Kontakt

Datenschutz- und Datenverarbeitungsrichtlinie

Datenschutz- und Datenverarbeitungsrichtlinie

Version 1.1
Datum: 26.02.2026
Dokumentenverantwortlich: Geschäftsführung
Freigabe durch: Geschäftsführung

1. Zweck

Diese Richtlinie definiert die organisatorischen und technischen Grundsätze zum Schutz personenbezogener Daten innerhalb der Organisation.

Ziel ist:

  • Sicherstellung der Einhaltung der DSGVO und anwendbarer internationaler Datenschutzgesetze
  • Umsetzung relevanter Anforderungen aus ISO/IEC 27001
  • Reduktion von Risiken für betroffene Personen und die Organisation
  • Integration datenschutzrechtlicher Anforderungen in das Informationssicherheits-Managementsystem (ISMS)

Diese Richtlinie ist verbindlicher Bestandteil des ISMS.

2. Geltungsbereich

Diese Richtlinie gilt für:

  • alle Geschäftsbereiche
  • alle Mitarbeitenden und Führungskräfte
  • externe Dienstleister mit Zugriff auf personenbezogene Daten
  • alle IT-Systeme, Anwendungen, Infrastrukturen und Prozesse

Sie umfasst sämtliche Verarbeitungstätigkeiten personenbezogener Daten, unabhängig vom Speicherort oder der technischen Plattform.

3. Einbettung in das ISMS und Risikomanagement

Der Schutz personenbezogener Daten ist integraler Bestandteil des Informationssicherheits-Risikomanagements.

  • Risiken im Zusammenhang mit personenbezogenen Daten werden im Rahmen der allgemeinen Risikoanalyse identifiziert und bewertet.
  • Schutzmaßnahmen werden risikobasiert definiert und regelmäßig überprüft.
  • Datenschutzanforderungen fließen in die Auswahl und Implementierung von Sicherheitskontrollen ein.

Die Umsetzung erfolgt gemäß dem kontinuierlichen Verbesserungsprozess (Plan–Do–Check–Act).

4. Grundsätze der Datenverarbeitung

Personenbezogene Daten werden gemäß folgenden Prinzipien verarbeitet:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Diese Prinzipien orientieren sich an Art. 5 DSGVO und werden durch geeignete organisatorische und technische Maßnahmen umgesetzt.

5. Rollen und Verantwortlichkeiten

  • Die Geschäftsführung trägt die Gesamtverantwortung für die Einhaltung dieser Richtlinie.
  • System- und Prozessverantwortliche sind für die Umsetzung technischer und organisatorischer Maßnahmen zuständig.
  • Mitarbeitende sind verpflichtet, datenschutzrelevante Vorgaben einzuhalten.
  • Externe Dienstleister werden vertraglich zur Einhaltung entsprechender Datenschutzstandards verpflichtet.

Verantwortlichkeiten sind dokumentiert und werden mindestens jährlich überprüft.

6. Technische und organisatorische Maßnahmen (TOMs)

Zur Sicherstellung eines angemessenen Schutzniveaus werden insbesondere folgende Maßnahmen umgesetzt:

  • rollenbasierte Zugriffskontrolle
  • Multi-Faktor-Authentifizierung für privilegierte Zugriffe
  • Verschlüsselung bei Datenübertragung
  • Verschlüsselung gespeicherter Daten, sofern risikoorientiert erforderlich
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Backup- und Wiederherstellungsverfahren
  • regelmäßige Sicherheitsupdates
  • Netzwerksegmentierung, soweit erforderlich
  • physische Zugriffskontrollen bei relevanten Standorten

Die Wirksamkeit der Maßnahmen wird regelmäßig überprüft.

7. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Datenschutzanforderungen werden bereits in der Planungsphase neuer Systeme und Prozesse berücksichtigt.

Dabei gilt:

  • Verarbeitung nur der erforderlichen Daten
  • Integration von Schutzmaßnahmen in die Systemarchitektur
  • datenschutzfreundliche Standardeinstellungen
  • Dokumentation von Entscheidungsgrundlagen

8. Datenklassifizierung

Personenbezogene Daten werden im Rahmen der allgemeinen Informationsklassifizierung bewertet.

Mögliche Schutzstufen:

  • öffentlich
  • intern
  • vertraulich
  • besonders schutzbedürftig

Die Klassifizierung beeinflusst Auswahl und Intensität der Schutzmaßnahmen.

9. Verzeichnis der Verarbeitungstätigkeiten

Für relevante Verarbeitungstätigkeiten wird ein dokumentiertes Verzeichnis geführt.

Dieses enthält mindestens:

  • Zweck der Verarbeitung
  • Kategorien betroffener Personen
  • Kategorien personenbezogener Daten
  • Empfänger oder Kategorien von Empfängern
  • Speicherfristen
  • technische und organisatorische Maßnahmen

Das Verzeichnis wird regelmäßig aktualisiert.

10. Speicherfristen und Löschkonzept

Für personenbezogene Daten gelten definierte Aufbewahrungs- und Löschfristen.

Grundsätze:

  • Löschung nach Wegfall des Zwecks
  • Löschung nach Vertragsende
  • Berücksichtigung gesetzlicher Aufbewahrungspflichten
  • dokumentierte Löschverfahren

Die Einhaltung der Löschfristen wird regelmäßig überprüft.

Bei Beendigung eines Vertragsverhältnisses werden sämtliche personenbezogenen Kundendaten innerhalb einer definierten Frist gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Backups unterliegen einem rotierenden Löschkonzept und werden automatisiert überschrieben.

Die vollständige Löschung wird dokumentiert.

11. Betroffenenrechte

Die Organisation gewährleistet die Wahrung gesetzlicher Betroffenenrechte:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch

Anfragen werden dokumentiert, bewertet und innerhalb gesetzlicher Fristen bearbeitet.

Ein definierter Prozess zur Bearbeitung von Betroffenenanfragen ist implementiert.

Anfragen von betroffenen Personen oder Auftraggebern werden über definierte Support- oder Kommunikationskanäle entgegengenommen, dokumentiert und innerhalb gesetzlicher Fristen bearbeitet.

Die Organisation unterstützt Auftraggeber und Plattformpartner bei der Umsetzung von Lösch-, Berichtigungs- und Auskunftsanfragen.

12. Auftragsverarbeitung und Drittparteien

Werden personenbezogene Daten durch externe Dienstleister verarbeitet:

  • erfolgt dies ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags
  • werden geeignete technische und organisatorische Maßnahmen geprüft
  • erfolgt eine risikobasierte Bewertung der Dienstleister
  • wird eine aktuelle Liste der eingesetzten Auftragsverarbeiter geführt

Internationale Datenübermittlungen erfolgen nur unter Beachtung gesetzlicher Vorgaben.

13. Datenschutzvorfälle

Datenschutzverletzungen werden gemäß der Vorfallsmanagement-Richtlinie behandelt.

Dies umfasst:

  • Identifikation und Bewertung
  • Dokumentation
  • risikobasierte Entscheidung über Meldepflichten
  • Meldung an zuständige Behörden innerhalb gesetzlicher Fristen, sofern erforderlich
  • Benachrichtigung betroffener Personen, sofern vorgeschrieben

14. Schulung und Sensibilisierung

Mitarbeitende werden regelmäßig zu Datenschutz- und Informationssicherheitsanforderungen sensibilisiert.

Schulungen werden dokumentiert.

15. Überwachung und interne Überprüfung

Die Einhaltung dieser Richtlinie wird im Rahmen interner Kontrollen überprüft.

Festgestellte Abweichungen werden dokumentiert und im Rahmen des kontinuierlichen Verbesserungsprozesses behandelt.

16. Überprüfung und Aktualisierung

Diese Richtlinie wird:

  • mindestens 1x jährlich
  • bei wesentlichen organisatorischen oder technischen Änderungen
  • bei Gesetzesänderungen

überprüft und bei Bedarf aktualisiert.

Änderungen werden versioniert dokumentiert.

17. Inkrafttreten

Diese Richtlinie tritt mit Veröffentlichung in Kraft und ist verbindlich für alle betroffenen Personen.

Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.