Zweck

Die Datenschutzleitlinie regelt die Umsetzung der datenschutzrechtlichen Vorgaben für den Umgang mit personenbezogenen Daten und stellt damit eine wesentliche Voraussetzung für die Einhaltung der Rechenschaftspflicht gemäß Artikel 5 Absatz 2 DSGVO dar.

Geltungsbereich

Diese Richtlinie gilt verbindlich für alle Mitarbeiter der mika:timing GmbH und deren Tochtergesellschaften – zurzeit

• der est mika:timing AB (Schweden).

Die mika:timing GmbH und ihre Tochtergesellschaften werden im Folgenden vereinfachend mit „das Unternehmen" bezeichnet.
Falls ein Dienstleister Teile der in dieser Richtlinie vorgegebenen Maßnahmen übernimmt, ist das Einhalten dieser Richtlinie vertraglich durch die beauftragende Stelle sicherzustellen und regelmäßig zu prüfen.

Genehmigung und Änderung

Die Datenschutz-Leitlinie wird durch den Datenschutzbeauftragten Zur besseren Lesbarkeit wird in der Leitlinie nur die männliche Form des Datenschutzbeauftragten verwendet. Es sind jedoch stets Personen männlichen und weiblichen Geschlechts gleichermaßen gemeint. von mika:timing in Kraft gesetzt.
Der Datenschutzbeauftragte ist zuständig für die erforderlichen Anpassungen an gesetzliche oder betriebliche Veränderungen und die Pflege des Dokuments. Dazu gehören auch die Information und Abstimmung mit den Beteiligten.

Begriffe

Personenbezogene Daten

„Personenbezogene Daten" sind gemäß Artikel 4 Absatz 1 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Verarbeitung

„Verarbeitung" bezeichnet gemäß Artikel 4 Absatz 1 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Verantwortlicher

„Verantwortlicher" ist gemäß Artikel 4 Absatz 1 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Auftragsverarbeiter

„Auftragsverarbeiter" ist gemäß Artikel 4 Absatz 1 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Datenschutzziele

Die Grundlage der Tätigkeit der mika:timing GmbH sind die Daten der Kunden und der Kunden der Auftraggeber, für die mika:timing die Daten im Auftrag verarbeitet. Diese Daten sind gegen Gefährdungen eines unzulässigen Zugriffs zu schützen. Neben diesem technischen Schutz erwarten die Kunden und Auftraggeber aber auch generell einen sorgsamen Umgang mit ihren Daten. Ohne eine vertrauensvolle Beziehung zu den Kunden und Auftraggebern sind dauerhafte Geschäftsbeziehungen nicht realisierbar. mika:timing hat diese Herausforderung erkannt und bekennt sich zu ihrer Verantwortung im Umgang mit den anvertrauten Daten. mika:timing gibt sich mit dieser Leitlinie einen Datenschutz- und Datensicherheitsstandard für die Verarbeitung personenbezogener Daten von Kunden und Auftraggebern.
Die Leitlinie unterstützt die Wettbewerbsfähigkeit der mika:timing GmbH und stellt eine Basis für eine dauerhafte und vertrauensvolle Geschäftsbeziehung dar.
Darauf aufbauend hat die mika:timing GmbH ihre Datenschutzziele definiert:

1. Wir behandeln die Daten unserer Kunden und Mitarbeiter fair und mit größtem Respekt.
2. Wir wählen unter Berücksichtigung der technischen und organisatorischen Möglichkeiten die Maßnahmen zum Schutz der uns anvertrauten Daten sehr sorgfältig aus und setzen diese konsequent um.
3. Wir schaffen Vertrauen bei den Betroffenen durch Transparenz und Information.

Grundsätze des Datenschutzes

Die Grunsätze der Verarbeitung personenbezogener Daten sind unabhängig davon, ob es sich um Daten von Kunden und Mitarbeitern handelt, oder ob die Datenverarbeitung im Auftrag für Veranstalter von Sportveranstaltungen erfolgt. Dabei ist es ebenfalls unerheblich, ob die Datenverarbeitung in den Räumen der mika:timing GmbH oder vor Ort beim Auftraggeber im Rahmen einer Sportveranstaltung durchgeführt wird.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der das Unternehmen unterliegt;
4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Unternehmen übertragen wurde;
6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zweckbindung

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
Grundlage für die Zweckbindung ist insbesondere die im Handelsregister für die jeweiligen Gesellschaften des Unternehmens vermerkte Geschäftstätigkeit.
Personenbezogene Daten der Beschäftigten dürfen nur unter der Voraussetzungen erhoben, verarbeitet oder genutzt werden, wenn sie erforderlich sind für:

1. die Entscheidung, ob der Betroffene eingestellt wird oder
2. die Durchführung des Beschäftigungsverhältnisses oder
3. die Beendigung des Beschäftigungsverhältnisses.

Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 DSGVO nicht als unvereinbar mit den ursprünglichen Zwecken.

Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Datenvermeidung und Datensparsamkeit sind Grundanforderungen, die bei der Bestimmung der zu erhebenden, verarbeitenden oder zu nutzenden Daten nach Art, Umfang und Dauer zu beachten sind – insbesondere werden

1. nicht mehr Daten erhoben, als für den Verarbeitungszweck benötigt werden,
2. personenbezogene Daten nicht in größerer Detaillierung als benötigt verarbeitet,
3. personenbezogene Daten nicht über einen längeren Zeitraum verarbeitet oder gespeichert werden, als dies für den Verwendungszweck notwendig ist und
4. personenbezogene Daten mit einem zum Schutzziel und Verwendungszweck verhältnismäßigem Aufwand anonymisiert und pseudonymisiert.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Besondere Vorgaben

Einwilligungen

Beruht die Verarbeitung auf einer Einwilligung, muss das Unternehmen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Leitlinie darstellen.
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Ausnahmen sind nur in den folgenden Fällen zulässig:

1. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt,
2. die Verarbeitung ist erforderlich, damit das Unternehmen oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann,
3. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
4. die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat.

Need-To-Know Prinzip

Vor dem Hintergrund der immer flexibleren Arbeitsorganisation ist darauf zu achten, dass Mitarbeiter Zugang zu personenbezogenen Daten nur nach dem Need-To-Know Prinzip erhalten. Das Need-To-Know Prinzip bedeutet, dass Mitarbeiter nur nach Art und Umfang ihrer jeweiligen Aufgaben Zugang zu personenbezogenen Daten erhalten dürfen. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten und deren Umsetzung.

Sanktionen bei Verletzung von Datenschutzvorschriften

Die Nichtbeachtung der Vorgaben zum Schutz personenbezogener Daten kann für den Mitarbeiter zu disziplinarischen, arbeitsrechtlichen oder strafrechtlichen Sanktionen führen.
Aufgrund des Anspruchs des Unternehmens, allen Mitarbeitern vertrauensvoll und schützend zur Seite zu stehen, wird bei Zuwiderhandlung der definierten Vorgaben auf einen Lernprozess und das Verständnis der Mitarbeiter gebaut. Entsprechend wird der Datenschutzbeauftragte die betroffenen Mitarbeiter über die Verletzung informieren.
Ungeachtet dessen, können dem betroffenen Mitarbeiter bei grob fahrlässiger, vorsätzlicher oder wiederholter Missachtung der Vorschriften, Konsequenzen durch das Unternehmen, durch Strafverfolgungsbehörden oder durch die von der Datenverarbeitung Betroffenen drohen. Dies steht nicht im Einfluss des Unternehmens.

Auftragsverarbeitungen

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Leitlinie erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag sieht insbesondere vor, dass der Auftragsverarbeiter

1. die personenbezogenen Daten nur auf dokumentierte Weisung des Unternehmens – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet;
2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen ergreift, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;
4. keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nimmt und im Fall einer allgemeinen schriftlichen Genehmigung das Unternehmen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert, wodurch das Unternehmen die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben;
5. angesichts der Art der Verarbeitung das Unternehmen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen;
6. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen das Unternehmen bei der Umsetzung von angemessenen Sicherheitsmaßnahmen, der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person sowie der Datenschutz-Folgeabschätzung unterstützt;
7. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Unternehmens entweder löscht oder zurückgibt, sofern nicht eine rechtliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
8. dem Unternehmen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Abschnitt niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Unternehmen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Bei der Abwicklung von Sportveranstaltungen ist mika:timing in der Rolle des Auftragnehmers, der die Daten des Veranstalters im Auftrag verarbeitet. Die Verantwortung für die Verarbeitung der personenbezogenen Daten bleibt beim Veranstalter (Verantwortlicher).

Verzeichnis von Verarbeitungstätigkeiten

Im Auftrag des Unternehmens führt der Datenschutzbeauftragte ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
2. die Zwecke der Verarbeitung;
3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation;
6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Hinsichtlich der Beschreibung der technischen und organisatorischen Maßnahmen kann auf ein IT-Sicherheitskonzept des Unternehmens verwiesen werden.

Datenschutz-Folgeabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt das Unternehmen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder
3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Die Folgenabschätzung enthält zumindest Folgendes:

1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Leitlinie und geltendes Recht eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet das Unternehmen unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Die Meldung enthält zumindest folgende Informationen:

1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Das Unternehmen dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Abschnitts.
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt das Unternehmen die betroffene Person unverzüglich von der Verletzung.

Rechte der Betroffenen

Grundsatz der Betroffenenrechte

Die gesetzlich verbrieften Rechte der Betroffenen können nicht durch Verträge oder sonstige Rechtsgeschäfte ausgeschlossen oder beschränkt werden.
Jeder Betroffene hat das Recht, sich bei Fragen des Datenschutzes an den Datenschutzbeauftragten des Unternehmens zu wenden. Niemand darf benachteiligt oder gemaßregelt werden, weil er sich an den Datenschutzbeauftragten gewandt hat. Form- und Fristerfordernisse bestehen nicht.
Im Falle der Datenverarbeitung im Auftrag durch mika:timing trägt der Auftraggeber, der Veranstalter, die Verantwortung für die Bearbeitung der Betroffenenrechte. mika:timing unterstützt den Veranstalter bei der Bearbeitung der Rechte des Betroffenen.

Transparenz

Das Unternehmen trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Informationspflicht

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt das Unternehmen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
4. wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Unternehmens oder eines Dritten erforderlich ist, die berechtigten Interessen, die vom Unternehmen oder einem Dritten verfolgt werden;
5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
6. gegebenenfalls die Absicht des Unternehmens, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.

Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt das Unternehmen der betroffenen Person Folgendes mit:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
2. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
4. die Kategorien personenbezogener Daten, die verarbeitet werden;
5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln.

Es ist die Aufgabe des Datenschutzbeauftragten die Mitarbeiter über den Sinn und Zweck des betrieblichen Datenschutzes und über aktuelle Entwicklungen zum Datenschutz regelmäßig zu informieren.

Auskunftsrecht

Die betroffene Person hat das Recht, vom Unternehmen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch das Unternehmen oder eines Widerspruchsrechts gegen diese Verarbeitung;
6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

Berichtigung und Löschung

Die betroffene Person hat das Recht, vom Unternehmen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Die betroffene Person hat das Recht, vom Unternehmen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und das Unternehmen ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
2. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
3. Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

Anstelle der Löschung tritt eine Sperrung in Kraft, wenn gesetzliche oder vertragliche Aufbewahrungsfristen dies erfordern oder die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

Widerspruchsrecht

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen.
Das Unternehmen verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, es kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sofern sich die Verarbeitung personenbezogener Daten auf eine Einwilligung der betroffenen Person stützt, muss diese spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht hingewiesen werden. Dieser Hinweis muss in einer verständlichen und von anderen Informationen getrennten Form erfolgen.

Sicherheit der Verarbeitung

Risikobasierte Schutzmaßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft das Unternehmen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

Nachweisbarkeit

Der Nachweis der Schaffung eines angemessenen Schutzniveaus wird u. a. durch ein Informationssicherheits-Managementsystem (ISMS) auf Basis des Standards ISO 27001 erbracht.
Der IT-Sicherheitsbeauftragte pflegt ein IT-Sicherheitskonzept, in dem die Umsetzung der Maßnahmen im Einzelnen beschrieben ist.
Verpflichtung der Mitarbeiter
Das Unternehmen stellt sicher, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Unternehmens verarbeiten, es sei denn, sie sind nach geltendem Recht zur Verarbeitung verpflichtet.

Datenschutzbeauftragter

Bestellung

Die Geschäftsführung bestellt einen betrieblichen Datenschutzbeauftragten.
Die Bestellung des Datenschutzbeauftragten erfolgt in Schriftform.
Die Geschäftsführung stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
Die Geschäftsführung unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem er die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.

Unabhängigkeit

Die Geschäftsführung stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
Der Datenschutzbeauftragte darf von der Geschäftsführung wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Der Datenschutzbeauftragte berichtet unmittelbar der Geschäftsführung.

Ansprechbarkeit

Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Leitlinie im Zusammenhang stehenden Fragen zu Rate ziehen.

Vertraulichkeit

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung bzw. der Vertraulichkeit gebunden.

Interessenskonflikt

Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die Geschäftsführung stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Interessenkonflikte können sich u. a. ergeben durch

1. Geschäftsleitungsaufgaben,
2. Aufgaben als Mitglied im Aufsichts- oder Verwaltungsrat oder
3. Leitung von zu kontrollierenden Abteilungen (z. B. Datenverarbeitung).

Aufgaben des Datenschutzbeauftragten

Unterrichtung und Beratung

Der Datenschutzbeauftragte unterrichtet und berät die Geschäftsführung und die Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Leitlinie sowie nach geltenden Datenschutzvorschriften.

Überwachung der Einhaltung

Der Datenschutzbeauftragte überwacht die Einhaltung dieser Leitlinie, anderer Datenschutzvorschriften sowie der Strategien der Geschäftsführung für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
Der Datenschutzbeauftragte ist ermächtigt, Kontrollen (Datenschutzaudits) durchzuführen, die Aufschluss über die tatsächliche Einhaltung der Datenschutzziele und dem sachgerechten Umgang mit personenbezogenen Daten geben.
Jeder Mitarbeiter ist verpflichtet, den Datenschutzbeauftragten im Rahmen von Kontrollen angemessen zu unterstützen.
Der Datenschutzbeauftragte ist darüber hinaus befugt, bei externen Dienstleistern entsprechende Kontrollen über die tatsächliche Einhaltung der Datenschutzziele und dem sachgerechten Umgang mit personenbezogenen Daten durchzuführen. Zu diesem Zweck sind entsprechende Vertragsklauseln in die Verträge mit externen Dienstleistern aufzunehmen. Weitere Informationen zu Vertragsvorgaben für die Auftragsdatenverarbeitung finden sich in Abschnitt „Auftragsverarbeitungen".

Datenschutz-Folgenabschätzung

Das Unternehmen holt bei der Durchführung einer Datenschutz-Folgenabschätzung (siehe Abschnitt „Datenschutz-Folgeabschätzung") den Rat des Datenschutzbeauftragten ein.

Zusammenarbeit mit der Aufsichtsbehörde

Der Datenschutzbeauftragte fungiert als Ansprechpartner für die zuständige Aufsichtsbehörde.

Wahrung des Datengeheimnisses

Alle Mitarbeiter des Unternehmens sind bei der Aufnahme ihrer Tätigkeit über die Wahrung des Datengeheimnisses zu unterrichten und darauf zu verpflichten. Diese Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort. Die Verpflichtung muss in geeigneter Weise durchgeführt werden. Die Durchführung ist zu dokumentieren und sollte regelmäßig wiederholt werden.
Die Verpflichtung zur Wahrung des Datengeheimnisses aus Gründen des Datenschutzes ist auch dann durchzuführen, wenn eine Verpflichtung der Mitarbeiter zur Wahrung des Datengeheimnisses bereits aus anderen Gründen besteht.