Datenschutzrichtlinie Eykcon GbR
Präambel
Die Themen gesetzlicher Datenschutz und Informationssicherheit werden für uns und unsere
Kunden (Klienten, Coachees/Mentees und deren Sponsoren und Teams) immer wichtiger und
bedeutsamer. Für uns als Dienstleistungsunternehmen im Bereich der personenbezogenen
Beratung in Form von Coaching, Mentoring, Supervision, Facilitation und Training ist das hohe
Vertrauen unserer Kunden in Kompetenz und Integrität die entscheidende Geschäftsgrundlage.
Vertrauen bedeutet jedoch auch Verantwortung für unser Handeln, für unsere Arbeit, für die
Systeme und Daten der Kunden. Unsere Kunden legen Ihre persönlichen und wirtschaftlichen Daten
in unsere Hände und damit auch unternehmenswichtige sowie kritische Informationen.
Für uns bei Eykcon ist es besonders wichtig, mit diesen Daten verantwortungsbewusst umzugehen.
Daher liegt es sehr nahe, dass wir das Thema gesetzlicher Datenschutz in der Praxis sehr ernst
nehmen und uns auch entsprechend organisieren.
Diese Leitlinie soll helfen, die Bedeutung und Wichtigkeit des gesetzlichen Datenschutzes zu
verdeutlichen und allen Stakeholdern dieses Thema transparenter zu machen.
RA Peter van Eyk
Senior Practitioner Coach (EMCC)
Zuständigkeiten Datenschutzmanagement
Klaudia van Eyk
info@eykcon.de
Ziel der Datenschutzrichtlinie
Die Eykcon GbR verpflichtet sich im Rahmen ihrer gesellschaftlichen Verantwortung zur Einhaltung
des gesetzlichen Datenschutzrechtes. Die Wahrung des Datenschutzes ist eine Basis für
vertrauensvolle Geschäftsbeziehungen und die Reputation der Eykcon GbR.
Wir definieren dazu ergänzend unsere eigenen Datenschutzziele als Selbstverpflichtung. Dazu
gehören unter anderem:
Unbedingte Einhaltung der Vorgaben der EU-Datenschutz-Verordnung,
Unbedingte Einhaltung der unternehmenseigenen Datenschutzvorschriften,
Strikte Verpflichtung zur Geheimhaltung und Vertraulichkeit,
Datenschutzkonforme Arbeitsplatzgestaltung,
Unbedingter Schutz vor Dateneinsicht durch Unbefugte.
Geltungsbereich und Änderung der Datenschutzrichtlinie
Diese Datenschutzrichtlinie fußt auf den Vorgaben der EU-Datenschutz-Grundverordnung und den
dazugehörigen nationalen Gesetzen.
Diese Datenschutzrichtlinie gilt für die Eykcon GbR.
Die aktuellste Version der Datenschutzrichtlinie kann auf der Internetseite der Eykcon GbR
(www.eykcon.de) abgerufen werden.
Prinzipien für die Verarbeitung personenbezogener Daten
Fairness und Rechtmäßigkeit
Bei der Verarbeitung personenbezogener Daten muss das informationelle Selbstbestimmungsrecht
des Betroffenen gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise
erhoben und verarbeitet werden.
Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich die Zwecke verfolgen, die vor der
Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur
eingeschränkt möglich und bedürfen einer Rechtfertigung.
Transparenz
Der Betroffene muss über den Umgang mit seinen Daten informiert werden. Grundsätzlich sind
personenbezogene Daten bei dem Betroffenen selbst zu erheben. Bei Erhebung der Daten muss
der Betroffene mindestens Folgendes erkennen können oder entsprechend
informiert werden über:
die Identität der verantwortlichen Stelle,
den Zweck der Datenverarbeitung,
die hinterlegten Aufbewahrungsfristen,
Dritte oder Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden.
Datenvermeidung und Datensparsamkeit
Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang
diese notwendig sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Wenn es zur
Erreichung des Zwecks möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem
angestrebten Zweck steht, sind anonymisierte oder statistische Daten zu verwenden.
Personenbezogene Daten dürfen nicht auf Vorrat für potentielle zukünftige Zwecke gespeichert
werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.
Löschung und Speicherbegrenzung
Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen
Aufbewahrungsfristen nicht mehr erforderlich sind, müssen gelöscht werden. Bestehen im Einzelfall
Anhaltspunkte für schutzwürdige Interessen oder für eine historische Bedeutung dieser Daten,
müssen die Daten weiter gespeichert bleiben, bis dass schutzwürdige Interesse rechtlich geklärt.
Sachliche Richtigkeit und Datenaktualität
Personenbezogene Daten sind richtig, vollständig und – soweit erforderlich – auf dem aktuellen
Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nicht
zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert
werden.
Vertraulichkeit und Datensicherheit
Für personenbezogene Daten gilt das Datengeheimnis.
Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene
organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige
Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung
gesichert werden.
Zulässigkeit der Datenverarbeitung von Kundendaten
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der
nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann
erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen
Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.
Datenverarbeitung für eine vertragliche Beziehung
Wenn die Datenverarbeitung personenbezogener Daten der Vertragserfüllung oder der Erfüllung
vorvertraglicher Maßnahmen dient, so ist die Verarbeitung zulässig.
Einwilligung in die Datenverarbeitung
Eine Datenverarbeitung kann aufgrund einer Einwilligung des Betroffenen stattfinden.
Vor der Einwilligung muss der Betroffene gemäß dieser Datenschutzrichtlinie informiert werden. Die
Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen.
Unter Umständen, z.B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt
werden. Die Erteilung muss dokumentiert werden.
Datenverarbeitung aufgrund gesetzlicher Erlaubnis
Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche
Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der
Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich
sein und richten sich nach diesen Rechtsvorschriften.
Datenverarbeitung aufgrund berechtigten Interesses
Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung
eines berechtigten Interesses der Eykcon GbR erforderlich ist. Berechtigte Interessen sind in der
Regel rechtliche (z.B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z.B.
Vermeidung von Vertragsstörungen). Eine Verarbeitung personenbezogener Daten aufgrund eines
berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass
schutzwürdige Interessen des Betroffenen das Interesse an der Verarbeitung überwiegen. Die
schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen.
Verarbeitung besonders schutzwürdiger Daten
Die Verarbeitung besonders schutzwürdiger personenbezogener Daten darf nur erfolgen, wenn dies
gesetzlich erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Die Verarbeitung dieser
Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber
dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen.
Nutzerdaten und Internet
Wenn auf Webseiten oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt
werden, sind die Betroffenen hierüber in Datenschutzerklärungen und ggf. Cookie-Hinweisen zu
informieren. Die Datenschutzhinweise und ggf. Cookie-Hinweise sind so zu integrieren, dass diese
für die Betroffenen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind.
Werden zur Auswertung des Nutzungsverhaltens von Webseiten und Apps Nutzungsprofile erstellt
(Tracking), so müssen die Betroffenen darüber in jedem Fall in den Datenschutzerklärungen
informiert werden. Erfolgt das Tracking unter einem Pseudonym, so soll den Betroffenen in den
Datenschutzerklärungen eine Widerspruchsmöglichkeit eröffnet werden (Opt-out).
Übermittlung personenbezogener Daten
Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb der Eykcon GbR oder
an Empfänger innerhalb der Eykcon GbR unterliegt den Zulässigkeitsvoraussetzungen der
Verarbeitung personenbezogener Daten. Der Empfänger der Daten muss darauf verpflichtet
werden, diese nur zu den festgelegten Zwecken zu verwenden.
Im Falle einer Datenübermittlung an einen Empfänger außerhalb der Eykcon GbR in einen Drittstaat
muss dieser ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau gewährleisten.
Dies gilt nicht, wenn die Übermittlung aufgrund einer gesetzlichen Verpflichtung erfolgt. Im Falle
einer Datenübermittlung von Dritten an die Eykcon GbR muss sichergestellt sein, dass die Daten für
die vorgesehenen Zwecke verwendet werden dürfen.
Auftragsdatenverarbeitung
Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung
personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen
Geschäftsprozess übertragen wird. In diesen Fällen ist mit externen Auftragnehmern eine
Vereinbarung über eine Auftragsdatenverarbeitung abzuschließen.
Dabei behält das beauftragende Unternehmen die volle Verantwortung für die korrekte
Durchführung der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur im
Rahmen der Weisungen des Auftraggebers verarbeiten. Bei der Erteilung des Auftrags sind die
nachfolgenden Vorgaben einzuhalten; der beauftragende Fachbereich muss ihre Umsetzung
sicherstellen.
1. Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der erforderlichen
technischen und organisatorischen Schutzmaßnahmen auszuwählen.
2. Der Auftrag ist in Textform zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und
die Verantwortlichkeiten des Auftraggebers und des Auftragnehmers zu dokumentieren.
3. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung von der Einhaltung der
Pflichten des Auftragnehmers überzeugen. Die Einhaltung der Anforderungen an die
Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage einer geeigneten
4. Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung ist die Kontrolle
gegebenenfalls während der Vertragslaufzeit regelmäßig zu wiederholen.
5. Bei einer grenzüberschreitenden Auftragsdatenverarbeitung sind die jeweiligen nationalen
Anforderungen für eine Weitergabe personenbezogener Daten ins Ausland zu erfüllen.
Insbesondere darf die Verarbeitung personenbezogener Daten aus dem Europäischen
Wirtschaftsraum in einem Drittstaat nur stattfinden, wenn der Auftragnehmer ein zu dieser
Datenschutzrichtlinie gleichwertiges Datenschutzniveau nachweist.
6. Anerkennung verbindlicher Unternehmensregeln des Auftragnehmers zur Schaffung eines
angemessenen Datenschutzniveaus durch die zuständigen Datenschutz- Aufsichtsbehörden
Rechte von Betroffenen
Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend
durch den verantwortlichen Bereich zu bearbeiten und darf für den Betroffenen zu keinerlei
Nachteilen führen.
1. Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen Daten
welcher Herkunft über ihn zu welchem Zweck gespeichert sind. Falls im Arbeitsverhältnis
nach dem jeweiligen Arbeitsrecht weitergehende Einsichtsrechte in Unterlagen des
Arbeitgebers (z.B. Personalakte) vorgesehen sind, so bleiben diese unberührt.
2. Werden personenbezogene Daten an Dritte übermittelt, muss auch über die Identität des
Empfängers oder über die Kategorien von Empfängern Auskunft gegeben werden.
3. Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre
Berichtigung oder Ergänzung verlangen.
4. Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten zu Zwecken der
Werbung oder der Markt- und Meinungsforschung widersprechen. Für diese Zwecke müssen
die Daten gesperrt werden.
5. Der Betroffene ist berechtigt, die Löschung seiner Daten zu verlangen, wenn die
Rechtsgrundlage für die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt für
den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf oder aus anderen Gründen
entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende
schutzwürdige Interessen müssen beachtet werden.
6. Der Betroffene hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung seiner
Daten, das zu berücksichtigen ist, wenn sein schutzwürdiges Interesse aufgrund einer
besonderen persönlichen Situation das Interesse an der Verarbeitung überwiegt.
7. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.
Vertraulichkeit der Verarbeitung
Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung,
Verarbeitung oder Nutzung ist den Mitarbeitern untersagt. Unbefugt ist jede Verarbeitung, die ein
Mitarbeiter vornimmt, ohne damit im Rahmen der Erfüllung seiner Aufgaben betraut und
entsprechend berechtigt zu sein. Es gilt das Need-to -know-Prinzip: Mitarbeiter dürfen nur Zugang
zu personenbezogenen Daten erhalten, wenn und soweit dies für ihre jeweiligen Aufgaben
erforderlich ist. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und
Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.
Mitarbeiter dürfen personenbezogene Daten nicht für eigene private oder wirtschaftliche Zwecke
nutzen, an Unbefugte übermitteln oder diesen auf andere Weise zugänglich machen.
Sicherheit der Verarbeitung
Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung
oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Dies gilt
unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung
neuer Verfahren der Datenverarbeitung, insbesondere neuer IT-Systeme, sind technische und
organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen.
Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden
Risiken und dem Schutzbedarf der Daten zu orientieren. Die technisch organisatorischen
Maßnahmen zum Schutz personenbezogener Daten sind Teil des betrieblichen
Informationssicherheits- und Datenschutz-Managements und müssen kontinuierlich an die
technischen Entwicklungen und an organisatorische Änderungen angepasst werden.
Datenschutzkontrolle
Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze wird
regelmäßig durch Datenschutzaudits und weitere Kontrollen überprüft. Die Ergebnisse der
Datenschutzkontrollen sind der Unternehmensleistung mitzuteilen.
Datenschutzvorfälle
Jeder Betroffene soll der Geschäftsführung unverzüglich Fälle von Verstößen gegen diese
Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten
(Datenschutzvorfälle) melden. In Fällen von
unrechtmäßiger Übermittlung personenbezogener Daten an Dritte,
unrechtmäßigem Zugriff durch Dritte auf personenbezogene Daten, oder
bei Verlust personenbezogener Daten,
sind die im Unternehmen vorgesehenen Meldungen unverzüglich vorzunehmen, damit nach
staatlichem Recht bestehende Meldepflichten von Datenschutzvorfällen erfüllt werden können.
Verantwortlichkeiten und Sanktionen
Die Geschäftsführung ist für die verordnungskonforme Datenverarbeitung der Eykcon GbR
verantwortlich. Damit ist sie verpflichtet sicherzustellen, dass die gesetzlichen und die in der
Datenschutzrichtlinie enthaltenen Anforderungen des Datenschutzes eingehalten werden (z.B.
nationale Meldepflichten).
Es ist eine Managementaufgabe der Geschäftsführung, durch organisatorische, personelle und
technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des
Datenschutzes sicherzustellen.
Inkraftsetzung
Dieses Dokument wird einmal jährlich sowie bei Bedarf auf Vollständigkeit und Aktualität überprüft.
Änderungen dieses Dokuments liegen in der Verantwortung des Zuständigen für Datenschutz-
Management.
Dieses Dokument ist allen Betroffenen zugänglich zu halten.
RA Peter van Eyk
Geschäftsführender Gesellschafter Eykcon-LeadershipConsulting GbR
25. Mai 2018