Richtlinie „Datenschutz“ - Unify

unify.com

Richtlinie „Datenschutz“ - Unify

Richtlinienstandard

L2-13

Datenschutz

Unify

Datenschutz- und Informationssicherheitsregelwerk

Version 2.2 vom 31.10.2013

Corporate Data Privacy and Information Security Office


Inhaltsverzeichnis

1. Grundsätze 3

1.1. Ziele 3

1.2. Zielgruppen 3

1.3. Geltungsbereich 3

1.4. Verhältnis zu gesetzlichen Regelungen 3

1.5. Mögliche Risiken 4

2. Begriffsbestimmungen 5

3. Grundsätze für die Verarbeitung personenbezogener Daten 7

3.1. Zuständigkeit der Verantwortlichen Stelle 7

3.2. Zulässigkeit der Datenverarbeitung 7

3.3. Zweckbestimmung 7

3.4. Transparenz 7

3.5. Datenqualität 8

3.6. Übermittlung von personenbezogenen Daten 8

3.7. Besondere Arten personenbezogener Daten 8

3.8. Direktmarketing/Markt- oder Meinungsforschung 9

3.9. Automatisierte Einzelentscheidungen 9

3.10. Datensicherheit 9

3.11. Vertraulichkeit der Datenverarbeitung 10

3.12. Datenverarbeitung im Auftrag 10

3.13. Rechte der Betroffenen 10

3.14. Meldung von Datenschutzverstößen 11

4. Regeln 12

4.1. Regeln für Benutzer 12

4.1.1. Allgemeine Regeln 12

4.2. Regeln für Führungskräfte 13

4.2.1. Allgemeine Regeln 13

4.3. Regeln für Betreiber, Administratoren bzw. Operatoren 13

4.3.1. Allgemeine Regeln 13

5. Ausnahmen und Abweichungen 14

6. Regeln in Tabellenform 15

6.1. Tabelle für Benutzer 15

6.2. Tabelle für Führungskräfte 15

6.3. Tabelle für Betreiber, Administratoren bzw. Operatoren 16

2

L2-13 Datenschutz öffentlich


1. Grundsätze

1.1. Ziele

Diese Richtlinie enthält grundsätzliche Regelungen zum Umgang mit personenbezogenen

Daten über ihren gesamten Lebenszyklus und definiert einen Grundschutz. Sie gilt als

Rahmenrichtlinie für die Verarbeitung personenbezogener Daten von Mitarbeitern,

Kunden, Lieferanten, anderen Geschäftspartnern, Interessenten und sonstigen

Betroffenen durch alle rechtlich selbständigen Einheiten der Unify ungeachtet der

Herkunft dieser Daten.

Bestehen aufgrund nationaler Gesetze oder betrieblicher Anforderungen bereits

weiterführende Regelungen, so sind diese als vorrangig zu betrachten und um fehlende

Aspekte aus dieser Richtlinie zu ergänzen.

1.2. Zielgruppen

Diese Richtlinie richtet sich an Benutzer, Führungskräfte, Betreiber / Administratoren /

Operatoren und Entwickler.

1.3. Geltungsbereich

Diese Richtlinie wird von der Unify GmbH & Co. KG („Unify“) herausgegeben. Sie gilt für

alle Mitarbeiter der Unify. Sie gilt des Weiteren aufgrund Vollmacht vom 13. März 2009

für alle Mitarbeiter aller Gesellschaften, an denen der Enterprise Networks Holdings, B.V.

direkt oder indirekt die Mehrheit der Anteile gehört oder die Mehrheit der Stimmrechte

zusteht.

Die Geschäftsführung jeder Gesellschaft ist verpflichtet, diese Richtlinie in der von ihr

geführten Gesellschaft umzusetzen und für deren Einhaltung Sorge zu tragen.

Länderspezifische Abweichungen von dieser Richtlinie sind nur zulässig, soweit

zwingendes Landesrecht dies verlangt (siehe Kapitel 5). Abweichungen von dieser

Richtlinie sind der Unify unverzüglich mitzuteilen.

1.4. Verhältnis zu gesetzlichen Regelungen

Bestehende gesetzliche Regelungen werden von dieser Richtlinie nicht berührt.

Jede rechtlich selbständige Einheit muss eigenverantwortlich prüfen, ob es gesetzliche

Regelungen zum Datenschutz gibt und deren Beachtung und Einhaltung sicherstellen.

Falls solche Verpflichtungen im Widerspruch zu den Pflichten aus dieser Richtlinie stehen,

hat die betroffene rechtlich selbständige Einheit dies unverzüglich dem Corporate Data

Privacy Officer (CDPO) mitzuteilen sowie die rechtlich selbständigen Einheiten in den

Staaten zu unterrichten, die bis dahin Daten an sie übermittelt haben, auch wenn diese

gesetzlichen Verpflichtungen sich nachträglich ergeben. Der CDPO wird in einem solchen

3

L2-13 Datenschutz öffentlich


Fall gemeinsam mit den betreffenden rechtlich selbständigen Einheiten nach einer

praktikablen Lösung suchen und diese dokumentieren.

Unify, Inc. (eine Delaware Corporation) erfüllt die Anforderungen des U.S.-EU Safe Harbor

Frameworks und des U.S.-Swiss Safe Harbor Frameworks des U.S. Department of

Commerce hinsichtlich der Erhebung, Nutzung und Aufbewahrung personenbezogener

Daten aus Europäischer Mitgliedsstaaten und der Schweiz. Unify, Inc. hat sich dazu

verpflichtet, dass sie sich an die Safe Harbor Prinzipien Informationspflicht,

Wahlmöglichkeit, Weitergabe, Sicherheit, Datenintegrität, Zugangsrecht und

Durchsetzung hält. Wenn Sie mehr über das Safe Harbor Programm erfahren und das

Zertifikat der Unify, Inc. sehen wollen, besuchen Sie bitte die Internetseite

http://www.export.gov/safeharbor/.

1.5. Mögliche Risiken

Werden personenbezogene Daten offengelegt, können Persönlichkeitsrechte verletzt

werden. Die Gefahr des Missbrauchs ist hier besonders hoch.

Verstöße gegen gesetzliche Bestimmungen zum Datenschutz werden in einigen Staaten

als Ordnungswidrigkeit oder Straftat verfolgt. Der Geschädigte kann Schadensersatz

verlangen.

Aufgrund rechtlicher Verpflichtung in einigen Staaten, bei Verlust bzw. unrechtmäßiger

Offenlegung von personenbezogenen Daten ein öffentliches Statement abgeben zu

müssen, ist in solchen Fällen mit Imageschädigung zu rechnen.

Weitere Risiken sind beispielsweise der Verlust des Zertifizierungsstatus (z. B. ISO 27001)

sowie der Ausschluss von öffentlichen Ausschreibungen.

4

L2-13 Datenschutz öffentlich


2. Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck














Auftragnehmer: die natürliche oder juristische Person, die personenbezogene Daten im

Auftrag einer verantwortlichen Stelle verarbeitet;

Betroffener: jede bestimmte oder bestimmbare natürliche Person, deren Daten

verarbeitet werden. Bestimmbar ist eine Person dann, wenn sie direkt oder indirekt

identifiziert wer- den kann, z. B. durch Zuordnung zu einer Kennziffer (je nach lokalem

Recht kann ein Betroffener auch eine juristische Person sein);

Datenschutzverstoß/-verletzung: eine unzulässige Erhebung, Nutzung und

Weitergabe/Übermittlung von bzw. unzulässige Gewährung von Zugriffen auf oder die

unbeabsichtigte Offenlegung von personenbezogenen Daten sowie den Verlust

personenbezogener Daten aufgrund unzureichender technischer und organisatorischer

Maßnahmen zu deren Sicherheit (z. B. Data-Leakage);

Dritter: jede natürliche oder juristische Person, die nicht Betroffener ist und nicht der

verantwortlichen Stelle zuzurechnen ist;

Drittländer: im Sinn dieser Datenschutzrichtlinie alle Staaten, die nicht zu den Staaten

gehören, die über ein angemessenes Datenschutzniveau im Sinne von Artikel 25 der EU-

Richtlinie Nr. 95/46/EG vom 24.10.1995 (Amtsblatt Nr. L281/31) verfügen. Die Staaten mit

einem angemessenen Datenschutzniveau umfassen die Mitgliedsstaaten der Europäischen

Union (EU), die anderen Vertragsstaaten des Abkommens über den Europäischen

Wirtschaftsraum (EWR) und die durch Feststellung der EU-Kommission anerkannten

Staaten;

Einwilligung: eine ohne Zwang und in Kenntnis der Sachlage erfolgte Willensäußerung,

mit der der Betroffene akzeptiert, dass seine personenbezogenen Daten verarbeitet

werden (besondere Anforderungen an eine Einwilligung können sich aus dem jeweiligen

nationalen Recht ergeben und für die Wirksamkeit der Einwilligung bedeutsam sein);

EU/EWR-Staat: die Mitgliedsstaaten der Europäischen Union (EU) sowie die

Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR);

Kunden und Lieferanten: die natürlichen und juristischen Personen, mit denen eine

Geschäftsbeziehung besteht oder geplant ist;

Personenbezogene Daten: alle Informationen über einen Betroffenen;

Rechtlich selbständige Einheit (Legal Entity): jedes Unternehmen der Unify;

Übermittlung personenbezogener Daten/Datenübermittlung: die Weitergabe

personenbezogener Daten, ihre Verbreitung oder jede Form der Bereitstellung zur

Ansicht oder zum Abruf an Dritte;

Verantwortliche Stelle: im Verhältnis zu Dritten die rechtlich selbständige Einheit der

Unify, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der

Verarbeitung personenbezogener Daten entscheidet;

Verarbeitung personenbezogener Daten/Datenverarbeitung: jeden mit oder ohne Hilfe

automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im

Zusammenhang mit personenbezogenen Daten - wie etwa das Erheben, Speichern, die

Aufbewahrung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die

5

L2-13 Datenschutz öffentlich


Nutzung, die Weitergabe durch Übermittlung sowie das Sperren, Löschen oder

Vernichten.

6

L2-13 Datenschutz öffentlich


3. Grundsätze für die Verarbeitung

personenbezogener Daten

Bei der Verarbeitung aller Arten personenbezogener Daten durch rechtlich selbständige

Einheiten in einem Land gelten die folgenden Grundsätze.

3.1. Zuständigkeit der Verantwortlichen Stelle

Zuständig für die Rechtmäßigkeit/Zulässigkeit der Verarbeitung personenbezogener

Daten in einer rechtlich selbständigen Einheit ist immer die Geschäftsleitung selbst als

Verantwortliche Stelle. Sie hat die Einhaltung der nachfolgenden Grundsätze für die

Verarbeitung personenbezogener Daten sicherzustellen.

Bei allen Tätigkeiten der Datenverarbeitung hat die von der Geschäftsleitung mit der

Datenverarbeitung beauftragte Fachabteilung die Verantwortung und die

Dokumentationspflicht gegenüber der Geschäftsleitung, die nicht weiter delegiert werden

dürfen. Sie hat jedoch das Recht, bei der Umsetzung die fachliche Unterstützung anderer

Fachabteilung sowie Stabsfunktionen einzufordern.

3.2. Zulässigkeit der Datenverarbeitung

Die Verarbeitung der in Ziffer 1.1 Abs. 1 genannten personenbezogenen Daten ist nur

zulässig, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:





Der Betroffene hat eine wirksame Einwilligung erteilt.

Die Verarbeitung dient der Zweckbestimmung eines Vertragsverhältnisses oder

vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen.

Die Verarbeitung ist zur Wahrung berechtigter Interessen der verantwortlichen Stelle

erforderlich und es besteht kein Grund zu der Annahme, dass das schutzwürdige

Interesse des Betroffenen an dem Ausschluss der Verarbeitung überwiegt.

Die Verarbeitung wird durch nationale Rechtsvorschriften angeordnet oder erlaubt.

3.3. Zweckbestimmung

Personenbezogene Daten dürfen nur für die schriftlich festgelegten, eindeutigen und

rechtmäßigen Zwecke erhoben und verarbeitet werden. Zweckänderungen sind nur mit

Einwilligung des Betroffenen zulässig oder wenn das jeweilige nationale Recht des

Datenexporteurs dies zulässt.

3.4. Transparenz

Betroffene, deren personenbezogene Daten übermittelt werden, müssen von der

empfangenden rechtlich selbständigen Einheit (Importeur) – ggf. in Absprache mit dem

Exporteur - die folgenden Informationen erhalten:


Identität der verantwortlichen Stelle

7

L2-13 Datenschutz öffentlich


Zweckbestimmung der Übermittlung

andere Informationen, sofern dies aus Billigkeitsgründen erforderlich ist, z.B.

o Auskunfts-, Berichtigungs- und Löschungsrechte

o Widerspruchsrecht bei Werbung.

Diese Informationen können unterbleiben, wenn





dies zum Schutz des Betroffenen oder der Rechte und Pflichten anderer Personen notwendig

ist oder

der Betroffene bereits informiert ist oder

damit ein unverhältnismäßiger Aufwand verbunden ist oder

die Daten öffentlich zugänglich sind und eine Information wegen der Vielzahl der

betroffenen Fälle unverhältnismäßig ist.

3.5. Datenqualität

Personenbezogene Daten müssen sachlich richtig und – wenn nötig – auf dem neuesten

Stand sein. Es sind angemessene Maßnahmen dafür zu treffen, dass nicht zutreffende oder

unvollständige Daten berichtigt oder gelöscht werden. Die Datenverarbeitung hat sich an

dem Ziel auszurichten, nur die erforderlichen personenbezogenen Daten, d. h. so wenig

personenbezogene Daten wie möglich, zu erheben, zu verarbeiten oder zu nutzen.

Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung

Gebrauch zu machen, soweit der Aufwand in einem angemessenen Verhältnis zu dem

angestrebten Zweck steht.

Statistische Auswertungen oder Untersuchungen, die auf der Basis anonymisierter oder

pseudonymisierter Daten erfolgen, sind nicht datenschutzrelevant, soweit die Daten den

Rückschluss auf den Betroffenen nicht mehr ermöglichen.

Personenbezogene Daten, die für die Geschäftszwecke, für die sie ursprünglich erhoben

und gespeichert wurden, nicht mehr benötigt werden, sind unter Beachtung gesetzlich

vorgeschriebener Aufbewahrungsfristen aufzubewahren. Falls keine

Aufbewahrungsfristen mehr bestehen, sind personenbezogene Daten zeitnah zu löschen,

soweit dem keine anderen vertraglichen Regelungen entgegenstehen. Die jeweiligen

Aufbewahrungs- und Löschfristen sind im Einzelfall zu dokumentieren.

3.6. Übermittlung von personenbezogenen Daten

Bei der Übermittlung personenbezogener Daten innerhalb des Landes, in dem sie erhoben

wurden, sind die in diesem Land bestehenden gesetzlichen Verpflichtungen zu erfüllen.

Bei Übermittlung personenbezogener Daten der eigenen bzw. anderer rechtlicher

selbständiger Einheiten (innerhalb oder außerhalb der EU/EWR) ist der jeweilige Vorgang

mit dem zuständigen Data Privacy Officer (DPO) der rechtlich selbständigen Einheit zu

klären und abzustimmen.

3.7. Besondere Arten personenbezogener Daten

Die Verarbeitung besonderer Arten personenbezogener Daten, z. B. Angaben über die

rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische

Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, ist

8

L2-13 Datenschutz öffentlich


grundsätzlich untersagt. Sollte dies erforderlich sein, muss der Betroffene ausdrücklich

einwilligen, es sei denn,





der Betroffene ist nicht in der Lage, seine Einwilligung zu geben (z. B. medizinischer

Notfall) oder

der Betroffene hat die betreffenden Daten öffentlich gemacht oder

die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher

Ansprüche erforderlich, wenn kein Grund zur Annahme besteht, dass schutzwürdige

Interessen des Betroffenen an dem Ausschluss der Verarbeitung überwiegen oder

die Verarbeitung ist nach dem nationalen Recht gesetzlich geboten (z. B. Erfassung/

Schutz von Minderheiten).

Dies gilt auch, wenn die personenbezogenen Daten im Drittland erhoben werden.

3.8. Direktmarketing/Markt- oder Meinungsforschung

Die Verarbeitung personenbezogener Daten zum Zwecke des Direktmarketings/der

Markt- oder Meinungsforschung ist grundsätzlich zulässig, sofern dies mit dem Zweck der

ursprünglichen Datenerhebung zu vereinbaren ist und das nationale Recht keine

strengeren Regelungen aufstellt (z.B. eine Einwilligung fordert). Jedoch hat der Betroffene

das Recht, dieser Verwendung seiner Daten jederzeit zu widersprechen). In diesem Fall

sind die Daten für diesen Zweck zu sperren.

3.9. Automatisierte Einzelentscheidungen

Werden personenbezogene Daten mit dem Ziel verarbeitet, eine automatisierte Einzelentscheidung

zu treffen, müssen die berechtigten Interessen des Betroffenen durch geeignete

Maßnahmen gewährleistet werden. Entscheidungen, die für den Betroffenen negative

rechtliche Folgen nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht

ausschließlich auf eine automatisierte Einzelentscheidung, die der Bewertung einzelner

Persönlichkeitsmerkmale (z. B. Kreditwürdigkeit) dient, gestützt, d.h. nicht ausschließlich

durch Verwendung von Informationstechnik getroffen werden. Automatisierte Verfahren

dürfen grundsätzlich nur als Hilfsmittel für eine solche Entscheidung genutzt werden.

Eine Ausnahme gilt nur, wenn die Interessen des Betroffenen durch Informationen über

die Logik der Entscheidung und die Möglichkeit zur Stellungnahme gewahrt werden. Für

den Fall einer Stellungnahme des Betroffenen ist die verantwortliche Stelle verpflichtet,

ihre Entscheidung zu überprüfen.

3.10. Datensicherheit

Die verantwortlichen Stellen haben die zur Gewährleistung der erforderlichen

Datensicherheit angemessenen technisch-organisatorischen Maßnahmen zu treffen, die

die personenbezogenen Daten gegen unbeabsichtigte oder unrechtmäßige Löschung,

Veränderung oder gegen Verlust und gegen unberechtigte Weitergabe oder

unberechtigten Zugriff schützen. Die Maßnahmen beziehen sich insbesondere auf

Rechner (Server und Arbeitsplatzrechner), Netze bzw. Kommunikationsverbindungen

sowie Applikationen und ergeben sich aus der Umsetzung des Datenschutz- und

Informationssicherheitsregelwerks in der jeweils geltenden Fassung, das nicht nur die

Verarbeitung von Daten über natürliche Personen abdeckt, sondern die gesamte

Informationsverarbeitung.

9

L2-13 Datenschutz öffentlich


3.11. Vertraulichkeit der Datenverarbeitung

Nur autorisierte und auf die Einhaltung des Datenschutzes besonders hingewiesene

Mitarbeiter dürfen personenbezogene Daten erheben, verarbeiten oder nutzen. Es ist

untersagt, solche personenbezogenen Daten für eigene private Zwecke zu nutzen, an nicht

Berechtigte zu übermitteln oder diesen auf andere Weise zugänglich zu machen. Unbefugt

in diesem Sinne sind z. B. auch Mitarbeiter, sofern sie die Daten nicht zur Erledigung der

ihnen obliegenden Fachaufgaben benötigen.

3.12. Datenverarbeitung im Auftrag

Wenn rechtlich selbständige Einheiten einen Dritten mit der Verarbeitung

personenbezogener Daten beauftragen, gilt zusätzlich folgendes:






Es ist ein Auftragnehmer auszuwählen, der die für die datenschutzgerechte Verarbeitung

erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen gewährleistet.

Gegebenenfalls werden auch der (remote) System-Support und die Wartung von

automatisierten Verfahren bzw. IT- und Kommunikationseinrichtungen durch Dritte als

Datenverarbeitung im Auftrag eingeordnet, wenn dabei ein Zugriff auf personenbezogene

Daten nicht ausgeschlossen werden kann.

Die Durchführung der Datenverarbeitung im Auftrag muss in einem schriftlich oder

anderweitig dokumentierten Vertrag (z. B. Datenschutzvereinbarung) geregelt werden, in

dem die Rechte und Pflichten des Auftragnehmers festgelegt werden.

Der Auftragnehmer ist vertraglich zu verpflichten, die vom Auftraggeber erhaltenen

Daten nur im Rahmen des Auftrages und der vom Auftraggeber erteilten Weisungen zu

verarbeiten und diese Verarbeitung zu überwachen und zu dokumentieren.

Verarbeitungen zu eigenen Zwecken oder zu Zwecken Dritter müssen vertraglich

ausgeschlossen werden.

Der Auftraggeber bleibt verantwortlich für die Zulässigkeit der Verarbeitung und ist

Ansprechpartner für den Betroffenen (Kunde, Mitarbeiter, etc) und übt seine

Kontrollpflichten aus.

3.13. Rechte der Betroffenen

Der Betroffene hat hinsichtlich seiner personenbezogenen Daten bestimmte

unabdingbare Rechte:





Er kann Auskunft (auch schriftlich) über die zu seiner Person gespeicherten Daten

verlangen, ebenso über ihre Herkunft und zu welchem Zweck sie gespeichert sind.

Bei Übermittlung hat er ein Recht auf Auskunft auch über die Empfänger bzw. die

Kategorien von Empfängern. Ein Recht auf Auskunft besteht nicht, wenn damit die

Offenbarung von Geschäftsgeheimnissen verbunden ist.

Er hat ein Recht auf Berichtigung, wenn sich herausstellt, dass seine personenbezogenen

Daten unrichtig oder unvollständig sind.

Er hat ein Recht auf Sperrung seiner Daten, wenn sich weder ihre Richtigkeit noch ihre

Unrichtigkeit feststellen lässt.

Er hat ein Recht auf Löschung seiner Daten, wenn die Datenverarbeitung unzulässig war

oder die Daten für den Zweck der Datenverarbeitung nicht mehr erforderlich sind.

Bestehen gesetzliche Aufbewahrungspflichten, tritt an die Stelle der Löschung die

Sperrung der Daten.

10

L2-13 Datenschutz öffentlich


Er hat ein Recht auf Widerspruch, wenn seine Daten

o zu Werbezwecken oder

o zu Zwecken der Markt- oder Meinungsforschung genutzt werden.

Darüber hinaus hat er ein allgemeines Widerspruchsrecht, das zu berücksichtigen ist,

wenn eine Prüfung ergibt, dass ein schutzwürdiges Interesse des Betroffenen wegen

seiner besonderen, persönlichen Situation das Interesse der verantwortlichen Stelle überwiegt.

Der Betroffene kann diese Rechte außergerichtlich kostenfrei und auch gegenüber der

übermittelnden rechtlich selbständigen Einheit wahrnehmen.

3.14. Meldung von Datenschutzverstößen

Datenschutzverstöße sind die unzulässige Erhebung, Nutzung und Weitergabe/

Übermittlung von personenbezogenen Daten, die unzulässige Gewährung von Zugriffen

auf personenbezogene Daten sowie der Verlust personenbezogener Daten aufgrund

unzureichender technischer und organisatorischer Maßnahmen zu deren Sicherheit.

In einigen Ländern besteht bei Datenschutzverstößen eine gesetzliche Pflicht, die

zuständige Datenschutzaufsichtsbehörde des jeweiligen Landes und/oder die Betroffenen

selbst zu informieren.

Aus diesem Grund ist jeder Datenverstoß umgehend von der Verantwortlichen Stelle an

den lokalen Data Privacy Officer (DPO) der rechtlich selbständigen Einheit und von

diesem an den Corporate Data Privacy Officer (CDPO) zu melden und das weitere

Vorgehen abzusprechen.

11

L2-13 Datenschutz öffentlich


4. Regeln

4.1. Regeln für Benutzer

4.1.1. Allgemeine Regeln














Informationen müssen klassifiziert und entsprechend ihrer Klassifizierung behandelt

werden. Dies gilt u.a. für Kennzeichnung, Versand, Verteilung, Speicherung, Vernichtung,

Löschung, Entsorgung und Aufbewahrung, Weitere detaillierte Regeln zum Umgang mit

schützenswerten Informationen sind in der Richtlinie „Klassifizierung, Kennzeichnung

und Verwendung von Unternehmenswerten“ aufgeführt.

Es ist untersagt, personenbezogene Daten ohne Autorisierung zu erheben, zu verarbeiten

oder zu nutzen. Die Autorisierung ergibt sich aus der verantwortlichen Rolle bzw. aus der

übertragenen Berechtigung des Mitarbeiters, welche zu dokumentieren ist.

Es besteht die Verpflichtung, personenbezogene Daten Unbefugten nicht bekannt zu

geben oder zugänglich zu machen.

Für Fragen im Zusammenhang mit dem Schutz personenbezogener Daten muss der Data

Privacy Officer (DPO) der rechtlich selbständigen Einheit angesprochen werden.

Es muss darauf geachtet werden, dass personenbezogene Daten nur dann erhoben,

verarbeitet oder übermittelt werden, wenn dies gesetzlich zugelassen ist oder der

Betroffene eingewilligt hat.

Personenbezogene Daten dürfen nur erhoben werden, wenn dies zur Erfüllung der

Arbeitsaufgabe tatsächlich notwendig ist.

Betroffene sind entsprechend den gesetzlichen Vorgaben über die Speicherung der Daten

zu benachrichtigen.

Liegen personenbezogene Daten in Papierform vor, so müssen diese jederzeit

verschlossen aufbewahrt werden und dürfen nur befugten Personen zugänglich gemacht

werden.

Auf Wunsch der Betroffenen muss durch das Unternehmen Auskunft über die

Aufbewahrung, Verwendung und Speicherung über die sie betreffenden

personenbezogenen Daten gegeben werden.

Entscheidungen, die für die Betroffenen erhebliche Beeinträchtigungen nach sich ziehen

können, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung

personenbezogener Daten gestützt werden.

Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

Nicht mehr benötigte personenbezogene Daten (z.B. Bewerbungsunterlagen) müssen

unter Berücksichtigung der Aufbewahrungsfristen datenschutzkonform vernichtet

werden.

Bevor personenbezogene Daten an Dritte weitergegeben werden, muss der vorliegende

Sachverhalt von der verantwortlichen Stelle unter Berücksichtigung der jeweiligen

lokalen Rechtsvorschriften und der Erfordernis der Einwilligung der Betroffenen geprüft

und genehmigt werden.

12

L2-13 Datenschutz öffentlich


4.2. Regeln für Führungskräfte

4.2.1. Allgemeine Regeln






Benutzer, die Umgang mit personenbezogenen Daten haben, sind durch die jeweilige

Führungskraft gesondert zu schulen und auf das Datengeheimnis zu verpflichten. Hierbei

sind die länderspezifischen Regelungen zu beachten.

Die Zwecke der Datenverarbeitung, für die personenbezogene Daten erhoben werden,

sind konkret festzulegen und zu dokumentieren. Die Zulässigkeit, Notwendigkeit und

Zweckbindung der Verarbeitung der personenbezogenen Daten sind zu prüfen und die

DV-Verfahren zu dokumentieren.

Die Rechte der Betroffenen sind sicherzustellen, indem die vorgegebenen

Schutzmaßnahmen kontrolliert und die Betroffenen über die Speicherung informiert

werden, sofern sie nicht schon anderweitig Kenntnis von der Verarbeitung haben.

Sofern externe Benutzer, Geschäftspartner oder Betreiber Zugriff auf personenbezogene

Daten erhalten, sind diese schriftlich auf die Einhaltung dieser Richtlinie und

insbesondere auf das Datengeheimnis zu verpflichten. Hierbei sind die länderspezifischen

Regelungen zu beachten.

Entscheidungen zur Beobachtung von öffentlich zugänglichen Räumen mit optischelektronischen

Einrichtungen müssen im Einklang mit gesetzlichen Regelungen stehen.

Landes- bzw. unternehmensspezifische Organe und Mitbestimmungsgremien (z.B.

Betriebsrat) sind in den Entscheidungsprozess einzubeziehen.

4.3. Regeln für Betreiber, Administratoren bzw. Operatoren

4.3.1. Allgemeine Regeln






Die Auswahl und Konfiguration von Informationssystemen muss so erfolgen, dass sie

keine oder so wenig personenbezogene Daten wie möglich erheben, verarbeiten oder

speichern.

Es müssen Maßnahmen und Verfahren zur Pseudonymisierung und Anonymisierung

personenbezogener Daten vorgehalten werden.

Die Handhabung von und Einsicht in Logfiles, die personenbezogene Daten enthalten,

müssen gemäß der lokal geltenden Rechtsvorschriften geregelt und dokumentiert

werden. Dabei ist das Erfordernis der Einwilligung der Betroffenen bzw. ihrer Vertreter zu

prüfen.

Werden personenbezogene Daten zu Testzwecken verwendet, so müssen diese im Vorfeld

pseudonymisiert werden. Ausnahmen müssen durch den Data Privacy Officer (DPO)

genehmigt werden.

Maßnahmen zur Beobachtung von öffentlich zugänglichen Räumen mit optischelektronischen

Einrichtungen müssen im Einklang mit gesetzlichen Regelungen getroffen

werden und unter betrieblichen Mitbestimmungsregelungen erfolgen.

13

L2-13 Datenschutz öffentlich


5. Ausnahmen und Abweichungen

Ausnahmen von den Regeln dieser Richtlinie können nur aus dringenden geschäftlichen

Gründen akzeptiert werden. Dazu ist eine formale, risikobasierte Prozedur gemäß

Richtlinie „Risikoanalyse und Risikomanagement der Informationssicherheit“ zu

durchlaufen, damit sichergestellt ist, dass der Vorgang dokumentiert ist und das Risiko

überwacht wird.

14

L2-13 Datenschutz öffentlich


6. Regeln in Tabellenform

Die folgenden Tabellen enthalten nochmals die Regeln aus dieser Richtlinie in

komprimierter, tabellarischer Darstellung für die jeweiligen Zielgruppen.

6.1. Tabelle für Benutzer

Thema

Allgemeine Regeln














Regeln für Benutzer

Informationen klassifizieren und entsprechend Klassifizierung behandeln (z.B. bei

Kennzeichnung, Versand, Verteilung, Speicherung, Vernichtung, Löschung,

Entsorgung und Aufbewahrung).

Personenbezogene Daten nicht ohne Autorisierung erheben, verarbeiten oder

nutzen.

Personenbezogene Daten Unberechtigten nicht zugänglich machen.

DPO bei Fragen zu personenbezogenen Daten ansprechen.

Personenbezogene Daten nur dann erheben, wenn dies gesetzlich zugelassen ist

oder der Betroffene eingewilligt hat.

Personenbezogene Daten nur dann erheben, wenn dies zur Erfüllung der

Arbeitsaufgabe notwendig ist.

Betroffene über Speicherung personenbezogener Daten benachrichtigen.

Personenbezogene Daten in Papierform müssen jederzeit verschlossen aufbewahrt

und nur befugten Personen zugänglich gemacht werden.

Auskunft über Aufbewahrung, Verwendung und Speicherung auf Wunsch geben.

Entscheidung über Verarbeitung personenbezogener Daten nicht ausschließlich

auf automatisierte Verfahren stützen.

Personenbezogene Daten berichtigen, wenn sie unrichtig sind.

Personenbezogene Daten datenschutzkonform vernichten.

Weitergabe personenbezogener Daten an Dritte nur nach Prüfung und

Genehmigung der verantwortlichen Stelle unter Berücksichtigung der lokalen

Rechtsvorschriften und Erfordernis der Einwilligung der Betroffenen.

6.2. Tabelle für Führungskräfte

Thema

Allgemeine Regeln






Regeln für Führungskräfte

Benutzer, die Umgang mit personenbezogenen Daten haben, gesondert schulen

und auf Datengeheimnis verpflichten.

Zweck für Erhebung personenbezogener Daten festlegen und dokumentieren und

Zulässigkeit, Notwendigkeit und Zweckbindung prüfen.

Rechte Betroffener sicherstellen, indem vorgegebene Schutzmaßnahmen

kontrolliert und die Betroffenen über die Speicherung informiert werden.

Externe Benutzer, Geschäftspartner oder Betreiber schriftlich auf

Richtlinieneinhaltung und Datengeheimnis verpflichten, falls Zugriff auf

personenbezogene Daten besteht.

Entscheidungen zur Beobachtung von öffentlich zugänglichen Räumen in Einklang

mit gesetzlichen Regelungen bringen. Mitbestimmungspflichtige Gremien zur

Entscheidung einbeziehen.

15

L2-13 Datenschutz öffentlich


6.3. Tabelle für Betreiber, Administratoren bzw. Operatoren

Thema

Allgemeine Regeln






Regeln für Betreiber, Administratoren bzw. Operatoren

Informationssysteme so auswählen und konfigurieren, dass keine oder so wenig

personenbezogene Daten wie möglich erhoben, verarbeitet oder gespeichert

werden.

Maßnahmen und Verfahren zur Pseudonymisierung und Anonymisierung

personenbezogener Daten vorhalten.

Handhabung von und Einsicht in Logfiles, die personenbezogene Daten enthalten,

gemäß der lokal geltenden Rechtsvorschriften regeln und dokumentieren.

Erfordernis der Einwilligung der Betroffenen bzw. ihrer Vertreter prüfen.

Personenbezogene Daten bei Tests pseudonymisieren. Ausnahmen durch DPO

genehmigen.

Gesetzliche Regelungen und betriebliche Mitbestimmungsregelungen befolgen, bei

Beobachtung öffentlich zugänglicher Räume.

16

L2-13 Datenschutz öffentlich


About Unify

Unify—formerly known as Siemens Enterprise Communications—is one of the world’s largest communications software

and services firms. Our solutions unify multiple networks, devices and applications into one easy-to-use platform that

allows teams to engage in rich and meaningful conversations. The result is a transformation of how the enterprise

communicates and collaborates that amplifies collective effort, energizes the business, and dramatically improves

business performance. Born out of the engineering DNA of Siemens, Unify builds on this heritage of product reliability,

innovation, open standards and security to provide integrated communications solutions for 75% of the Global 500.

Unify is a joint venture of The Gores Group and Siemens AG.

unify.com

Copyright © Unify GmbH & Co. KG, 2013

Hofmannstr. 51, D-81379 Munich, Germany

All rights reserved.

Reference No.: A31002-P3010-D101-2-7629

The information provided in this document contains merely general descriptions or

characteristics of performance which in case of actual use do not always apply as described

or which may change as a result of further development of the products. An obligation to

provide the respective characteristics shall only exist if expressly agreed in the terms of

contract. Availability and technical specifications are subject to change without notice.

Unify, OpenScape, OpenStage and HiPath are registered trademarks of Unify GmbH & Co. KG.

All other company, brand, product and service names are trademarks or registered trademarks

of their respective holders.

Weitere Magazine dieses Users
Ähnliche Magazine