Datenschutzrichtlinie Eykcon GbR

Präambel

Die Themen gesetzlicher Datenschutz und Informationssicherheit werden für uns und unsere

Kunden (Klienten, Coachees/Mentees und deren Sponsoren und Teams) immer wichtiger und

bedeutsamer. Für uns als Dienstleistungsunternehmen im Bereich der personenbezogenen

Beratung in Form von Coaching, Mentoring, Supervision, Facilitation und Training ist das hohe

Vertrauen unserer Kunden in Kompetenz und Integrität die entscheidende Geschäftsgrundlage.

Vertrauen bedeutet jedoch auch Verantwortung für unser Handeln, für unsere Arbeit, für die

Systeme und Daten der Kunden. Unsere Kunden legen Ihre persönlichen und wirtschaftlichen Daten

in unsere Hände und damit auch unternehmenswichtige sowie kritische Informationen.

Für uns bei Eykcon ist es besonders wichtig, mit diesen Daten verantwortungsbewusst umzugehen.

Daher liegt es sehr nahe, dass wir das Thema gesetzlicher Datenschutz in der Praxis sehr ernst

nehmen und uns auch entsprechend organisieren.

Diese Leitlinie soll helfen, die Bedeutung und Wichtigkeit des gesetzlichen Datenschutzes zu

verdeutlichen und allen Stakeholdern dieses Thema transparenter zu machen.

RA Peter van Eyk

Senior Practitioner Coach (EMCC)

Zuständigkeiten Datenschutzmanagement

Klaudia van Eyk

info@eykcon.de

Ziel der Datenschutzrichtlinie

Die Eykcon GbR verpflichtet sich im Rahmen ihrer gesellschaftlichen Verantwortung zur Einhaltung

des gesetzlichen Datenschutzrechtes. Die Wahrung des Datenschutzes ist eine Basis für

vertrauensvolle Geschäftsbeziehungen und die Reputation der Eykcon GbR.

Wir definieren dazu ergänzend unsere eigenen Datenschutzziele als Selbstverpflichtung. Dazu

gehören unter anderem:

 Unbedingte Einhaltung der Vorgaben der EU-Datenschutz-Verordnung,

 Unbedingte Einhaltung der unternehmenseigenen Datenschutzvorschriften,

 Strikte Verpflichtung zur Geheimhaltung und Vertraulichkeit,

 Datenschutzkonforme Arbeitsplatzgestaltung,

 Unbedingter Schutz vor Dateneinsicht durch Unbefugte.

Geltungsbereich und Änderung der Datenschutzrichtlinie

Diese Datenschutzrichtlinie fußt auf den Vorgaben der EU-Datenschutz-Grundverordnung und den

dazugehörigen nationalen Gesetzen.

Diese Datenschutzrichtlinie gilt für die Eykcon GbR.

Die aktuellste Version der Datenschutzrichtlinie kann auf der Internetseite der Eykcon GbR

(www.eykcon.de) abgerufen werden.

Prinzipien für die Verarbeitung personenbezogener Daten

Fairness und Rechtmäßigkeit

Bei der Verarbeitung personenbezogener Daten muss das informationelle Selbstbestimmungsrecht

des Betroffenen gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise

erhoben und verarbeitet werden.

Zweckbindung

Die Verarbeitung personenbezogener Daten darf lediglich die Zwecke verfolgen, die vor der

Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur

eingeschränkt möglich und bedürfen einer Rechtfertigung.

Transparenz

Der Betroffene muss über den Umgang mit seinen Daten informiert werden. Grundsätzlich sind

personenbezogene Daten bei dem Betroffenen selbst zu erheben. Bei Erhebung der Daten muss

der Betroffene mindestens Folgendes erkennen können oder entsprechend

informiert werden über:

 die Identität der verantwortlichen Stelle,

 den Zweck der Datenverarbeitung,

 die hinterlegten Aufbewahrungsfristen,

 Dritte oder Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden.

Datenvermeidung und Datensparsamkeit

Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang

diese notwendig sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Wenn es zur

Erreichung des Zwecks möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem

angestrebten Zweck steht, sind anonymisierte oder statistische Daten zu verwenden.

Personenbezogene Daten dürfen nicht auf Vorrat für potentielle zukünftige Zwecke gespeichert

werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.

Löschung und Speicherbegrenzung

Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen

Aufbewahrungsfristen nicht mehr erforderlich sind, müssen gelöscht werden. Bestehen im Einzelfall

Anhaltspunkte für schutzwürdige Interessen oder für eine historische Bedeutung dieser Daten,

müssen die Daten weiter gespeichert bleiben, bis dass schutzwürdige Interesse rechtlich geklärt.

Sachliche Richtigkeit und Datenaktualität

Personenbezogene Daten sind richtig, vollständig und – soweit erforderlich – auf dem aktuellen

Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nicht

zutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert

werden.

Vertraulichkeit und Datensicherheit

Für personenbezogene Daten gilt das Datengeheimnis.

Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene

organisatorische und technische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige

Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung

gesichert werden.

Zulässigkeit der Datenverarbeitung von Kundendaten

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der

nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann

erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen

Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.

Datenverarbeitung für eine vertragliche Beziehung

Wenn die Datenverarbeitung personenbezogener Daten der Vertragserfüllung oder der Erfüllung

vorvertraglicher Maßnahmen dient, so ist die Verarbeitung zulässig.

Einwilligung in die Datenverarbeitung

Eine Datenverarbeitung kann aufgrund einer Einwilligung des Betroffenen stattfinden.

Vor der Einwilligung muss der Betroffene gemäß dieser Datenschutzrichtlinie informiert werden. Die

Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen.

Unter Umständen, z.B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt

werden. Die Erteilung muss dokumentiert werden.

Datenverarbeitung aufgrund gesetzlicher Erlaubnis

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche

Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der

Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich

sein und richten sich nach diesen Rechtsvorschriften.

Datenverarbeitung aufgrund berechtigten Interesses

Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung

eines berechtigten Interesses der Eykcon GbR erforderlich ist. Berechtigte Interessen sind in der

Regel rechtliche (z.B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z.B.

Vermeidung von Vertragsstörungen). Eine Verarbeitung personenbezogener Daten aufgrund eines

berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass

schutzwürdige Interessen des Betroffenen das Interesse an der Verarbeitung überwiegen. Die

schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen.

Verarbeitung besonders schutzwürdiger Daten

Die Verarbeitung besonders schutzwürdiger personenbezogener Daten darf nur erfolgen, wenn dies

gesetzlich erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Die Verarbeitung dieser

Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber

dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen.

Nutzerdaten und Internet

Wenn auf Webseiten oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt

werden, sind die Betroffenen hierüber in Datenschutzerklärungen und ggf. Cookie-Hinweisen zu

informieren. Die Datenschutzhinweise und ggf. Cookie-Hinweise sind so zu integrieren, dass diese

für die Betroffenen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind.

Werden zur Auswertung des Nutzungsverhaltens von Webseiten und Apps Nutzungsprofile erstellt

(Tracking), so müssen die Betroffenen darüber in jedem Fall in den Datenschutzerklärungen

informiert werden. Erfolgt das Tracking unter einem Pseudonym, so soll den Betroffenen in den

Datenschutzerklärungen eine Widerspruchsmöglichkeit eröffnet werden (Opt-out).

Übermittlung personenbezogener Daten

Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb der Eykcon GbR oder

an Empfänger innerhalb der Eykcon GbR unterliegt den Zulässigkeitsvoraussetzungen der

Verarbeitung personenbezogener Daten. Der Empfänger der Daten muss darauf verpflichtet

werden, diese nur zu den festgelegten Zwecken zu verwenden.

Im Falle einer Datenübermittlung an einen Empfänger außerhalb der Eykcon GbR in einen Drittstaat

muss dieser ein zu dieser Datenschutzrichtlinie gleichwertiges Datenschutzniveau gewährleisten.

Dies gilt nicht, wenn die Übermittlung aufgrund einer gesetzlichen Verpflichtung erfolgt. Im Falle

einer Datenübermittlung von Dritten an die Eykcon GbR muss sichergestellt sein, dass die Daten für

die vorgesehenen Zwecke verwendet werden dürfen.

Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung

personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen

Geschäftsprozess übertragen wird. In diesen Fällen ist mit externen Auftragnehmern eine

Vereinbarung über eine Auftragsdatenverarbeitung abzuschließen.

Dabei behält das beauftragende Unternehmen die volle Verantwortung für die korrekte

Durchführung der Datenverarbeitung. Der Auftragnehmer darf personenbezogene Daten nur im

Rahmen der Weisungen des Auftraggebers verarbeiten. Bei der Erteilung des Auftrags sind die

nachfolgenden Vorgaben einzuhalten; der beauftragende Fachbereich muss ihre Umsetzung

sicherstellen.

1. Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der erforderlichen

technischen und organisatorischen Schutzmaßnahmen auszuwählen.

2. Der Auftrag ist in Textform zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und

die Verantwortlichkeiten des Auftraggebers und des Auftragnehmers zu dokumentieren.

3. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung von der Einhaltung der

Pflichten des Auftragnehmers überzeugen. Die Einhaltung der Anforderungen an die

Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage einer geeigneten

4. Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung ist die Kontrolle

gegebenenfalls während der Vertragslaufzeit regelmäßig zu wiederholen.

5. Bei einer grenzüberschreitenden Auftragsdatenverarbeitung sind die jeweiligen nationalen

Anforderungen für eine Weitergabe personenbezogener Daten ins Ausland zu erfüllen.

Insbesondere darf die Verarbeitung personenbezogener Daten aus dem Europäischen

Wirtschaftsraum in einem Drittstaat nur stattfinden, wenn der Auftragnehmer ein zu dieser

Datenschutzrichtlinie gleichwertiges Datenschutzniveau nachweist.

6. Anerkennung verbindlicher Unternehmensregeln des Auftragnehmers zur Schaffung eines

angemessenen Datenschutzniveaus durch die zuständigen Datenschutz- Aufsichtsbehörden

Rechte von Betroffenen

Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend

durch den verantwortlichen Bereich zu bearbeiten und darf für den Betroffenen zu keinerlei

Nachteilen führen.

1. Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen Daten

welcher Herkunft über ihn zu welchem Zweck gespeichert sind. Falls im Arbeitsverhältnis

nach dem jeweiligen Arbeitsrecht weitergehende Einsichtsrechte in Unterlagen des

Arbeitgebers (z.B. Personalakte) vorgesehen sind, so bleiben diese unberührt.

2. Werden personenbezogene Daten an Dritte übermittelt, muss auch über die Identität des

Empfängers oder über die Kategorien von Empfängern Auskunft gegeben werden.

3. Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre

Berichtigung oder Ergänzung verlangen.

4. Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten zu Zwecken der

Werbung oder der Markt- und Meinungsforschung widersprechen. Für diese Zwecke müssen

die Daten gesperrt werden.

5. Der Betroffene ist berechtigt, die Löschung seiner Daten zu verlangen, wenn die

Rechtsgrundlage für die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt für

den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf oder aus anderen Gründen

entfallen ist. Bestehende Aufbewahrungspflichten und einer Löschung entgegenstehende

schutzwürdige Interessen müssen beachtet werden.

6. Der Betroffene hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung seiner

Daten, das zu berücksichtigen ist, wenn sein schutzwürdiges Interesse aufgrund einer

besonderen persönlichen Situation das Interesse an der Verarbeitung überwiegt.

7. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.

Vertraulichkeit der Verarbeitung

Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung,

Verarbeitung oder Nutzung ist den Mitarbeitern untersagt. Unbefugt ist jede Verarbeitung, die ein

Mitarbeiter vornimmt, ohne damit im Rahmen der Erfüllung seiner Aufgaben betraut und

entsprechend berechtigt zu sein. Es gilt das Need-to -know-Prinzip: Mitarbeiter dürfen nur Zugang

zu personenbezogenen Daten erhalten, wenn und soweit dies für ihre jeweiligen Aufgaben

erforderlich ist. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und

Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.

Mitarbeiter dürfen personenbezogene Daten nicht für eigene private oder wirtschaftliche Zwecke

nutzen, an Unbefugte übermitteln oder diesen auf andere Weise zugänglich machen.

Sicherheit der Verarbeitung

Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung

oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Dies gilt

unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung

neuer Verfahren der Datenverarbeitung, insbesondere neuer IT-Systeme, sind technische und

organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen.

Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden

Risiken und dem Schutzbedarf der Daten zu orientieren. Die technisch organisatorischen

Maßnahmen zum Schutz personenbezogener Daten sind Teil des betrieblichen

Informationssicherheits- und Datenschutz-Managements und müssen kontinuierlich an die

technischen Entwicklungen und an organisatorische Änderungen angepasst werden.

Datenschutzkontrolle

Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze wird

regelmäßig durch Datenschutzaudits und weitere Kontrollen überprüft. Die Ergebnisse der

Datenschutzkontrollen sind der Unternehmensleistung mitzuteilen.

Datenschutzvorfälle

Jeder Betroffene soll der Geschäftsführung unverzüglich Fälle von Verstößen gegen diese

Datenschutzrichtlinie oder andere Vorschriften zum Schutz personenbezogener Daten

(Datenschutzvorfälle) melden. In Fällen von

 unrechtmäßiger Übermittlung personenbezogener Daten an Dritte,

 unrechtmäßigem Zugriff durch Dritte auf personenbezogene Daten, oder

 bei Verlust personenbezogener Daten,

sind die im Unternehmen vorgesehenen Meldungen unverzüglich vorzunehmen, damit nach

staatlichem Recht bestehende Meldepflichten von Datenschutzvorfällen erfüllt werden können.

Verantwortlichkeiten und Sanktionen

Die Geschäftsführung ist für die verordnungskonforme Datenverarbeitung der Eykcon GbR

verantwortlich. Damit ist sie verpflichtet sicherzustellen, dass die gesetzlichen und die in der

Datenschutzrichtlinie enthaltenen Anforderungen des Datenschutzes eingehalten werden (z.B.

nationale Meldepflichten).

Es ist eine Managementaufgabe der Geschäftsführung, durch organisatorische, personelle und

technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des

Datenschutzes sicherzustellen.

Inkraftsetzung

Dieses Dokument wird einmal jährlich sowie bei Bedarf auf Vollständigkeit und Aktualität überprüft.

Änderungen dieses Dokuments liegen in der Verantwortung des Zuständigen für Datenschutz-

Management.

Dieses Dokument ist allen Betroffenen zugänglich zu halten.

RA Peter van Eyk

Geschäftsführender Gesellschafter Eykcon-LeadershipConsulting GbR

25. Mai 2018

Buy now