehmensrichtlinie zum Datenschutz haben wir strenge Voraussetzungen für die Verarbeitung personenbezogener Daten von Kunden, Interessenten, Geschäftspartnern und Mitarbeitern geregelt. Diese entspricht den Anforderungen der Europäischen Datenschutzrichtlinie und stellt die Einhaltung der Prinzipien der Datenschutzgrundverordnung sicher. Dadurch setzen wir einen unternehmensweit gültigen Datenschutz- und Datensicherheitsstandard in unserem Unternehmen und regeln den Datenaustausch zwischen unseren Dienststellen und Gesellschaften. Als Maßstab haben wir sieben Datenschutzgrundsätze festgelegt - darunter Transparenz, Datensparsamkeit und Datensicherheit.

Unsere Führungskräfte und Mitarbeitenden sind verpflichtet, diese Unternehmensrichtlinie zum Datenschutz einzuhalten und die jeweiligen Datenschutzgesetze zu wahren. Der Unternehmensbeauftragte für den Datenschutz trägt dafür Sorge, dass die gesetzlichen Regelungen und Prinzipien zum Datenschutz bei der Diakonie Coburg geachtet werden.

Er steht Ihnen als Ansprechpartner bei Fragen zum Datenschutz und zur Datensicherheit bei der Diakonie Coburg gerne zur Verfügung.


Inhaltsverzeichnis

1.        Ziel der Datenschutzrichtlinie

2.        Geltungsbereich und Änderung der Datenschutzrichtlinie

3.        Geltung staatlichen Rechts

4.        Prinzipien für die Verarbeitung personenbezogener Daten

4.1       Fairness und Rechtmäßigkeit

4.2       Zweckbindung

4.3       Transparenz

4.4       Datenvermeidung und Datensparsamkeit

4.5       Löschung

4.6       Sachliche Richtigkeit und Datenaktualität

4.7       Vertraulichkeit und Datensicherheit

5.         Zulässigkeit der Datenverarbeitung

5.1       Kunden- und Partnerdaten

5.1.1    Datenverarbeitung für eine vertragliche Beziehung

5.1.2    Datenverarbeitung zu Werbezwecken

5.1.3    Einwilligung in die Datenverarbeitung

5.1.4    Datenverarbeitung aufgrund gesetzlicher Erlaubnis

5.1.5    Datenverarbeitung aufgrund berechtigten Interesses

5.1.6   Verarbeitung besonders schutzwürdiger Daten

5.1.7    Automatisierte Einzelentscheidungen

5.1.8    Nutzerdaten und Internet

5.2       Mitarbeiterdaten

5.2.1    Datenverarbeitung für das Arbeitsverhältnis

5.2.2    Datenverarbeitung aufgrund gesetzlicher Erlaubnis

5.2.3    Kollektivregelungen für Datenverarbeitung

5.2.4    Einwilligung in die Datenverarbeitung

5.2.5    Datenverarbeitung aufgrund berechtigten Interesses

5.2.6    Verarbeitung besonders schutzwürdiger Daten

5.2.7    Automatisierte Entscheidungen

5.2.8    Telekomunikation und Internet

6.        Übermittlung personenbezogener Daten

7.        Auftragsdatenverarbeitung

8.        Rechte des Betroffenen

9.        Vertraulichkeit der Verarbeitung

10.      Sicherheit der Verarbeitung

11.      Datenschutzkontrolle

12.      Datenschutzvorfälle

13.      Verantwortlichkeiten und Sanktionen

14.      Der Konzernbeauftragte für den Datenschutz

15.      Definitionen

1. Ziel der Datenschutzrichtlinie

Die Diakonie Coburg verpflichtet sich im Rahmen ihrer gesellschaftlichen Verantwortung zur Einhaltung von Datenschutzrechten. Diese Datenschutzrichtlinie gilt für die Diakonie Coburg und beruht auf fachlich und rechtlich akzeptierten Grundprinzipien zum Datenschutz. Die Wahrung des Datenschutzes ist eine Basis für qualitätvolle Arbeit, vertrauensvolle Geschäftsbeziehungen und die Reputation der Diakonie Coburg als attraktiver Arbeitgeber.

Die Datenschutzrichtlinie schafft die notwendigen Rahmenbedingungen für Datenübermittlungen zwischen den Dienststellen und den Gesellschaften. Sie gewährleistet das von der Datenschutzgrundverordnung und dem Stand der Technik verlangte angemessene Datenschutzniveau. Dies bezieht sich auch auf die nötigen Datenübermittlungen im Rahmen der internationalen Geschäftsbeziehungen der Gesellschaften.

2. Geltungsbereich und Änderung der Datenschutzrichtlinie

Diese Datenschutzrichtlinie gilt für alle Dienststellen und Gesellschaften der Diakonie Coburg und gilt unbeschadet des besonderen Schutzes des Seelsorge- und des Beichtgeheimnisses von ordinierten und nicht ordinierten zur Seelsorge beauftragten Personen.

Die Datenschutzrichtlinie erstreckt sich auf sämtliche Verarbeitungen personenbezogener Daten. Anonymisierte Daten, z.B. für statistische Auswertungen oder Untersuchungen, unterliegen nicht dieser Datenschutzrichtlinie.

Die einzelnen Dienststellen und Gesellschaften sind nicht berechtigt, von dieser Datenschutzrichtlinie abweichende Regelungen zu treffen. Weitere Richtlinien zum Datenschutz oder Ergänzungen dürfen in Abstimmung mit dem Unternehmensbeauftragten für den Datenschutz dann erstellt werden, wenn dies gesetzlich erforderlich ist.

Die aktuellste Version der Datenschutzrichtlinie kann unter den Datenschutzhinweisen auf der Internetseite der Diakonie Coburg, www.diakonie-coburg.de, abgerufen werden.

3. Geltung staatlichen Rechts

Diese Datenschutzrichtlinie basiert auf europäischem und nationalem Recht und der aktuellen Rechtsprechung und gestaltet dieses.

Jede Dienststelle und Gesellschaft der Diakonie Coburg ist für die Einhaltung dieser Datenschutzrichtlinie und der gesetzlichen Verpflichtungen verantwortlich. Dazu werden in jeder Dienststelle und Gesellschaft eigene Verantwortliche für den Datenschutz benannt und verpflichtet. Haben diese Grund zu der Annahme, dass gesetzliche Verpflichtungen oder die aktuelle Rechtsprechung im Widerspruch zu den Pflichten aus dieser Datenschutzrichtlinie stehen, wird unverzüglich der Unternehmensbeauftragte für den Datenschutz informiert.

4. Prinzipien für die Verarbeitung personenbezogener Daten

4.1 Rechtmäßigkeit

Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte der Betroffenen gewahrt werden. Personenbezogene Daten werden nur auf Grund Gesetzes oder einer Genehmigung rechtmäßig erhoben und verarbeitet.

4.2 Zweckbindung

Die Verarbeitung personenbezogener Daten darf lediglich die Zwecke verfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer Rechtfertigung.

4.3 Transparenz

Die Betroffenen müssen über den Umgang mit ihren Daten informiert werden. Grundsätzlich sind personenbezogene Daten bei den Betroffenen selbst zu erheben. Bei Erhebung der Daten müssen die Betroffenen mindestens Folgendes erkennen können oder entsprechend informiert werden:

  • Die Identität der verantwortlichen Stelle
  • Den Zweck der Datenverarbeitung
  • Dritte oder Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden

4.4 Datenvermeidung und Datensparsamkeit

Vor der Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang diese notwendig sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen.

Personenbezogene Daten dürfen nicht auf Vorrat für potentielle zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.

4.5 Löschung

Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen nicht mehr erforderlich sind, müssen fristgemäß gelöscht werden. Bestehen im Einzelfall Anhaltspunkte für schutzwürdige Interessen oder für eine historische Bedeutung dieser Daten, bleiben die Daten weiter gespeichert, bis das schutzwürdige Interesse rechtlich geklärt wurde oder sie auf ihre Archivwürdigkeit für historische Zwecke bewertet wurden. In diesen Fällen ist der Unternehmensbeauftragte für den Datenschutz zu informieren.

4.6 Sachliche Richtigkeit und Datenaktualität

Personenbezogene Daten sind richtig, vollständig und - soweit erforderlich - auf dem aktuellen Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nicht zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

4.7 Vertraulichkeit und Datensicherheit

Für personenbezogene Daten gilt das Datengeheimnis. Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden.

5. Zulässigkeit der Datenverarbeitung

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.

5.1 Kunden-und Partnerdaten

5.1.1 Datenverarbeitung für eine vertragliche Beziehung

Personenbezogene Daten eines Interessenten, Kunden oder Partners dürfen zur Begründung, zur Durchführung und zur Beendigung eines Vertrages verarbeitet werden. Dies umfasst auch die Betreuung des Vertragspartners, sofern dies im Zusammenhang mit dem Vertragszweck steht.

Im Vorfeld eines Vertrages - also in der Vertragsanbahnungsphase - ist die Verarbeitung von personenbezogenen Daten zur Erstellung von Angeboten und der Vorbereitung von Vertragsabschlüssen erlaubt. Interessenten dürfen während der Vertragsanbahnung unter Verwendung der Daten kontaktiert werden, die sie mitgeteilt haben. Eventuell vom Interessenten geäußerte Einschränkungen sind zu beachten.

5.1.2 Datenverarbeitung zu Werbezwecken

Wendet sich eine Person mit einem Informationsanliegen an eine Dienststelle oder ein Unternehmen der Diakonie Coburg (z.B. Wunsch nach Zusendung von Informationsmaterial), so ist die Datenverarbeitung für die Erfüllung dieses Anliegens zulässig.

Im Rahmen der Kommunikation mit den Betroffenen soll eine Einwilligung in die Verarbeitung seiner Daten in geeigneter Form eingeholt werden. Die Betroffenen sollen im Rahmen der Einwilligung zwischen den verfügbaren Kontaktkanälen wie Post, elektronische Kommunikationsmittel und Telefon wählen können.

Widerspricht der Betroffene der Verwendung seiner Daten zu Zwecken der Information und Werbung, so ist eine weitere Verwendung seiner Daten für diese Zwecke unzulässig und sie müssen für diese Zwecke gesperrt werden.

Die Verarbeitung personenbezogener Daten zu Zwecken des Spendenmarketings oder zum Fundraising ist analog zu behandeln.

5.1.3 Einwilligung in die Datenverarbeitung

Eine Datenverarbeitung kann aufgrund einer Einwilligung des Betroffenen stattfinden. Vor der Einwilligung muss der Betroffene gemäß informiert werden. Die Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Unter Umständen, z.B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt werden. Ihre Erteilung muss dokumentiert werden.

5.1.4 Datenverarbeitung aufgrund gesetzlicher Erlaubnis

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften.

5.1.5 Datenverarbeitung aufgrund berechtigten Interesses

Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses der Diakonie Coburg erforderlich ist.

Berechtigte Interessen sind in der Regel rechtliche (z.B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z.B. Vermeidung von Vertragsstörungen). Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Betroffenen das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen.

5.1.6 Verarbeitung besonders schutzwürdiger Daten

Die Verarbeitung „besonders schutzwürdiger" personenbezogener Daten darf nur erfolgen, wenn dies gesetzlich erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Die Verarbeitung dieser Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen. Wird die Verarbeitung besonders schutzwürdiger Daten geplant, ist der Unternehmensbeauftragte für den Datenschutz im Vorfeld zu informieren.

5.1.7 Automatisierte Einzelentscheidungen

Die automatisierte Verarbeitung personenbezogener Daten, durch die einzelne Persönlichkeitsmerkmale bewertet werden, ist unzulässig.

5.1.8 Nutzerdaten und Internet

Wenn auf Webseiten oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt werden, sind die Betroffenen hierüber in Datenschutzhinweisen und ggf. Cookie-Hinweisen zu informieren. Die Datenschutzhinweise und ggf. Cookie-Hinweise sind so zu integrieren, dass diese für die Betroffenen leicht erkennbar, unmmittelbar erreichbar und ständig verfügbar sind.

Die Auswertung des Nutzungsverhaltens von Webseiten und Apps über die Erstellung von Nutzerprofilen (Tracking) ist unzulässig.

Werden bei Webseiten oder Apps in einem registrierungspflichtigen Bereich Zugriffe auf personenbezogene Daten ermöglicht, so sind die ldentifizierung und Authentifizierung der Betroffenen so zu gestalten, dass ein für den jeweiligen Zugriff angemessener Schutz erreicht wird.

5.2. Mitarbeiterdaten

5.2.1 Datenverarbeitung für das Arbeitsverhältnis

Für das Arbeitsverhältnis dürfen die personenbezogenen Daten verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Arbeitsvertrages erforderlich sind. Bei der Anbahnung eines Arbeitsverhältnisses dürfen personenbezogene Daten von Bewerbern verarbeitet werden. Nach Ablehnung sind die Daten des Bewerbers unter Berücksichtigung beweisrechtlicher Fristen zu löschen, es sei denn, der Bewerber hat in eine weitere Speicherung für einen späteren Auswahlprozess eingewilligt. Eine Einwilligung ist auch für eine Verwendung der Daten für weitere Bewerbungsverfahren oder vor der Weitergabe der Bewerbung an andere Dienststellen oder Gesellschaften erforderlich.

Im bestehenden Arbeitsverhältnis muss die Datenverarbeitung immer auf den Zweck des Arbeitsvertrages bezogen sein, sofern nicht einer der nachfolgenden Erlaubnistatbestände für die Datenverarbeitung eingreift.

Für Verarbeitungen von personenbezogenen Daten, die im Kontext des Arbeitsverhältnisses stehen, jedoch nicht originär der Erfüllung des Arbeitsvertrages dienen, muss jeweils eine rechtliche Legitimation vorliegen. Das können gesetzliche Anforderungen, Kollektivregelungen mit Arbeitnehmervertretungen, eine Einwilligung des Mitarbeiters oder die berechtigten Interessen des Unternehmens sein.

5.2.2 Datenverarbeitung aufgrund gesetzlicher Erlaubnis

Die Verarbeitung personenbezogener Mitarbeiterdaten ist auch dann zulässig, wenn Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften. Besteht ein gesetzlicher Handlungsspielraum, müssen die schutzwürdigen Interessen des Mitarbeiters berücksichtigt werden.

5.2.3 Kollektivregelungen für Datenverarbeitungen

Geht eine Verarbeitung über den Zweck der Vertragsabwicklung hinaus, so ist sie auch dann zulässig, wenn sie durch eine Kollektivregelung gestattet wird. Kollektivregelungen sind Tarifverträge oder Vereinbarungen zwischen Arbeitgeber und Arbeitnehmervertretungen im Rahmen der Möglichkeiten des jeweiligen Arbeitsrechts. Die Regelungen müssen sich auf den konkreten Zweck der gewünschten Verarbeitung erstrecken und sind im Rahmen des staatlichen Datenschutzrechts gestaltbar.

5.2.4 Einwilligung in die Datenverarbeitung

Eine Verarbeitung von Mitarbeiterdaten kann aufgrund einer Einwilligung des Betroffenen stattfinden. Einwilligungserklärungen müssen freiwillig abgegeben werden. Unfreiwillige Einwilligungen sind unwirksam. Die Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Erlauben die Umstände dies ausnahmsweise nicht, kann die Einwilligung mündlich erteilt werden. Ihre Erteilung muss in jedem Fall ordnungsgemäß dokumentiert werden. Bei einer informierten freiwilligen Angabe von Daten durch den Betroffenen kann eine Einwilligung angenommen werden. Vor der Einwilligung muss der Betroffene gemäß dieser Datenschutzrichtlinie informiert werden.

5.2.5 Datenverarbeitung aufgrund berechtigten Interesses

Die Verarbeitung personenbezogener Mitarbeiterdaten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses der Diakonie Coburg erforderlich ist. Berechtigte Interessen sind in der Regel rechtlich (z.B. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche) oder wirtschaftlich (z.B. Bewertung von Unternehmen) begründet.

Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Mitarbeiters das Interesse an der Verarbeitung überwiegen. Das Vorliegen schutzwürdiger Interessen ist für jede Verarbeitung zu prüfen.

Kontrollmaßnahmen, die eine Verarbeitung von Mitarbeiterdaten erfordern, dürfen nur durchgeführt werden, wenn dazu eine gesetzliche Verpflichtung besteht oder ein begründeter Anlass gegeben ist. Auch bei Vorliegen eines begründeten Anlasses muss die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z.B. Einhaltung rechtlicher Bestimmungen und unternehmensinterner Regeln) müssen gegen ein mögliches schutzwürdiges Interesse des von der Maßnahme betroffenen Mitarbeiters am Ausschluss der Maßnahme abgewogen werden und dürfen nur durchgeführt werden, wenn sie angemessen sind. Das berechtigte Interesse des Unternehmens und die möglichen schutzwürdigen Interessen der Mitarbeiter müssen vor jeder Maßnahme festgestellt und dokumentiert werden. Zudem müssen ggf. nach staatlichem/kirchlichem Recht bestehende weitere Anforderungen (z.B. Mitbestimmungsrechte der Arbeitnehmervertretung und Informationsrechte der Betroffenen) berücksichtigt werden.

5.2.6 Verarbeitung besonders schutzwürdiger Daten

Besonders schutzwürdige personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Besonders schutzwürdige Daten sind Daten über die rassische und ethnische Herkunft, über politische Meinungen, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit oder das Sexualleben des Betroffenen. Aufgrund staatlichen Rechts können weitere Datenkategorien als besonders schutzwürdig eingestuft oder der Inhalt der Datenkategorien unterschiedlich ausgefüllt sein. Ebenso dürfen Daten, die Straftaten betreffen, häufig nur unter besonderen, von staatlichem Recht aufgestellten Voraussetzungen verarbeitet werden.

Die Verarbeitung muss aufgrund staatlichen/kirchlichen Rechts ausdrücklich erlaubt oder vorgeschrieben sein. Zusätzlich kann eine Verarbeitung erlaubt sein, wenn sie notwendig ist, damit die verantwortliche Stelle ihren Rechten und Pflichten auf dem Gebiet des Arbeitsrechts nachkommen kann. Der Mitarbeiter kann freiwillig auch ausdrücklich in die Verarbeitung einwilligen.

Wird die Verarbeitung besonders schutzwürdiger Daten geplant, ist der Konzernbeauftragte für den Datenschutz im Vorfeld zu informieren.

5.2.7 Automatisierte Entscheidungen

Im Beschäftigungsverhältnis personenbezogene Daten automatisiert zu verarbeiten ist unzulässig.      

5.2.8 Telekommunikation und Internet

Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden in erster Linie im Rahmen der betrieblichen Aufgabenstellung durch das Unternehmen zur Verfügung gestellt. Sie sind Arbeitsmittel und Unternehmensressource. Sie dürfen im Rahmen der jeweils geltenden Rechtsvorschriften und der unternehmensinternen Richtlinien genutzt werden. Im Fall der erlaubten Nutzung zu privaten Zwecken sind das Fernmeldegeheimnis und das jeweils geltende Telekommunikationsrecht zu beachten.

Eine generelle Überwachung der Telefon- und E-Mail-Kommunikation bzw. der Intranet- und Internet-Nutzung findet nicht statt. Zur Abwehr von Angriffen auf die IT-Infrastruktur oder auf einzelne Nutzer können Schutzmaßnahmen an den Übergängen in das Netzwerk der Diakonie Coburg implementiert werden, die technisch schädigende Inhalte blockieren oder die Muster von Angriffen analysieren. Aus Gründen der Sicherheit kann die Protokollierung der Nutzung der Telefonanlagen, der E-Mail-Adressen, des Intranets und Internets sowie der internen sozialen Netzwerke für einen befristeten Zeitraum ausgewertet werden. Personenbezogene Auswertungen dieser Daten dürfen nur bei einem konkreten begründeten Verdacht eines Verstoßes gegen Gesetze oder Richtlinien der Diakonie Coburg erfolgen. Diese Kontrollen dürfen nur unter Wahrung des Verhältnismäßigkeitsprinzips erfolgen. Die jeweiligen Gesetze sind ebenso zu beachten wie die hierzu bestehenden Unternehmensregelungen und Dienstvereinbarungen.

6. Übermittlung personenbezogener Daten

Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb der Diakonie Coburg oder an andere Dienststellen oder Gesellschaften innerhalb der Diakonie Coburg unterliegt den Zulässigkeitsvoraussetzungen der Verarbeitung personenbezogener Daten unter Abschnitt 5. Der Empfänger der Daten muss darauf verpflichtet werden, diese nur zu den festgelegten Zwecken zu verwenden.

Bei der Übermittlung von besonderen personenbezogenen Daten, im Rahmen einer Beratungs- oder therapeutischen Tätigkeit oder in sonstigen durch das SGB geregelten Fällen an Stellen außerhalb der Diakonie Coburg (Kostenträger, Ärzte, Therapeuten) sind die besonderen Vorschriften des Sozialgesetzbuches (SGB) einzuhalten.

7. Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. In diesen Fällen ist sowohl mit externen Auftragnehmern als auch zwischen Unternehmen innerhalb der Diakonie Coburg eine Vereinbarung über eine Auftragsdatenverarbeitung abzuschließen. Dabei behält das beauftragende Unternehmen die volle Verantwortung für die korrekte Durchführung der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Bei der Erteilung des Auftrags sind die nachfolgenden Vorgaben einzuhalten; der beauftragende Fachbereich muss ihre Umsetzung sicherstellen.

7.1       Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der erforderlichen technischen und organisatorischen Schutzmaßnahmen auszuwählen.

7.2       Der Auftrag ist in Schriftform zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und die Verantwortlichkeiten des Auftraggebers und des Auftragnehmers zu dokumentieren.

7.3       Die vom Unternehmensbeauftragten für den Datenschutz bereitgestellten Vertragsstandards müssen beachtet werden.

7.4       Der Auftraggeber muss sich vor Beginn der Datenverarbeitung von der Einhaltung der Pflichten des Auftragnehmers überzeugen. Die Einhaltung der Anforderungen an die Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage               einer geeigneten Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung ist die Kontrolle gegebenenfalls während der Vertragslaufzeit regelmäßig zu wiederholen.

8. Rechte des Betroffenen

Alle Betroffenen können die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für den Betroffenen zu keinerlei Nachteilen führen.

8.1       Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind. Das Recht auf Einsicht in die Personalakte im Beschäftigungsverhältnis bleibt hiervon                       unberührt.

8.2       Werden personenbezogene Daten an Dritte übermittelt, muss auch über die Identität des Empfängers oder über die Kategorien von Empfängern Auskunft gegeben werden.

8.3       Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre Berichtigung oder Ergänzung verlangen.

8.4       Die Betroffenen können der Verarbeitung ihrer personenbezogenen Daten zu Zwecken der Werbung oder der Markt- und Meinungsforschung sowie zum Spendenmarketing widersprechen. Für diese Zwecke müssen die Daten gesperrt werden.

8.5       Die Betroffenen sind berechtigt, die Löschung ihrer Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf             oder aus anderen Gründen entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende schutzwürdige Interessen müssen beachtet werden.

8.6       Die Betroffenen haben ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung ihrer Daten, das zu berücksichtigen ist, wenn ihr schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation das Interesse an der                      Verarbeitung überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.

9. Vertraulichkeit der Verarbeitung

Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung, Verarbeitung oder Nutzung ist den Mitarbeitenden untersagt. Unbefugt ist jede Verarbeitung, die vorgenommen wird, ohne damit im Rahmen der Erfüllung der Aufgaben betraut und entsprechend berechtigt zu sein. Es gilt das Need-to-know-Prinzip: Mitarbeitende dürfen nur Zugang zu personenbezogenen Daten erhalten, wenn und soweit dies für ihre jeweiligen Aufgaben erforderlich ist. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.

Mitarbeitende dürfen personenbezogene Daten nicht für eigene private oder wirtschaftliche Zwecke nutzen, an Unbefugte übermitteln oder diesen auf andere Weise zugänglich machen. Vorgesetze müssen ihre Mitarbeitenden bei Beginn des Beschäftigungsverhältnisses über die Pflicht zur Wahrung des Datengeheimnisses unterrichten. Diese Verpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

10. Sicherheit der Verarbeitung

Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Dies gilt unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung neuer Verfahren der Datenverarbeitung, insbesondere neuer IT-Systeme, sind technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen. Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden Risiken und dem Schutzbedarf der Daten zu orientieren.

Die technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind Teil des Informationssicherheitsmanagements der Diakonie Coburg und müssen kontinuierlich an die technischen Entwicklungen und an organisatorische Änderungen angepasst werden.

11. Datenschutzkontrolle

Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze wird regelmäßig durch Datenschutzaudits und weitere Kontrollen überprüft. Die Durchführung obliegt dem Unternehmensbeauftragten für den Datenschutz, oder beauftragten externen Prüfern.

Die Ergebnisse der Datenschutzkontrollen sind dem Unternehmensbeauftragten für den Datenschutz mitzuteilen. Die Aufsichtsgremien der Diakonie Coburg sind im Rahmen der jeweiligen Berichtspflichten über wesentliche Ergebnisse zu informieren. Einmal pro Jahr wird in den Aufsichtsgremien allgemein über den Stand des Datenschutzes informiert.

12. Datenschutzvorfälle

Jeder Mitarbeiter soll seinem jeweiligen Vorgesetzten, seinem Datenschutzkoordinator oder dem Unternehmensbeauftragten für den Datenschutz unverzüglich Fälle von Verstößen gegen diese Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten (Datenschutzvorfälle) melden. Die für die Funktion oder die Einheit verantwortliche Führungskraft ist verpflichtet, den zuständigen Datenschutzkoordinator oder den Unternehmensbeauftragten für den Datenschutz umgehend über Datenschutzvorfälle zu unterrichten.

13. Verantwortlichkeiten und Sanktionen

Die Vorstände und Geschäftsführungen der Gesellschaften sind verantwortlich für die Datenverarbeitung in ihrem Verantwortungsbereich. Damit sind sie verpflichtet sicherzustellen, dass die gesetzlichen und die in der Datenschutzrichtlinie enthaltenen Anforderungen des Datenschutzes berücksichtigt werden. Es ist eine Managementaufgabe der Führungskräfte, durch organisatorische, personelle und technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des Datenschutzes sicherzustellen. Die Umsetzung dieser Vorgaben liegt in der Verantwortung der zuständigen Mitarbeiter. Bei Datenschutzkontrollen durch Behörden ist der Unternehmensbeauftragte für den Datenschutz umgehend zu informieren.

Die jeweiligen Geschäftsführungen und Dienststellenleitungen müssen dem Unternehmensbeauftragten für den Datenschutz einen Datenschutzkoordinator benennen. Organisatorisch kann diese Aufgabe in Abstimmung mit dem Konzernbeauftragten für den Datenschutz auch durch einen Datenschutzkoordinator für mehrere Gesellschaften oder Dienststellen wahrgenommen werden. Die Datenschutzkoordinatoren sind vor Ort Ansprechpartner für den Datenschutz. Sie stellen das Einhalten der Vorschriften in ihrem Bereich sicher. Und sind Ansprechpartner für die Mitarbeitenden vor Ort.

Die jeweiligen Geschäftsführungen und Dienststellenleiter sind verpflichtet, den Unternehmensbeauftragten für den Datenschutz und die Datenschutzkoordinatoren in ihrer Tätigkeit zu unterstützen. Die für Geschäftsprozesse und Projekte fachlich Verantwortlichen müssen die Datenschutzkoordinatoren rechtzeitig über neue Verarbeitungen personenbezogener Daten informieren. Bei Datenverarbeitungsvorhaben, aus denen sich besondere Risiken für Persönlichkeitsrechte der Betroffenen ergeben können, ist der Unternehmensbeauftragte für den Datenschutz schon vor Beginn der Verarbeitung zu beteiligen. Dies gilt insbesondere für besonders schutzwürdige personenbezogene Daten. Die Führungskräfte müssen sicherstellen, dass ihre Mitarbeitenden im erforderlichen Umfang zum Datenschutz geschult werden.

14. Der Unternehmensbeauftragte für den Datenschutz

Der Unternehmensbeauftragte für den Datenschutz als internes, fachlich weisungsunabhängiges Organ wirkt auf die Einhaltung der Datenschutzvorschriften hin. Er ist verantwortlich für die Richtlinien zum Datenschutz und überwacht deren Einhaltung. Der Unternehmensbeauftragte für den Datenschutz wird vom Vorstand der Diakonie Coburg bestellt und ist ihm berichtspflichtig.

Alle Betroffenen können sich mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an den Unternehmensbeauftragten für den Datenschutz oder an den für ihn zuständigen Datenschutzkoordinator wenden. Anfragen und Beschwerden werden auf Wunsch vertraulich behandelt.

Kann der zuständige Datenschutzkoordinator einer Beschwerde nicht abhelfen oder einen Verstoß gegen Datenschutzrichtlinien nicht abstellen, muss er den Unternehmensbeauftragten für den Datenschutz einschalten. Dessen Entscheidungen zur Abhilfe der Datenschutzverletzung sind durch die jeweiligen Geschäftsführungen zu berücksichtigen. Anfragen von Aufsichtsbehörden sind immer auch dem Unternehmensbeauftragten für den Datenschutz zur Kenntnis zu bringen.

Der Unternehmensbeauftragte kann erreicht werden unter:

Diakonie Coburg, Unternehmensbeauftragter für den Datenschutz,

Alte Straße 5

96482 Ahorn

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

15. Definitionen

+ Besonders schutzwürdige Daten sind Daten über die rassische und ethnische Herkunft, über politische Meinungen, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit oder das Sexualleben des Betroffenen. Aufgrund staatlichen Rechts können weitere Datenkategorien als besonders schutzwürdig eingestuft oder der Inhalt der Datenkategorien unterschiedlich ausgefüllt sein. Ebenso dürfen Daten, die Straftaten betreffen, häufig nur unter besonderen, von staatlichem Recht aufgestellten Voraussetzungen verarbeitet werden. »

+ Betroffene im Sinne dieser Datenschutzrichtlinie ist jede natürliche Person, über die Daten verarbeitet werden.

+ Datenschutzvorfälle sind alle Ereignisse, bei denen der begründete Verdacht besteht, dass personenbezogene Daten rechtswidrig ausgespäht, erhoben, verändert, kopiert, übermittelt oder genutzt wurden. Das kann sich sowohl auf Handlungen durch Dritte als auch Mitarbeitende beziehen.

+ Dritter ist jeder außerhalb des Betroffenen und der für die Datenverarbeitung verantwortlichen Stelle.

+ Auftragsdatenverarbeiter sind nicht Dritte im Sinne des Datenschutzrechtes, da sie gesetzlich der verantwortlichen Stelle zugeordnet sind.

+ Einwilligung ist eine freiwillige, rechtsverbindliche Einverständniserklärung in eine Datenverarbeitung.

+ Erforderlich ist die Verarbeitung personenbezogener Daten, wenn der zulässige Zweck oder das berechtigte Interesse ohne die jeweiligen personenbezogenen Daten nicht oder nur mit unverhältnismäßig hohem Aufwand zu erreichen ist.

+ Personenbezogene Daten sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Bestimmbar ist eine Person z.B. dann, wenn der Personenbezug durch eine Kombination von Informationen mit auch nur zufällig               vorhandenem Zusatzwissen hergestellt werden kann.

+ Übermittlung ist jede Bekanntgabe von geschützten Daten durch die verantwortliche Stelle an Dritte (!).

+ Verarbeitung personenbezogener Daten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang zur Erhebung, Speicherung, Organisation, Aufbewahrung, Veränderung, Abfrage, Nutzung, Weitergabe, Übermittlung, Verbreitung     oder der Kombination und der Abgleich von Daten. Dazu gehört auch das Entsorgen, Löschen und Sperren von Daten und Datenträgern.

+ Verantwortliche Stelle ist diejenige juristisch selbständige Gesellschaft der Diakonie Coburg, deren Geschäftsaktivität die jeweilige Verarbeitungsmaßnahme veranlasst.