- English
- Deutsch
- Français
- Nederlands
Strategie für den schutz personenbezogener daten
1. Zweck, Geltungsbereich und Benutzer
Ralawise, im Folgend bezeichnet als das "Unternehmen", strebt die Einhaltung der in den Ländern, in denen das Unternehmen operiert, für den Schutz personenbezogener Daten geltenden Gesetze und Verordnungen an. Diese Strategie legt die Grundsätze fest, die das Unternehmen bei der Verarbeitung der personenbezogenen Daten von Verbrauchern, Kunden, Lieferanten, Geschäftspartnern, Mitarbeitern und sonstigen Individuen befolgt, und zeigt, welche Verantwortung den unterschiedlichen Abteilungen und Mitarbeitern des Unternehmens bei der Verarbeitung personenbezogener Daten zukommt.
Diese Strategie gilt für das Unternehmen und die direkt oder indirekt von ihm kontrollierten, in seinem 100%igen Besitz stehenden Tochterunternehmen, die innerhalb des Europäischen Wirtschaftsraums (EWR) tätig sind oder personenbezogene Daten betroffener Personen verarbeiten.
Benutzer dieser Unterlage sind alle ständigen oder zeitweiligen Mitarbeiter und alle für das Unternehmen tätig werdenden Vertragspartner.
2. Begriffsbestimmungen
Die folgenden in dieser Unterlage verwendeten Begriffsbestimmungen wurden Artikel 4 der Datenschutzgrundverordnung (DSGVO) der Europäischen Union entnommen:
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Sensible personenbezogene Daten Personenbezogene Daten, die ihrer Natur nach besonders sensibel im Hinblick auf Grundrechte und -freiheiten sind, verdienen besonderen Schutz, da der Kontext ihrer Verarbeitung diese Grundrechte und -freiheiten erheblich gefährden könnte. Zu diesen personenbezogenen Daten gehören solche, die Aufschluss über die rassische oder ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, die Zugehörigkeit zu einer Gewerkschaft geben, genetische Daten oder biometrische Daten zum ausschließlichen Zweck der Identifizierung einer natürlichen Person, Gesundheitsdaten oder Informationen über das Sexleben oder die sexuelle Orientierung einer natürlichen Person.
Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung der Daten.
Anonymisierung: Die unumkehrbare Unkenntlichmachung personenbezogener Daten, so dass die Person mit einem vernünftigen Aufwand an Zeit, Kosten und Technologie weder durch den Verantwortlichen noch durch eine andere Person, die dieses Individuum identifizieren möchte, identifiziert werden kann. Die für die Verarbeitung personenbezogener Daten geltenden Grundsätze beziehen sich nicht auf anonymisierte Daten, da diese nicht mehr personenbezogen sind.
Pseudonymisierung Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Die Pseudonymisierung schmälert die Möglichkeit, personenbezogene Daten einer betroffenen Person zuzuordnen, schließt sie jedoch nicht völlig aus. Da pseudonymisierte Daten nach wie vor personenbezogene Daten sind, muss ihre Verarbeitung die für die Verarbeitung personenbezogener Daten geltenden Grundsätze befolgen.
Grenzüberschreitende Verarbeitung personenbezogener Daten: Eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedsstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedsstaat niedergelassen ist, oder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedsstaat hat oder haben kann.
Aufsichtsbehörde: Eine von einem Mitgliedstaat gemäß Artikel 51 der EU DSGVO eingerichtete unabhängige staatliche Stelle;
Hauptaufsichtsbehörde: Die Aufsichtsbehörde mit der Hauptverantwortung für die grenzüberschreitende Verarbeitung personenbezogener Daten, zum Beispiel wenn eine betroffene Person eine Beschwerde über die Verarbeitung ihrer personenbezogenen Daten einreicht; sie ist unter anderem Ansprechpartner für die Annahme von Mitteilungen über Datenschutzverletzungen, muss über riskante Verarbeitungstätigkeiten informiert werden und trägt im Hinblick auf ihre Pflichten die volle Verantwortung für die Einhaltung der Bestimmungen der EU DSGVO.
Jede “lokale Aufsichtsbehörde” besteht in ihrem Zuständigkeitsgebiet fort und überwacht jede lokale Datenverarbeitung, die sich auf betroffene Personen bezieht oder von einem EU- oder Nicht-EU-Verantwortlichen oder Auftragsverarbeiter vorgenommen wird, wenn die von deren Datenverarbeitung betroffenen Personen auf dem Gebiet der Behörde ansässig sind. Zu den Aufgaben und Befugnissen der Behörde gehört die Durchführung von Untersuchungen und die Einleitung von Verwaltungs- und Strafmaßnahmen, die Sensibilisierung der Öffentlichkeit für die Gefahren, Regeln, die Sicherheit und Rechte in Zusammenhang mit der Verarbeitung personenbezogener Daten sowie die Erlangung von Zugang zu den Räumlichkeiten des Verantwortlichen und des Auftragsverarbeiters, sowie zu sämtlichen Datenverarbeitungsgeräten und -mitteln.
“Hauptniederlassung im Falle eines Verantwortlichen” mit Niederlassungen in mehr als einem Mitgliedstaat bezeichnet den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
"Hauptniederlassung im Falle eines Auftragsverarbeiters" mit Niederlassungen in mehr als einem Mitgliedstaat bezeichnet den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;
Unternehmensgruppe: Eine Muttergesellschaft zusammen mit ihrem Tochterunternehmen.
3. Grundsätze für die Verarbeitung personenbezogener Daten
Die Datenschutzgrundsätze heben die wichtigsten Verantwortlichkeiten von Unternehmen, die mit personenbezogenen Daten umgehen, hervor. Laut Artikel 5(2) der DSGVO ist “der Verantwortliche für die Einhaltung der Grundsätze verantwortlich und muss deren Einhaltung nachweisen können.”
3.1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
3.2. Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
3.3. Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das Unternehmen wendet wenn möglich die Grundsätze der Anonymisierung oder Pseudonymisierung auf die personenbezogenen Daten an, um die Risiken für die betroffenen Personen zu verringern.
3.4. Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
3.5. Speicherbegrenzung
Personenbezogene Daten dürfen nur solange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
3.6. Integrität und Vertraulichkeit
Unter Berücksichtigung des Stands der Technologie und sonstiger verfügbarer Sicherheitsmaßnahmen, der Implementierungskosten und der Wahrscheinlichkeit und Schwere der für personenbezogene Daten bestehenden Risiken muss das Unternehmen angemessene technische oder organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten in einer Weise zu verarbeiten, die ihren angemessenen Schutz gewährleistet, einschließlich des Schutzes vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust, unbeabsichtigter Schädigung, unerlaubtem Zugriff oder Offenlegung.
3.7. Rechenschaftspflicht
Die Verantwortlichen sind für die Einhaltung der vorstehenden Grundsätze verantwortlich und müssen deren Einhaltung nachweisen können.
4. Integration des Datenschutzes in die Geschäftstätigkeit
Um die Einhaltung der Datenschutzgrundsätze nachzuweisen, sollte ein Unternehmen den Datenschutz in seine Geschäftstätigkeit integrieren.
4.1. Mitteilung an die betroffenen Personen
(Siehe Abschnitt Richtlinien für die Verarbeitung der Daten nach Treu und Glauben.)
4.2. Entscheidung und Einwilligung der betroffenen Person
(Siehe Abschnitt Richtlinien für die Verarbeitung der Daten nach Treu und Glauben.)
4.3. Erhebung
Das Unternehmen bemüht sich, die geringstmögliche Menge an personenbezogenen Daten zu erheben. Werden von einer Drittpartei personenbezogene Daten erhoben, stellt der Informationssicherheitsmanager (Information Security Manager) sicher, dass dies in einer rechtmäßigen Art und Weise geschieht.
4.4. Verwendung, Speicherung und Vernichtung
Die für personenbezogene Daten geltenden Verarbeitungszwecke und -methoden, Speicherbegrenzung und Speicherzeit müssen mit den Angaben in der Datenschutzpolitik übereinstimmen. Das Unternehmen hält sich bei der Verarbeitung personenbezogener Daten an die Vorgaben für Richtigkeit, Integrität, Vertraulichkeit und Erheblichkeit. Für den Schutz der personenbezogenen Daten geeignete Sicherheitsmechanismen müssen angewendet werden, um die Daten vor Diebstahl, Zweckentfremdung oder Missbrauch zu schützen und Datenschutzverletzungen vorzubeugen. [Berufsbezeichnung] ist für die Einhaltung der in diesem Abschnitt genannten Anforderungen verantwortlich.
4.5. Offenlegung gegenüber Drittparteien
Beauftragt das Unternehmen einen Drittanbieter oder Geschäftspartner mit der Verarbeitung der personenbezogenen Daten an seiner Stelle, muss der Informationssicherheitsmanager sicherstellen, dass dieser Auftragsverarbeiter für die verbundenen Risiken wie den Missbrauch der personenbezogenen Daten, die unerlaubte Offenlegung, die Verletzung des Datenschutzes usw. angemessene Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten ergreift. Hierzu muss der Fragebogen DSGVO Compliance für den Auftragsverarbeiter verwendet werden.
Das Unternehmen muss den Lieferanten oder Geschäftspartner vertraglich zur Einhaltung desselben Datenschutzniveaus verpflichten. Der Lieferant bzw. Geschäftspartner darf die personenbezogenen Daten nur verarbeiten, um seine Vertragspflichten gegenüber dem Unternehmen zu erfüllen oder auf Anweisung des Unternehmens, darüber hinaus jedoch für keinen anderen Zweck. Verarbeitet das Unternehmen personenbezogene Daten gemeinsam mit einer unabhängigen Drittpartei, muss das Unternehmen die jeweiligen Verantwortlichkeiten im entsprechenden Vertrag oder einem anderen rechtlich bindenden Dokument, wie der Datenverarbeitungsvereinbarung für Anbieter explizit spezifizieren.
4.6. Grenzüberschreitende Übermittlung personenbezogener Daten
Vor der Übermittlung personenbezogener Daten an Länder außerhalb des Europäischen Wirtschaftsraums (EWR) müssen angemessene Sicherheitsvorkehrungen getroffen werden; dazu gehört auch die Unterzeichnung einer Datentransfervereinbarung und ggf. muss die Genehmigung der zuständigen Datenschutzbehörde eingeholt werden. Die die personenbezogenen Daten empfangende Einheit muss sich an die Grundsätze der Verarbeitung personenbezogener Daten laut dem 'Grenzüberschreitenden Datentransferverfahren' halten.
4.7. Zugangsrechte der betroffenen Personen
Handelt er als Verantwortlicher, muss der Informationssicherheitsmanager den betroffenen Personen einen geeigneten Zugangsmechanismus zur Verfügung stellen, damit sie auf ihre personenbezogenen Daten zugreifen können. Außerdem muss er sie in die Lage versetzen, diese zu aktualisieren, zu berichtigen, zu löschen oder gegebenenfalls oder falls es das Gesetz verlangt weiterzuleiten. Der Zugangsmechanismus wird im 'Verfahren für den Antrag auf Zugang durch betroffene Personen' näher detailliert.
4.8. Datenportabilität
Betroffene Personen haben das Recht, auf Antrag eine kostenlose Kopie der uns von ihnen überlassenen Daten in einem strukturierten Format zu erhalten und diese Daten an einen anderen Verantwortlichen weiterzuleiten. Der Informationssicherheitsmanager ist dafür verantwortlich, sicherzustellen, dass solche Anträge innerhalb eines Monats bearbeitet werden, nicht überhand nehmen (z.B. wenn die betroffene Person täglich Anträge einreicht) und die Rechte anderer an ihren personenbezogenen Daten nicht beeinträchtigen.
4.9. Recht auf Vergessenwerden
Auf Antrag haben die betroffenen Personen das Recht, vom Unternehmen die Löschung ihrer personenbezogen Daten zu erwirken. Handelt das Unternehmen als Verantwortlicher, muss der Informationssicherheitsmanager die notwendigen Schritte (einschließlich technischer Maßnahmen) einleiten, um Drittparteien, die diese Daten nutzen oder verarbeiten, zur Umsetzung dieses Antrags aufzufordern.
5. Richtlinien für die Verarbeitung nach Treu und Glauben
Personenbezogene Daten dürfen nur verarbeitet werden, wenn es der Informationssicherheitsmanager ausdrücklich erlaubt. Das Unternehmen muss entscheiden, ob es gemäß den Richtlinien zur Datenschutz-Folgenabwägung eine Datenschutz-Folgenabwägung für jede Datenverarbeitungstätigkeit durchführt.
5.1. Erklärungen für die betroffenen Personen
Zum Zeitpunkt der Erhebung personenbezogener Daten (oder davor) für jede Art der Verarbeitung, darunter unter anderem der Verkauf von Produkten, Dienstleistungen oder Marketingaktivitäten, ist der Informationssicherheitsmanager für die ordnungsgemäße Information der betroffenen Personen über Folgendes verantwortlich: die Art der erhobenen personenbezogenen Daten, die Verarbeitungszwecke und -methoden, die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten, die Speicherzeit, mögliche internationale Datentransfers, ob die Daten mit Dritten geteilt werden und die Sicherheitsmaßnahmen des Unternehmens zum Schutz personenbezogener Daten. Diese Information wird im Rahmen der Datenschutzerklärung gegeben.
Führt Ihr Unternehmen verschiedene Datenverarbeitungstätigkeiten durch, müssen Sie unterschiedliche Erklärungen entwerfen, die sich je nach Verarbeitungstätigkeit und Kategorie der erhobenen personenbezogenen Daten unterscheiden - zum Beispiel kann eine Erklärung für Mailingzwecke verfasst werden, eine andere für Versandzwecke.
Werden personenbezogene Daten mit einer Drittpartei geteilt, muss der Informationssicherheitsmanager sicherstellen, dass die betroffenen Personen in einer Datenschutzerklärung hierüber unterrichtet wurden.
Werden personenbezogene Daten übereinstimmend mit den Richtlinien für den grenzüberschreitenden Datentransfer an ein Drittland übermittelt, muss dies in der Datenschutzerklärung vermerkt sein und es muss klar darauf hingewiesen werden, wohin und an welche Einheit die personenbezogenen Daten übermittelt werden.
Werden sensitive personenbezogene Daten erhoben, muss die für Datenschutzangelegenheiten zuständige Person sicherstellen, dass die Datenschutzerklärung explizit auf den Zweck der Erhebung dieser sensitiven personenbezogenen Daten hinweist.
5.2. Einholung der Einwilligung
Wenn die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person oder anderen rechtmäßigen Grundlagen beruht, ist der Informationssicherheitsmanager für die Aufbewahrung einer Aufzeichnung dieser Einwilligung verantwortlich. [Berufsbezeichnung] ist dafür verantwortlich, den betroffenen Personen Optionen für diese Einwilligung anzubieten und muss sie aufklären sowie sicherstellen, dass ihre Einwilligung (wenn diese als rechtmäßige Grundlage der Verarbeitung dient) jederzeit zurückgenommen werden kann.
Gehen Anträge auf die Berichtigung, Ergänzung oder Vernichtung von Aufzeichnungen über personenbezogene Daten ein, hat der Informationssicherheitsmanager sicherzustellen, dass diese Anträge innerhalb einer angemessenen Frist bearbeitet werden. Die für Datenschutzangelegenheiten zuständige Person muss die Anträge speichern und Protokoll darüber führen.
Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden. Möchte das Unternehmen die erhobenen personenbezogenen Daten für einen anderen Zweck verarbeiten, muss es dafür von den betroffenen Personen eine klare und knappe schriftliche Einwilligung einholen. In jedem solchen Antrag müssen der ursprüngliche Zweck, für den die Daten erhoben wurden, sowie der (die) neue(n) oder zusätzliche(n) Zweck(e) genannt sein. Der Antrag muss auch den Grund für die Zweckänderung beinhalten. Die für Datenschutzangelegenheiten zuständige Person ist für die Einhaltung der Regeln in diesem Absatz zuständig.
Jetzt und in Zukunft muss [Berufsbezeichnung] sicherstellen, dass die Datenerhebungsmethoden mit den entsprechenden Gesetzen, guten Praktiken und Industriestandards vereinbar sind.
Der Informationssicherheitsmanager ist für die Erstellung und Führung eines Datenschutzerklärungs-Registers verantwortlich.
6. Organisation und Verantwortlichkeiten
Die Verantwortung für die Gewährleistung einer angemessenen Verarbeitung personenbezogener Daten liegt bei jedem, der für das oder mit dem Unternehmen arbeitet und Zugriff auf vom Unternehmen verarbeitete personenbezogene Daten hat.
Die Hauptverantwortung für die Verarbeitung personenbezogener Daten liegt bei folgenden organisatorischen Funktionen:
Der Vorstand trifft Entscheidungen über die allgemeinen Strategien des Unternehmens für den Schutz personenbezogener Daten bzw. genehmigt diese.
Der Informationssicherheitsmanager, die für Datenschutzangelegenheiten ernannte Person, ist verantwortlich für die Verwaltung des Programms für den Schutz personenbezogener Daten und für die Entwicklung und Förderung durchgängiger Datenschutzrichtlinien;
Der Informationssicherheitsmanager überwacht und analysiert Gesetze und Verordnungsänderungen zu personenbezogenen Daten, entwickelt Compliance-Anforderungen und unterstützt die Geschäftsabteilungen bei der Erreichung ihrer die personenbezogenen Daten betreffenden Ziele. Dies kann auch beinhalten, dass er Rechtsbeistand oder externe Beratung in Anspruch nimmt.
Der Technologische Leiter ist verantwortlich für:
• Die Gewährleistung, dass alle für die Datenspeicherung verwendeten Systeme, Dienste und Ausstattungen akzeptable Sicherheitsstandards erfüllen.
• Die Durchführung regelmäßiger Überprüfungen und Scans, die die ordnungsgemäße Funktionsweise der Sicherheits-Hard- und -Software belegen.
Der Marketingleiter ist verantwortlich für:
• Die Genehmigung aller an Kommunikationen wie E-Mails und Briefe angehängten Datenschutzerklärungen.
• Die Bearbeitung sämtlicher Datenschutzanfragen von Journalisten oder Medien wie Zeitungen.
• Wenn es die Umstände erfordern, für die Zusammenarbeit mit der für Datenschutzangelegenheiten zuständigen Person, damit sichergestellt ist, dass Marketinginitiativen die Datenschutzgrundsätze befolgen.
Der Personalleiter ist verantwortlich für:
• Die Sensibilisierung aller Mitarbeiter für den Schutz der personenbezogenen Daten der Benutzer.
• Die Organisation von Spezial- und Sensibilisierungsschulungen zum Thema Schutz personenbezogener Daten, für Mitarbeiter, die mit personenbezogenen Daten arbeiten.
• Den durchgängigen Schutz der personenbezogenen Daten von Mitarbeitern. Er stellt sicher, dass die personenbezogenen Daten von Mitarbeitern auf der Grundlage der legitimen Geschäftszwecke und -erfordernisse des Arbeitgebers verarbeitet werden.
Der Informationssicherheitsmanager ist dafür verantwortlich, den Lieferanten ihre Verantwortung beim Schutz personenbezogener Daten zu verdeutlichen und ihr Bewusstsein dafür zu steigern, sowie für die Weiterleitung der die personenbezogenen Daten betreffenden Anforderungen an jede Drittpartei und jeden Lieferanten, mit der/dem das Unternehmen arbeitet. Die Einkaufsabteilung muss sicherstellen, dass das Unternehmen das Recht zur Prüfung von Lieferanten erhält.
7. Richtlinien für die Bestimmung der federführenden Aufsichtsbehörde
7.1. Notwendigkeit zur Bestimmung der federführenden Aufsichtsbehörde
Die Bestimmung einer federführenden Aufsichtsbehörde ist nur wichtig, wenn das Unternehmen die grenzüberschreitende Verarbeitung personenbezogener Daten betreibt. Eine grenzüberschreitende Verarbeitung von Daten findet statt wenn:
a) die Verarbeitung personenbezogener Daten durch Tochterunternehmen des Unternehmens stattfindet, die in anderen Mitgliedstaaten angesiedelt sind;
oder
b) die Verarbeitung personenbezogener Daten in einer Einzelniederlassung des Unternehmens in der Europäischen Union stattfindet, jedoch Personen in mehr als einem Mitgliedsstaat in erheblichem Maße betrifft oder mit hoher Wahrscheinlichkeit betreffen könnte.
Besitzt das Unternehmen nur Niederlassungen in einem Mitgliedsstaat und betreffen seine Datenverarbeitungsaktivitäten nur Personen in diesem Mitgliedsstaat, besteht keine Notwendigkeit zur Bestimmung einer federführenden Aufsichtsbehörde. Die einzige zuständige Behörde ist dann die Aufsichtsbehörde in dem Land, in dem das Unternehmen rechtmäßig angesiedelt ist.
7.2. Hauptniederlassung und federführende Aufsichtsbehörde
7.2.1. Hauptniederlassung für den Verantwortlichen
Die Hauptniederlassung / der Hauptsitz von Ralawise befindet sich unter der Anschrift 112, Tenth Avenue, Deeside Industrial Estate, Deeside CH5 2UA
Ist das Unternehmen in einem EU-Mitgliedstaat angesiedelt und trifft seine Entscheidungen über grenzüberschreitende Verarbeitungstätigkeiten am Niederlassungsort der Zentralverwaltung (Firmenhauptsitz), dann gibt es nur eine federführende Aufsichtsbehörde für die vom Unternehmen durchgeführten Datenverarbeitungsaktivitäten.
Besitzt das Unternehmen mehrere Niederlassungen, die unabhängig voneinander agieren und Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten treffen, müssen [die Direktoren / das Topmanagement des Unternehmens] bestätigen, dass mehr als eine federführende Aufsichtsbehörde existieren.
7.2.2. Hauptniederlassung für den Auftragsverarbeiter
Handelt das Unternehmen als Auftragsverarbeiter, befindet sich die Hauptniederlassung am Ort der Zentralverwaltung. Befindet sich die Zentralverwaltung nicht in der EU, gilt die Niederlassung in der EU als Hauptniederlassung, in der die Verarbeitungstätigkeiten hauptsächlich stattfinden.
7.2.3. Hauptniederlassung für Nicht-EU-Unternehmen für Verantwortliche und Auftragsverarbeiter
Besitzt das Unternehmen keine Hauptniederlassung in der EU, hat aber ein oder mehrere Tochterunternehmen in der EU, dann ist die zuständige Aufsichtsbehörde die lokale Aufsichtsbehörde.
Hat das Unternehmen weder eine Hauptniederlassung noch Tochterunternehmen in der EU, benennt es einen Vertreter in der EU und die zuständige Aufsichtsbehörde ist die lokale Aufsichtsbehörde in dem Staat, in dem der Vertreter angesiedelt ist.
8. Reaktion auf Verletzungen des Schutzes personenbezogener Daten
Erhält das Unternehmen Kenntnis über eine vermutete oder tatsächliche Verletzung des Schutzes personenbezogener Daten, muss der Informationssicherheitsmanager unverzüglich eine interne Untersuchung durchführen und geeignete Abhilfemaßnahmen ergreifen. Sind die Rechte und Freiheiten betroffener Personen gefährdet, muss das Unternehmen die zuständigen Datenschutzbehörden unverzüglich, möglichst innerhalb von 72 Stunden informieren.
9. Audit und Haftung
Der Informationssicherheitsmanager und das Technikteam sind dafür verantwortlich, zu prüfen, wie gut die Geschäftsabteilungen diese Strategie umsetzen. Jeder Mitarbeiter, der diese Strategie verletzt, wird mit Disziplinarmaßnahmen belegt und kann zivil- oder strafrechtlich haftbar gemacht werden, wenn sein Verhalten Gesetze oder Verordnungen verletzt.
10. Internationales Privatrecht
Diese Strategie soll die am Niederlassungsort und in den Ländern, in denen Ralawise Ltd. operiert, geltenden Gesetze und Verordnungen einhalten. Kommt es zu Unstimmigkeiten zwischen dieser Strategie und den geltenden Gesetzen und Verordnungen, haben letztere Vorrang.