Unsere Datenschutzerklärung
1 Zweck und Ziele
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (pbD) ist ein Grundrecht. Die AKRA Business Solutions GmbH (AKRA) hat den Anspruch, dieses Grundrecht und damit die gesetzlichen Anforderungen zu wahren.
Dank ihrer engagierten und fachkundigen Mitarbeiter und Geschäftspartner ist die AKRA Business Solutions GmbH als Beratungsunternehmen für Managementsysteme und Geschäftsprozessorganisation erfolgreich. Die Werte unseres Unternehmens zu wahren und zu mehren ist unser oberstes Ziel. Das gelingt nur, wenn unsere Mitarbeiter, Kunden, Lieferanten und Geschäftspartnern Vertrauen in unsere Leistungsfähigkeit und Zuverlässigkeit haben und wenn die verbindliche Einhaltung gesetzlicher und vertraglicher Rahmenbedingungen gelingt.
In unserem täglichen Handeln hat der Datenschutz daher höchste Priorität. Dies gilt für die Vollständigkeit, Richtigkeit, Aktualität, Vertraulichkeit, Integrität und Verfügbarkeit aller uns anvertrauten personenbezogenen Daten. Unser eigenverantwortliches, vorausschauendes Handeln ist der Schlüssel zum nachhaltigen Datenschutz.
2 Geltungsbereich und Verantwortlichkeiten
Der verbindliche Rahmen unsers Datenschutzmanagementsystems (DSMS) gilt für alle Mitarbeiter der AKRA sowie für Mitarbeiter anderer Unternehmen, die bei der AKRA tätig werden, (im folgenden Mitarbeiter genannt). Darüber hinaus gilt das DSMS auch für Geschäftspartner, welche mit AKRA personenbezogene Daten austauschen beziehungsweise für die AKRA oder in den Geschäftsräumen der AKRA tätig werden. Alle Mitarbeiter und Geschäftspartner werden durch Schulungen und Beratungen sensibilisiert und zur Einhaltung unserer Datenschutzrichtlinien verpflichtet.
Verantwortlich für den Datenschutz in der AKRA sind
- die Geschäftsführer, die einzeln als Datenschutzverantwortliche die rechtliche Verantwortung für die Beachtung des Datenschutzes tragen. Sie initiieren geeignete Maßnahmen zur Stärkung des Datenschutzes und prüfen zusammen mit dem Datenschutzbeauftragten die Wirksamkeit der Ergebnisse dieser Maßnahmen. Die Umsetzung der Maßnahmen kann auf Mitarbeiter übertragen werden.
- die Führungskräfte, die die Umsetzung des Datenschutzes in ihren Zuständigkeitsbereichen verantworten. Sie sind ob ihrer Funktion mit den erforderlichen Weisungsbefugnissen ausgestattet und stimmen sich mit dem Datenschutzbeauftragten und den anderen Führungskräften ab. Sie berichten an die Geschäftsführung.
3 Grundsätze
Alle Mitarbeiter der AKRA orientieren sich bei der Verarbeitung personenbezogener Daten an den folgenden Grundsätzen.
3.1 Rechtmäßigkeit, Treu und Glauben, Transparenz
Wir verarbeiten personenbezogene Daten jederzeit transparent und auf rechtmäßiger Basis. Auskunft erhält jede betroffene Person, sofern ihre Identität glaubhaft nachzuweisen ist. So wahren wir Transparenz und stärken die Verarbeitung nach Treu und Glauben.
3.2 Zweckbindung
Wir verarbeiten personenbezogene Daten ausschließlich zur Erfüllung legitimer Zwecke. Personenbezogene Daten, die verschiedenen Zwecken dienen, werden nach Möglichkeit separiert.
3.3 Datenminimierung
Wir verarbeiten personenbezogene Daten nur in dem Umfang, in dem es zur Erfüllung legitimer Zwecke notwendig ist. Im jeweiligen Zusammenhang nicht benötigte Daten werden nicht verarbeitet. Ist die Verarbeitung anonymer oder pseudonymisierter Daten ausreichend und möglich, werden diese genutzt.
3.4 Richtigkeit
Wir verarbeiten personenbezogene Daten so sorgfältig, dass wir die Richtigkeit während der Verarbeitung wahren können. Eine Kontrolle, ob die uns zur Verfügung gestellten Daten tatsächlich richtig sind, ist in letzter Konsequenz nicht zu leisten. Aufforderungen zur Richtigstellung kommen wir jederzeit nach, sofern die Aufforderung und die Informationen über die korrekten Daten nachvollziehbar und glaubwürdig sind.
3.5 Speicherbegrenzung
Wir verarbeiten personenbezogene Daten nur solange, wie dafür eine eindeutige Erlaubnis oder gesetzliche Verpflichtung besteht! Die Verarbeitungsdauer wird auf das erforderliche Maß begrenzt, das heißt, Daten werden unter Beachtung etwaiger Aufbewahrungspflichten frühestmöglich gelöscht.
3.6 Rechenschaftspflicht
Wir verarbeiten personenbezogene Daten in einer Art und Weise, dass wir über die Verarbeitung jederzeit Rechenschaft ablegen können gegenüber betroffenen Personen, Behörden und Verantwortlichen, sofern wir Auftragsverarbeiter sind.
3.7 Verfügbarkeit
Wir verarbeiten personenbezogene Daten mit Systemen, die die Verfügbarkeit der personenbezogenen Daten gemäß aktuellem Stand der Technik jederzeit gewährleisten.
3.8 Belastbarkeit
Wir verarbeiten personenbezogene Daten mit Systemen, die gemäß aktuellem Stand der Technik belastbar sind.
3.9 Vertraulichkeit
Wir verarbeiten personenbezogene Daten streng vertraulich. Sie werden in unseren Geschäftsprozessen nur den Mitarbeitern zugänglich gemacht, die dies zur Erfüllung ihrer legitimen Pflichten benötigen. Technische und organisatorische Maßnahmen sind so gestaltet, dass die Vertraulichkeit personenbezogener Daten gewahrt wird.
3.10 Integrität
Wir verarbeiten personenbezogene Daten mit technischen und organisatorischen Maßnahmen im Sinne der ISO 27001 Informationssicherheitsmanagementsystem so, dass sie nicht korrumpiert werden. Laufende Überwachung, regelmäßige Prüfungen und eine kontinuierliche Verbesserung stellen das hohe Niveau unseres Datenschutzes sicher.
Wir achten auf die Vollständigkeit, Richtigkeit und Aktualität der von AKRA verarbeiteten personenbezogenen Daten.
3.11 Aktualität
Wir verarbeiten personenbezogene Daten und aktualisieren sie umgehend, wenn dies aufgrund entsprechender Information gegeben ist.
4 Verarbeitungstätigkeiten
Unsere Tätigkeiten zur Verarbeitung personenbezogener Daten sind in einem Verarbeitungsverzeichnis aufgeführt. Wir nutzen die Software "ConSol Compliance Suite" und beschreiben darin:
- Kategorien personenbezogener Daten
- Aufbewahrungsfristen
- Rechtliche Grundlagen
- Zwecke der Verarbeitung
- Schwellenwertanalysen und Risikobewertungen zur Datenschutzfolgenabschätzung
- Datenschutzfolgenabschätzungen
- Datenübermittlungen
- Technische und organisatorische Maßnahmen
4.1 Kategorien personenbezogener Daten
Wir verarbeiten personenbezogene Daten folgender Kategorien
- Kunden
- Kontaktdaten
- Adressdaten
- Ansprechpartner
- Kontaktdaten
- Gruppe/ -interesse
- Interessent
- Beschäftigter
- Mitarbeiter Stammdaten
- Namen
- Adressdaten
- Geburtsdatum
- Bankverbindung
- Steuermerkmale
- Gehalt
- Arbeitszeit
- bisherige Tätigkeitsbereiche
- Qualifikation
- Mitarbeiter Stammdaten
- Bewerbungen
- Lieferant
- Besondere Kategorien (sofern unabdingbar notwednig)
- Sonstige mit dedizierter Beschreibung
4.1.1 Personengruppen
Die Kategorien personenbezogener Daten richten sich nach den folgenden Personengruppen:
- Beschäftigte (inklusive Auszubildende und Praktikanten)
- Bewerber
- Geschäftspartner
- Kunden
- Lieferanten
4.1.2 Datengruppen und Datenarten
Je nach Personengruppe verarbeiten wir im Detail andere Daten. Sie lassen sich in folgende Gruppen zusammenfassen zu Angaben über:
- Namen
- Adresse
- Kontaktmöglichkeiten
- Beschäftigungsverhältnis
- Daten besonderer Kategorie
- Beraterprofil
Im Einzelnen
Anrede
Titel
Vorname
Familienname
Geburtsname
Geburtsdatum
Geburtsort
Geburtsland
Geschlecht
PLZ
Ort
Straße
Hausnummer
Adresszusatz
Telefon
Fax
E-Mail-Adresse
Familienstand
Kontonummer (IBAN)
Bankleitzahl und -bezeichnung (BIC)
Versicherungsnummer gem. Sozialvers.-Ausweis
Foto
Staatsangehörigkeit
AGS/Gemeinde-Nr.
Finanzamt-Nr.
Identifikations-Nr.
Steuerklasse/Faktor
Kinderfreibeträge
Konfession
Krankenkasse
KK.-Nr.
SV-rechtliche Beurteilung
KV
RV
AV
PV
UV-Gefahrtarif
höchster Schulabschluss
höchster Berufsabschluss
Beginn Ausbildung
Ende Ausbildung
besondere Kenntnisse
Fremdsprachen
Führerschein
Zertifizierungen
andere Qualifizierungen
Personalnummer
(Firmen-)Eintrittsdatum
Ersteintrittsdatum
Berufsbezeichnung
Ausgeübte Tätigkeit (Kennziffer gem. BA oder Bezeichnung)
Funktion
Führungsfunktion
Art der Beschäftigung
Probezeit
Dauer Probezeit
Urlaubsanspruch
genehmigter Urlaub
Resturlaub
Wöchentliche Arbeitszeit
Tägliche Arbeitszeit
Kostenstelle
Abteilung / Fachbereich
Personengruppe
Befristung
Zielvereinbarungen
Zielerreichungsgrad
Stundenlohn
Betrag
Festgehalt / Garantiebezug
Eventueller variabler Anteil
Eventuelle weitere Leistungen
Ausbildungsvergütung
Praktikumsvergütung
Empfänger VWL
Betrag
AG-Anteil (Höhe monatlich)
Vertragsnummer
Lohnsteuerkarte/Bescheinigung über Lohnsteuerabzug
Sozialversicherungsausweis
Mitgliedsbescheinigung Krankenkasse
Vermögenswirksame-Leistungen-Vertrag
Nachweis Elterneigenschaft
Vertrag Betriebliche Altersversorgung
Erklärung über die Verdienste bei Vorbeschäftigungen
Zur Beurteilung der Versicherungsfreiheit in der Krankenversicherung
Schwerbehindertenausweis
Grad der Schwerbehinderung
Grund der Schwerbehinderung
Versicherten-Nr.
Status
Arbeitsunfähigkeiten
4.1.3 Herkunft personenbezogener Daten
Wir verarbeiten personenbezogene Daten
- die uns direkt zur Verfügung gestellt werden. Sie können aus persönlichen Kontakten, Visitenkarten, E-Mails, der Kontaktseite unserer Website, Postsendungen, Telefonanrufen, Faxen, soziale Netzwerke oder anderen Übermittlungswegen stammen.
- die aus einer dritten Quelle stammen, wenn uns diese Daten rechtskonform zur Verfügung gestellt werden, wie zum Beispiel im Rahmen von Managed-Service-Provider- Verhältnissen.
- automatisch, wenn E-Mails oder Newsletter von uns gelesen werden oder unsere Website besucht wird. Näheres beschreibt unsere Datenschutzerklärung zur Verwendung der Websites.
4.2 Aufbewahrungsfristen
Wir verarbeiten personenbezogene Daten nur so lange, wie wir hierzu gesetzlich verpflichtet sind oder gemäß gesonderter freiwilliger Einwilligung betroffener Personen. Davon unberührt bleibt das jederzeitige Recht betroffener Personen, die erteilte Einwilligung jederzeit zurückzuziehen.
4.3 Rechtliche Grundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf der Basis folgender rechtlicher Grundlagen:
- Vorliegen freiwilliger Einwilligungen (Art. 4 Nr. 11, Art. 5 Abs.1 lit b), Art. 6 Abs. 1 lit a), Art 7)
- Erfordernis bei Vertragserfüllung/-anbahnung (Art. 7 lit b) EU-DSRL, § 28 Abs. 1 Nr. 1 BDSG)
- Erfüllung von rechtlichen Pflichten wie z.B. Arbeitsrecht, Rechte der sozialen Sicherheit oder Sozialschutz (Art. 6 Abs. 1 lit c)
- Überwiegen eines berechtigten Interesses der Verarbeitung (Art. 6 Abs. 1 lit. f)
- Im öffentlichen Interesse oder in der Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit e), sofern tatsächlich eintretend.
4.4 Zwecke der Verarbeitung
Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:
- Personalaktenführung
- Bewerberdatenerfassung
- Kundendatenerfassung
- Lieferantendatenerfassung
- Bestelldatenerfassung
- Geschäftspartnerdatenerfassung
- Wartung und Weiterentwicklung von IT-Systemen unserer Kunden
4.5 Risikobewertung zur Datenschutzfolgenabschätzung
Strukturierte mehrstufige Abfragen in unserem Datenschutz-IT-System ConSol CM Compliance Suite ermöglichen Schwellenwertanalysen und Datenschutzrisikoanalysen, bei denen wir alle kritischen Punkte berücksichtigen. So gewährleisten wir ein hohes Maß an Aussagekraft und Relevanz bei der Datenschutzfolgenabschätzung.
4.6 Datenübermittlung
Personenbezogene Daten werden nur nach Erteilung einer Einwilligung oder gemäß rechtlicher Vorschriften innerhalb der Europäischen Union bzw. des Europäischem Wirtschaftsraums übermittelt, z.B. an unseren Steuerberater oder an Kunden im Falle von Projektbesetzungen.
4.7 Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen zur Wahrung des Datenschutzes gestalten wir im Sinne der ISO 27001 Informationssicherheitsmanagementsystem. Anhand dieser Norm treffen wir an unsere Bedürfnisse angepasste Regelungen.
4.8 Überwachung und kontinuierliche Verbesserung
Wie in normgerechten Managementsystemen gefordert überwachen wir unsere Datenschutzmaßnahmen laufend und prüfen sie periodisch. Auf eingetretene Ereignisse oder erkannten Verbesserungsbedarf wird mit geeigneten Maßnahmen reagiert. Ergebnisse der Maßnahmen werden geprüft und bei ausreichender Wirksamkeit in Kraft gesetzt. Alle Maßnahmen werden in unserem IT-System ConSol CM Compliance Suite verfolgt und deren Umsetzung nachweissicher protokolliert.
4.9 Ort der Verarbeitung personenbezogene Daten
Personenbezogene Daten werden am Sitz derAKRA sowie im Rahmen von Projekten an Projektstandorten innerhalb der Europäischen Union bzw. des Europäischem Wirtschaftsraums verarbeitet.
Eine Verarbeitung personenbezogener Daten kann in Einzelfällen in Drittstaaten erfolgen, beispielsweise bei Nutzung bestimmter Software. Vor Einführung solcher Verarbeitungen prüfen wir die Wahrung eines angemessenen Schutzniveaus. Die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik und des sowie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit dienen uns als Richtschnur.
4.10 Automatische Entscheidungsfindung
Eine automatische Entscheidungsfindung erfolgt nicht.
4.11 Betroffenenrechte
Von der Verarbeitung personenbezogener Daten betroffene Personen haben gegenüber AKRA als Verantwortlichen ein Recht auf
- transparente Information über den Umgang mit bei uns verarbeiteten personenbezogenen Daten.
- Berichtigung und ggf. Ergänzung bei uns verarbeiteter personenbezogener Daten.
- Auskunft über bei uns verarbeiteter personenbezogener Daten.
- Löschung personenbezogener Daten und das Recht auf „Vergessen“.
- Einschränkung der Verarbeitung.
- Datenübertragbarkeit.
- Widerruf einer bereits erteilten Einwilligung mit Wirkung für die Zukunft.
- Beschwerde bei der zuständigen Aufsichtsbehörde für Datenschutz.
Anfragen zur Verarbeitung Ihrer personenbezogenen Daten haben wir gemäß gesetzlicher Regelung binnen 30 Tagen zu beantworten. Um eine systematische Abarbeitung aller Anfragen gewährleisten zu können, wenden Sie sich bitte an
Jörg Schink
"AKRA Business Solutions GmbH, Willy-Brandt-Straße 57, 20457 Hamburg
mail: joerg.schink@akrabs.de
oder
Hans -Jürgen Torlée
AKRA Business Solutions GmbH, Willy-Brandt-Straße 57, 20457 Hamburg
mail: hans.torlee@akrabs.de
Alternativ können sie uns erreichen unter
Telefon: +49 (0)40 226 1885 - 00
Telefax: +49 (0)40 226 1885 - 45
Gesetzliche Fristen zur Speicherung bestimmter personenbezogener Daten verpflichten uns, personenbezogene Daten auch dann zu speichern, wenn betroffenen Personen die zukünftige Verarbeitung ablehnen oder die Löschung personenbezogener Daten beantragen.
Die für AKRA Business Solutions GmbH eBusiness zuständige Aufsichtsbehörde für Datenschutz der Freien und Hansestadt Hamburg ist:
Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitProf. Dr. Johannes Caspar
Klosterwall 6 (Block C), 20095 Hamburg
Tel.: 040 / 428 54 - 4040
Fax: 040 / 428 54 - 4000
E-Mail: mailbox@datenschutz.hamburg.de
5 Fragen zum Datenschutz
Wenn Sie Fragen zum Datenschutz haben, dann können Sie sich gern an uns wenden:
Jörg Schink
AKRA Business Solutions GmbH, Willy-Brandt-Straße 57, 20457 Hamburg
E-Mail: joerg.schink@akrabs.de
oder
Hans -Jürgen Torlée
AKRA Business Solutions GmbH, Willy-Brandt-Straße 57, 20457 Hamburg
E-Mail: hans.torlee@akrabs.de