Datenschutzerklärung
Merkblatt zur Vertraulichkeitsverpflichtung
Sie werden heute über Ihre Pflichten im Umgang mit personenbezogenen Daten unterrichtet und unterzeichnen eine entsprechende Vertraulichkeitsverplichtung. Dieses Merkblatt gibt Ihnen die Möglichkeit, das Wichtigste noch einmal nachzulesen. Sollten Sie Fragen haben – insbesondere, wenn es darum geht, ob ein bestimmter Umgang mit personenbezogenen Daten erlaubt ist -, zögern Sie nicht, Ihren Vorgesetzten oder den betrieblichen Datenschutzbeauftragten, Telefon (Hall Computer Services +49 2821 700 800) zu fragen.
Datenschutz schützt das Persönlichkeitsrecht
Ihre Vertraulichkeitsverpflichtung dient- wie das gesamte Datenschutzrecht – dem Schutz des Persönlichkeitsrechts derjenigen Menschen, auf die sich die Daten beziehen. Diese Menschen nennt das Gesetz „betroffene Personen“. Das können unsere Kunden sein, Ihre Kollegen – oder auch Sie als unsere Mitarbeiter.
Das Persönlichkeitsrecht gibt jedem Menschen das Recht, grundsätzlich selbst darüber zu entscheiden, wer was über ihn wissen darf. Beispielsweise darf jeder Kunde selbst entscheiden, wer seinen Wohnort erfahren soll, und Sie dürfen entscheiden, wer Ihren Gesundheitszustand kennen darf. Es ist Ihre Entscheidung, ob das geheim bleibt, oder Sie es veröffentlichten.
Ausnahmen, in denen nicht nur der Wille des Betroffenen gilt, muss es natürlich geben – aber jede Ausnahme braucht nach dem Gesetz eine Rechtfertigung. Das kann nach der Regelung in Art. 6 Abs. 1 DS-GVO eine Einwilligung der betroffenen Person oder eine gesetzliche Erlaubnis sein. Die wichtigste gesetzliche Erlaubnis gilt für diejenigen Daten, die unbedingt benötigt werden, um einen Vertrag mit der betroffenen Person zu erfüllen. Deshalb darf Ihr Vermieter beispielweise Ihren Namen speichern, ohne dass Sie einwilligen müssten.
Neben der DS-GVO, die in der gesamten Europäischen Union gilt, gib es auch noch das Bundesdatenschutzgesetz (BDSG), das bestimmte Sonderfälle regelt, insbesondere den Beschäftigungsdatenschutz.
Ihre Vertraulichkeitspflichten
Sie müssen personenbezogene Daten nicht nur vertraulich behandeln, Sie dürfen Sie zum Beispiel nicht an Dritte weitergeben oder offen herumliegen lassen. Das Gesetz verpflichtet Sie vielmehr davon, nur dann mit personenbezogenen Daten zu arbeiten, wenn dies erlaubt ist – unabhängig davon, ob Sie diese Daten beispielsweise lesen, notieren, löschen oder weitergeben. Diese Erlaubnis muss einerseits [Postservice Niederrhein GmbH] als Unternehmen haben, andererseits aber auch Sie persönlich nach unserer unternehmensinternen Aufgabenverteilung. Die gesetzlichen Vertraulichkeitspflichten einzuhalten, ist also auch Ihre ganz persönliche Verpflichtung. Diese Pflicht ergibt sich übrigens bereits aus dem Gesetz (unter anderem Art. 29 DS-GVO). Ihre heutige förmliche Verpflichtung zur Vertraulichkeit dient nur dazu, Ihnen deutlich zu machen, wie wichtig diese Pflicht ist.
Bitte beachten Sie: Ihre Vertraulichkeitsverpflichtung gilt zeitlich unbefristet, und zwar selbst dann, wenn Sie nicht mehr für uns tätig sind. Sie gilt gegenüber allen Personen, die nicht dienstlich für die jeweilige Sache zuständig sind – also auch gegenüber allen anderen Kollegen, Ihrer Familie und der Presse.
Wenn Sie mit personenbezogenen Daten arbeiten, müssen Sie sich dabei immer an die Weisungen Ihres Vorgesetzten halten. [Die Postservice Niederrhein GmbH] verarbeitet auch als sog. Auftragsverarbeiter personenbezogene Daten für unsere Kunden, etwa im Rahmen von [E-Mail-Services, Webhosting, Post...]. Sollte im Fall von Auftragsverarbeitung Ihr Vorgesetzter Ihnen eine bestimmte Weisung erteilen, unser Kunde aber eine andere Weisung, geht die Weisung unseres Kunden vor, solange unser Kunde nichts Verbotenes verlangt. In ganz besonderen Fällen kann auch ein Gesetz vorschreiben, personenbezogene Daten z.B. an eine Behörde herauszugeben. [Optional: Widersprüchliche Weisungen und] gesetzliche Verarbeitungspflichten sind sehr selten, und die damit verbundenen komplizierten Rechtsfragen werden Sie kaum alleine entscheiden können. Wenden Sie sich daher bitte immer sofort an Ihren Vorgesetzten oder den betrieblichen Datenschutzbeauftragten, Telefon [+ 49 2821 700 800].
Der Begriff „personenbezogene Daten“
Das Datenschutzrecht gilt für alle „personenbezogenen Daten“. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person, also einen Menschen, beziehen (Art. 4 Nr. 1 DS-GVO). Das kann die Angabe sein, dass jemand ein Mitglied in einem Verein ist, wo er wohnt oder wie viel Geld er auf seinem Konto hat.
Personenbezogenes Datum kann aber auch die Angabe sein, dass die Kontonummer 123456 ihren Dispokredit überzogen hat. Denn obwohl hier kein Name genannt wird, ist einfach zu ermitteln, wer Inhaber dieses Kontos ist: s handelt sich um Angaben zu einer „identifizierbaren“ Person. Eine Person ist identifizierbar, wenn man – eigene und fremde – Informationen kombinieren kann und dadurch erfährt, um wen es sich handelt. Das geht sehr viel einfacher als man denkt: So konnten Forscher jeden einzelnen von 1,5 Millionen Menschen eindeutig identifizieren, wenn sie nur wussten, wo er sich zu elf beliebigen Zeitpunkten aufhielt (https://www.taz.de/!5070185/). Auch genügen Geburtsdatum, Postleitzahl und Geschlecht, um 87 Prozent der US-Amerikaner eindeutig zu identifizieren (http://www.chip.de/artikel/Re-identifizierung-Die-neue-Kunst-der-Datenraken-3_46575146.html).
Auch wenn Sie selbst denken, dass bestimmte Daten niemandem zuzuordnen sind, dürfen Sie diese deshalb nicht ohne Zustimmung Ihres Vorgesetzten und des betrieblichen Datenschutzbeauftragten an Dritte weitergeben oder veröffentlichen – abgesehen davon, dass es sich auch um Betriebsgeheimnisse handeln könnte, die Sie ebenfalls streng vertraulich behandeln müssen.
Für welche Daten das Datenschutzrecht gilt
Wir als Unternehmen und Sie als unser Mitarbeiter dürfen personenbezogene Daten nur dann verarbeiten, wenn es dafür eine Rechtsgrundlage gibt. Art. 4 Nr. 2 DS-GVO beschreibt den Begriff der Verarbeitung äußerst weit, so dass er letztlich jeden Kontakt mit personenbezogenen Daten umfasst: “jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Als mögliche Rechtsgrundlage nenn Art. 6 Abs. 1 DS-GVO eine Einwilligung der betroffenen Person und verschiedene gesetzliche Erlaubnisse.
Für welche Daten es bei welchem Verfahren eine solche Rechtsgrundlage gibt, sagt Ihnen Ihr Vorgesetzter. Bitte beachten Sie: Andere Daten dürfen Sie nicht verwenden. Personenbezogene Daten dürfen zudem nur zu dem jeweils bestimmt festgelegten Zweck verwendet werden. Eine Zweckänderung braucht eine eigene Rechtsgrundlage. Das bedeutet, dass z.B. Kundendaten, die bisher nur für die Vertragsabwicklung verwendet wurden, nicht ohne Weiteres für Werbung genutzt werden dürfen. Auch hier sagt Ihnen Ihr Vorgesetzter, ob eine Zweckänderung erlaubt ist.
Als wichtigste Regel sollten Sie sich hier merken, dass Sie personenbezogene Daten nie aus eigener Entscheidung heraus weitergeben oder für sich selbst nutzen (beispielsweise außerhalb dienstlicher Notwendigkeit lesen) dürfen.
Außerdem müssen personenbezogene Daten geschützt werden, so dass Unbefugte keine Kenntnis von ihnen nehmen und dass sie auch nicht versehentlich verloren gehen können. Deshalb verschlüsseln wir personenbezogene Daten, wenn wir sie über das Internet übertragen müssen, und machen regelmäßig Sicherungskopien (Backups). Das Gesetz verpflichtet uns zu vielen weiteren Sicherheitsmaßnahmen. So dürfen z.B. Ausdrucke mit personenbezogenen Daten oder Datenträger wie Cds, USB-Sticks oder Festpatten keinesfalls einfach weggeworfen oder weggegeben werden, sondern müssen ordnungsgemäß geschreddert oder durch die EDV-Abteilung sicher gelöscht werden.
Dass Sie Ihr Passwort nicht an Kollegen oder Dritte weitergeben oder gar auf einen Zettel an den Computer kleben dürfen, sollte sich von selbst verstehen – es ist Ihr persönliches Passwort, und wenn es jemand missbraucht, sind Sie persönlich dafür verantwortlich (sie „Folgen von Verstößen“).
Rechte der betroffenen Personen
Einer der wichtigsten Aspekte des Persönlichkeitsrechts ist es, zu wissen, was andere über einen wissen. Wenn ein Unternehmen Daten über jemanden sammelt, muss es daher fast immer die betroffene Person informieren. Jeder Mensch kann zudem von jedem Unternehmen eine Kopie der Daten verlangen, die das Unternehmen über ihn gespeichert hat. (Art. 15 DS-GVO). Dies bedeutet, dass alles, was Sie beispielsweise über einen Kunden notieren, auch schriftlich zu diesem Kunden gelangen kann. Achten Sie deshalb bitte darauf, dass Sie nur Angaben notieren, für die wir auch eine Erlaubnis zum Speichern haben – Ihr Vorgesetzter sagt Ihnen, welche Daten das in Ihrem konkreten Fall sind. Und achten Sie bitte auch darauf, wie Sie es aufschreiben: knapp, neutral und niemals beleidigend o.ä. Das Auskunftsrecht ist ein spezielles Recht des Betroffenen: An andere Personen und Stellen dürfen wir normalerweise keine Auskünfte geben – das wäre eine Übermittlung, für die wir eine Erlaubnis bräuchten.
Benötigen wir bestimmte Daten nicht mehr, müssen wir sie löschen (Art. 17 S-GVO); falsche Daten müssen wir berichtigen (Art. 16 DS-GVO). Wenn Sie feststellen, dass nicht mehr benötigte Daten weiterhin gespeichert bleiben, sprechen Sie bitte Ihren Vorgesetzten darauf an. Denn die Speicherung von Daten, die eigentlich zu löschen wären, kann mit Geldbußen bis zu 20.00.000 EUR oder vier Prozent des weltweiten Jahresumsatzes des gesamten Konzerns – je nachdem, was höher ist – bestraft werden. Zusätzlich haben betroffene Personen einen Anspruch auf Schadensersatz einschließlich Schmerzensgeld für die Verletzung Ihres Rechts auf Datenschutz.
Jede betroffene Person kann uns zudem verbieten, ihre Daten für Werbezwecke zu benutzen (Art. 21 Abs. 2,3 und 5 DS-GVO) und hat auch in bestimmten Fällen ein widerspruchsrecht (Art. 21 Abs. 1 DS-GVO). Betroffene Personen haben zudem weitere Rechte, die aber für Sie als Mitarbeiter normalerweise nicht von Bedeutung sind.
Sie auch keinesfalls eine automatische Weiterleitung Ihrer E-Mail-Adresse einrichten dürfen.
Sie werden möglicherweise E-Mails erhalten, die Sie im Namen von [Unternehmen] oder einem anderen Unternehmen auffordern, auf einen Link in der E-Mail zu klicken oder eine bestimmte Seite aufzurufen und dort Ihr Passwort oder andere Daten einzugeben. Tun Sie dies niemals! Es handelt sich bei diesen Mails um gefälschte, sog. Phishing-Mails, die darauf abzielen, Ihre Passwörter, Zugangsdaten oder sonstige vertrauliche Informationen „abzufischen“. Selbst wenn Sie in der E-mail persönlich angesprochen werden oder gar Bezug auf bestimmte Personen oder Umstände genommen wird, hat dies nichts zu sagen – diese Daten wurden wahrscheinlich bereits zuvor gestohlen, im Zweifel durch einen erfolgreichen Phishing-Angriff auf einen Ihrer Kollegen. Melden Sie derartige E-Mails bitte immer fort an die EDV-Abteilung per [Nachricht weiterleiten als Anhang] an
[email protected]
Vertrauen Sie nicht zu sehr auf E-Mails. Absenderangaben von E-Mails lassen sich problemlos fälschen – vertrauen können Sie nur digital signierten und verschlüsselten E-Mails, falls Sie ein entsprechendes Programm von der EDV-Abteilung erhalten haben. Sein Sie daher bitte auch sehr vorsichtig, wenn Sie unaufgefordert E-Mails mit Anhängen (Attachments) erhalten: Oftmals enthalten diese Anhänge Schadprogramme (Viren). Wir versuchen, Viren so gut wie möglich auszufiltern, dass sie überhaupt nicht in ihrem Postfach ankommen – aber die Kriminellen sind uns häufig ein Stück voraus. Bevor Sie einen solchen Anhang öffnen, fragen Sie bitte im Zweifel bei der EDV-Abteilung nach per [Nachricht weiterleiten als Anhang] an [[email protected]], Telefon [+ 49 2823 928 520]. Optional: Seien Sie auch misstrauisch, wenn Sie vermeintlich Ihr Vorgesetzter per E-Mail intern besondere Vertraulichkeit für ein angebliches besonderes Projekt verlangt. Fragen Sie lieber noch einmal auf einen anderen Kommunikationskanal – im Zweifel im persönlichen Gespräch – nach.]
Bitte ändern Sie nicht die Einstellungen, insbesondere die Sicherheitseinstellungen, Ihrer Programme. Die EDV-Abteilung hat sich etwas bei der Konfiguration gedacht. Wenn Sie Ihre Änderungsvorschläge haben, sprechen Sie diese bitte mit der EDV-Abteilung ab – vielleicht können ja alle Mitarbeiter von Ihrer Idee profitieren.
[Beachten Sie bitte außerdem unsere Richtlinie zur E-Mail- und Internetnutzung. Falls Sie eine Home oder Mobile Office nutzen, gilt zudem unsere diesbezügliche Richtlinie. Private Geräte dürfen Sie nur dann im Betrieb bzw. zum Zugriff auf dienstliche E-Mails nutzen, wenn Sie unsere Bring-Your-Own-Device-Richtlinie einhalten. All diese Richtlinien enthalten auch Regelungen zur Sicherheit und sind für Sie verbindlich.]
Sollte ein Auskunftsersuchen, ein Widerspruch oder ein anderer Wunsch oder Hinweis mit Datenschutzbezug bei Ihnen eingehen, leiten Sie ihn bitte sofort an [den betrieblichen Datenschutzbeauftragten] weiter. Selbstständig dürfen Sie solche Dinge nur bearbeiten, wenn wir Ihnen diese Aufgabe ausdrücklich zugewiesen haben. In Zweifelsfällen fragen Sie bitte den betrieblichen Datenschutzbeauftragten (Telefon…). Beachten Sie bitte, dass auch Behörden oder die Polizei nicht ohne Weiteres Daten von uns erhalten können. Wir benötigen hier einen förmlichen Beschlagnahmebeschluss. In bestimmten Fällen genügt ein förmliches Auskunftsersuchen. Wenn Sie von der Polizei oder einer anderen Behörde kontaktiert werden, informieren Sie bitte sofort Ihren Vorgesetzten und den betrieblichen Datenschutzbeauftragten.
Folgen von Verstößen
Verstöße gegen das Datenschutzrecht können für die Postservice Niederrhein GmbH schwerwiegende Folgen haben – aber auch für Sie persönlich.
Fast alle Verstöße gegen das Datenschutzrecht können mit Geldbuße bestraft werden (Art. 83 DS-GVO). Diese Geldbuße kann bis zu 20.000.000 EUR pro Verstoß betragen oder für uns al Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes des gesamten Konzerns, je nachdem, was höher ist. Geldbußen können sogar gegen einzelne Mitarbeiter verhängt werden. Geben Sie beispielsweise ohne eine entsprechende Anweisung von der Postservice Niederrhein GmbH personenbezogene Daten weiter oder nutzen Sie sie für Ihre eigenen Zwecke, können Sie persönlich mit einer Geldbuße bis zu 20.000.000 EUR bestraft werden. Zudem sind bestimmte Verstöße gegen das Datenschutzgesetz Straftaten, die mit Gefängnis bestraft werden können (§ 42 BDSG): Beispiel: Jemand verkauft weisungswidrig eine Festplatte mit personenbezogenen Daten anstatt sie zu zerstören.
Verstöße gegen das Datenschutzrecht können zudem nach anderen Gesetzen strafbar sein, z.B. nach § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen). § 202 a StGB (Ausspähen von Daten) oder § 263 a StGB (Computerbetrug).
Jede betroffene Person kann Schadensersatz für eine unzulässige Verarbeitung ihrer Daten verlangen, und zwar einschließlich Schmerzensgeld für die Persönlichkeitsrechtsverletzung (Art. 82 DS-GVO, 823 ff. BGB). Unter Umständen müssen Sie persönlich diesen Schadensersatz ganz oder teilweise weisungswidrig verarbeitet haben, etwa für Ihre eigenen Zwecke genutzt haben. Fragen Sie daher lieber einmal zu viel als zu wenig.
Schwere Schäden für [Unternehmen] kann es verursachen, wenn eine so genannte Datenspanne öffentlich bekannt wird. Kunden verlieren das Vertrauen und kaufen nicht mehr bei uns, wenn sie nicht sicher sein können, dass ihre Daten bei uns in guten Händen sind. Hinzu kommt, dass wir nach Art. 34 Abs..1 und Abs. 3 lit. C DS-GVO verpflichtet sein können, eine Datenspanne allen Betroffenen mitzuteilen oder gar öffentlich bekanntzumachen. Bitte helfen Sie mit, dass es niemals dazu kommt.
Nicht zuletzt können wir arbeitsrechtliche Konsequenzen ziehen, wenn Sie gegen Ihre Vertraulichkeitspflichten verstoßen. Denkbar sind je nach Schwere Ihres Fehlverhaltens insbesondere eine Abmahnung, eine fristgerechte Kündigung oder sogar eine fristlose Kündigung ohne vorherige Verwarnung.
Neue Verfahren mit personenbezogenen Daten
Sie sind an einem Projekt beteiligt, bei dem personenbezogene Daten eine Rolle spielen? Dann sorgen Sie bitte dafür, dass der betriebliche Datenschutzbeauftragte von Anfang an einbezogen wird. Er kann Ihnen sagen, ob es überhaupt rechtlich möglich ist, was ihr Projektteam plant, und Tipps geben, was Sie verbessern können, insbesondere, welche Anforderungen wir zu „Privacy by Design“ du „Privacy by Default“ (Art. 25 DS-GVO) oder zur Sicherheit (Art. 32 DS-GVO) einhalten müssen.