Die Datenschutzleitlinie regelt die Umsetzung der datenschutzrechtlichen Vorgaben für den Umgang mit personenbezogenen Daten und stellt damit eine wesentliche Voraussetzung für die Einhaltung der Rechenschaftspflicht gemäß Artikel 5 Absatz 2 DSGVO dar.
Diese Richtlinie gilt verbindlich für alle Mitarbeiter der mika:timing GmbH und deren Tochtergesellschaften – zurzeit
Die mika:timing GmbH und ihre Tochtergesellschaften werden im Folgenden vereinfachend mit „das Unternehmen" bezeichnet.
Falls ein Dienstleister Teile der in dieser Richtlinie vorgegebenen Maßnahmen übernimmt, ist das Einhalten dieser Richtlinie vertraglich durch die beauftragende Stelle sicherzustellen und regelmäßig zu prüfen.
Die Datenschutz-Leitlinie wird durch den Datenschutzbeauftragten Zur besseren Lesbarkeit wird in der Leitlinie nur die männliche Form des Datenschutzbeauftragten verwendet. Es sind jedoch stets Personen männlichen und weiblichen Geschlechts gleichermaßen gemeint. von mika:timing in Kraft gesetzt.
Der Datenschutzbeauftragte ist zuständig für die erforderlichen Anpassungen an gesetzliche oder betriebliche Veränderungen und die Pflege des Dokuments. Dazu gehören auch die Information und Abstimmung mit den Beteiligten.
„Personenbezogene Daten" sind gemäß Artikel 4 Absatz 1 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
„Verarbeitung" bezeichnet gemäß Artikel 4 Absatz 1 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
„Verantwortlicher" ist gemäß Artikel 4 Absatz 1 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
„Auftragsverarbeiter" ist gemäß Artikel 4 Absatz 1 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Die Grundlage der Tätigkeit der mika:timing GmbH sind die Daten der Kunden und der Kunden der Auftraggeber, für die mika:timing die Daten im Auftrag verarbeitet. Diese Daten sind gegen Gefährdungen eines unzulässigen Zugriffs zu schützen. Neben diesem technischen Schutz erwarten die Kunden und Auftraggeber aber auch generell einen sorgsamen Umgang mit ihren Daten. Ohne eine vertrauensvolle Beziehung zu den Kunden und Auftraggebern sind dauerhafte Geschäftsbeziehungen nicht realisierbar. mika:timing hat diese Herausforderung erkannt und bekennt sich zu ihrer Verantwortung im Umgang mit den anvertrauten Daten. mika:timing gibt sich mit dieser Leitlinie einen Datenschutz- und Datensicherheitsstandard für die Verarbeitung personenbezogener Daten von Kunden und Auftraggebern.
Die Leitlinie unterstützt die Wettbewerbsfähigkeit der mika:timing GmbH und stellt eine Basis für eine dauerhafte und vertrauensvolle Geschäftsbeziehung dar.
Darauf aufbauend hat die mika:timing GmbH ihre Datenschutzziele definiert:
Die Grunsätze der Verarbeitung personenbezogener Daten sind unabhängig davon, ob es sich um Daten von Kunden und Mitarbeitern handelt, oder ob die Datenverarbeitung im Auftrag für Veranstalter von Sportveranstaltungen erfolgt. Dabei ist es ebenfalls unerheblich, ob die Datenverarbeitung in den Räumen der mika:timing GmbH oder vor Ort beim Auftraggeber im Rahmen einer Sportveranstaltung durchgeführt wird.
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
Grundlage für die Zweckbindung ist insbesondere die im Handelsregister für die jeweiligen Gesellschaften des Unternehmens vermerkte Geschäftstätigkeit.
Personenbezogene Daten der Beschäftigten dürfen nur unter der Voraussetzungen erhoben, verarbeitet oder genutzt werden, wenn sie erforderlich sind für:
Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 DSGVO nicht als unvereinbar mit den ursprünglichen Zwecken.
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Datenvermeidung und Datensparsamkeit sind Grundanforderungen, die bei der Bestimmung der zu erhebenden, verarbeitenden oder zu nutzenden Daten nach Art, Umfang und Dauer zu beachten sind – insbesondere werden
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Beruht die Verarbeitung auf einer Einwilligung, muss das Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Leitlinie darstellen.
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Ausnahmen sind nur in den folgenden Fällen zulässig:
Vor dem Hintergrund der immer flexibleren Arbeitsorganisation ist darauf zu achten, dass Mitarbeiter Zugang zu personenbezogenen Daten nur nach dem Need-To-Know Prinzip erhalten. Das Need-To-Know Prinzip bedeutet, dass Mitarbeiter nur nach Art und Umfang ihrer jeweiligen Aufgaben Zugang zu personenbezogenen Daten erhalten dürfen. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten und deren Umsetzung.
Die Nichtbeachtung der Vorgaben zum Schutz personenbezogener Daten kann für den Mitarbeiter zu disziplinarischen, arbeitsrechtlichen oder strafrechtlichen Sanktionen führen.
Aufgrund des Anspruchs des Unternehmens, allen Mitarbeitern vertrauensvoll und schützend zur Seite zu stehen, wird bei Zuwiderhandlung der definierten Vorgaben auf einen Lernprozess und das Verständnis der Mitarbeiter gebaut. Entsprechend wird der Datenschutzbeauftragte die betroffenen Mitarbeiter über die Verletzung informieren.
Ungeachtet dessen, können dem betroffenen Mitarbeiter bei grob fahrlässiger, vorsätzlicher oder wiederholter Missachtung der Vorschriften, Konsequenzen durch das Unternehmen, durch Strafverfolgungsbehörden oder durch die von der Datenverarbeitung Betroffenen drohen. Dies steht nicht im Einfluss des Unternehmens.
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Leitlinie erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag sieht insbesondere vor, dass der Auftragsverarbeiter
Bei der Abwicklung von Sportveranstaltungen ist mika:timing in der Rolle des Auftragnehmers, der die Daten des Veranstalters im Auftrag verarbeitet. Die Verantwortung für die Verarbeitung der personenbezogenen Daten bleibt beim Veranstalter (Verantwortlicher).
Im Auftrag des Unternehmens führt der Datenschutzbeauftragte ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
Hinsichtlich der Beschreibung der technischen und organisatorischen Maßnahmen kann auf ein IT-Sicherheitskonzept des Unternehmens verwiesen werden.
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt das Unternehmen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:
Die Folgenabschätzung enthält zumindest Folgendes:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet das Unternehmen unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Die Meldung enthält zumindest folgende Informationen:
Das Unternehmen dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Abschnitts.
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt das Unternehmen die betroffene Person unverzüglich von der Verletzung.
Die gesetzlich verbrieften Rechte der Betroffenen können nicht durch Verträge oder sonstige Rechtsgeschäfte ausgeschlossen oder beschränkt werden.
Jeder Betroffene hat das Recht, sich bei Fragen des Datenschutzes an den Datenschutzbeauftragten des Unternehmens zu wenden. Niemand darf benachteiligt oder gemaßregelt werden, weil er sich an den Datenschutzbeauftragten gewandt hat. Form- und Fristerfordernisse bestehen nicht.
Im Falle der Datenverarbeitung im Auftrag durch mika:timing trägt der Auftraggeber, der Veranstalter, die Verantwortung für die Bearbeitung der Betroffenenrechte. mika:timing unterstützt den Veranstalter bei der Bearbeitung der Rechte des Betroffenen.
Das Unternehmen trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt das Unternehmen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt das Unternehmen der betroffenen Person Folgendes mit:
Es ist die Aufgabe des Datenschutzbeauftragten die Mitarbeiter über den Sinn und Zweck des betrieblichen Datenschutzes und über aktuelle Entwicklungen zum Datenschutz regelmäßig zu informieren.
Die betroffene Person hat das Recht, vom Unternehmen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
Die betroffene Person hat das Recht, vom Unternehmen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Die betroffene Person hat das Recht, vom Unternehmen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und das Unternehmen ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
Anstelle der Löschung tritt eine Sperrung in Kraft, wenn gesetzliche oder vertragliche Aufbewahrungsfristen dies erfordern oder die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen.
Das Unternehmen verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, es kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sofern sich die Verarbeitung personenbezogener Daten auf eine Einwilligung der betroffenen Person stützt, muss diese spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht hingewiesen werden. Dieser Hinweis muss in einer verständlichen und von anderen Informationen getrennten Form erfolgen.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft das Unternehmen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Der Nachweis der Schaffung eines angemessenen Schutzniveaus wird u. a. durch ein Informationssicherheits-Managementsystem (ISMS) auf Basis des Standards ISO 27001 erbracht.
Der IT-Sicherheitsbeauftragte pflegt ein IT-Sicherheitskonzept, in dem die Umsetzung der Maßnahmen im Einzelnen beschrieben ist.
Verpflichtung der Mitarbeiter
Das Unternehmen stellt sicher, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Unternehmens verarbeiten, es sei denn, sie sind nach geltendem Recht zur Verarbeitung verpflichtet.
Die Geschäftsführung bestellt einen betrieblichen Datenschutzbeauftragten.
Die Bestellung des Datenschutzbeauftragten erfolgt in Schriftform.
Die Geschäftsführung stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
Die Geschäftsführung unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem er die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
Die Geschäftsführung stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
Der Datenschutzbeauftragte darf von der Geschäftsführung wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Der Datenschutzbeauftragte berichtet unmittelbar der Geschäftsführung.
Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Leitlinie im Zusammenhang stehenden Fragen zu Rate ziehen.
Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung bzw. der Vertraulichkeit gebunden.
Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die Geschäftsführung stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Interessenkonflikte können sich u. a. ergeben durch
Der Datenschutzbeauftragte unterrichtet und berät die Geschäftsführung und die Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Leitlinie sowie nach geltenden Datenschutzvorschriften.
Der Datenschutzbeauftragte überwacht die Einhaltung dieser Leitlinie, anderer Datenschutzvorschriften sowie der Strategien der Geschäftsführung für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
Der Datenschutzbeauftragte ist ermächtigt, Kontrollen (Datenschutzaudits) durchzuführen, die Aufschluss über die tatsächliche Einhaltung der Datenschutzziele und dem sachgerechten Umgang mit personenbezogenen Daten geben.
Jeder Mitarbeiter ist verpflichtet, den Datenschutzbeauftragten im Rahmen von Kontrollen angemessen zu unterstützen.
Der Datenschutzbeauftragte ist darüber hinaus befugt, bei externen Dienstleistern entsprechende Kontrollen über die tatsächliche Einhaltung der Datenschutzziele und dem sachgerechten Umgang mit personenbezogenen Daten durchzuführen. Zu diesem Zweck sind entsprechende Vertragsklauseln in die Verträge mit externen Dienstleistern aufzunehmen. Weitere Informationen zu Vertragsvorgaben für die Auftragsdatenverarbeitung finden sich in Abschnitt „Auftragsverarbeitungen".
Das Unternehmen holt bei der Durchführung einer Datenschutz-Folgenabschätzung (siehe Abschnitt „Datenschutz-Folgeabschätzung") den Rat des Datenschutzbeauftragten ein.
Der Datenschutzbeauftragte fungiert als Ansprechpartner für die zuständige Aufsichtsbehörde.
Alle Mitarbeiter des Unternehmens sind bei der Aufnahme ihrer Tätigkeit über die Wahrung des Datengeheimnisses zu unterrichten und darauf zu verpflichten. Diese Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort. Die Verpflichtung muss in geeigneter Weise durchgeführt werden. Die Durchführung ist zu dokumentieren und sollte regelmäßig wiederholt werden.
Die Verpflichtung zur Wahrung des Datengeheimnisses aus Gründen des Datenschutzes ist auch dann durchzuführen, wenn eine Verpflichtung der Mitarbeiter zur Wahrung des Datengeheimnisses bereits aus anderen Gründen besteht.