RECHTLICHES UND DATENSCHUTZ

1. Wer ist datenschutzrechtlich verantwortlich?
Verantwortlicher i. S. d. Datenschutzes ist die bb-net media GmbH, Lissabonstraße 4 97424 Schweinfurt.

2. Kommen auf der Website Cookies und Analyse-Tools zum Einsatz?
Ja. Einzelheiten über deren Zweck sowie Löschungsmöglichkeiten finden Sie in den Datenschutzeinstellungen für bb-net.de, sowie Datenschutzeinstellungen für shop.bb-net.de.

3. Wo und wie lange speichern wir Ihre personenbezogenen Daten?
Für die von uns vorgenommenen Verarbeitungsvorgänge auf der Website geben wir jeweils an, wie lange die Daten bei uns gespeichert und wann sie gelöscht oder gesperrt werden. Soweit nachfolgend keine ausdrückliche Speicherdauer angegeben wird, werden Ihre personenbezogenen Daten gelöscht oder gesperrt, sobald der Zweck oder die Rechtsgrundlage für die Speicherung entfällt. Eine Speicherung Ihrer Daten erfolgt grundsätzlich nur auf Servern in Deutschland.

4. Geben wir Ihre Daten an Dritte weiter?
Nein. Wir geben Ihre Daten nicht an unbefugte Dritte weiter. Allerdings setzen wir im Rahmen unserer Verarbeitungsvorgänge und zur Abwicklung unseres Geschäftsverkehrs externe Dienstleister ein (z. B. für die Bereiche IT, Logistik, Telekommunikation, Vertrieb und Marketing). Diese werden nur nach unserer Weisung tätig und wurden Rahmen von Art. 28 DS-GVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten sowie die erforderlichen Datensicherheitsmaßnahmen vorzuhalten, um Ihre Daten jederzeit vor Verlust und unbefugtem Zugriff zu schützen.

5. Besteht eine Verpflichtung, personenbezogene Daten bereitzustellen?
Nein. Wir machen den Abschluss von Verträgen mit uns nicht davon abhängig, dass Sie uns zuvor personenbezogene Daten bereitstellen. Für Sie als Kunde besteht grundsätzlich auch keine gesetzliche oder vertragliche Verpflichtung, uns Ihre personenbezogenen Daten zur Verfügung zu stellen. Es kann jedoch sein, dass wir bestimmte Angebote nur eingeschränkt oder gar nicht erbringen können, wenn Sie die dafür erforderlichen Daten nicht bereitstellen (z. B. Bestellungen im Webshop).

6. An wen können Sie sich bei Fragen wenden?
Bei jeglichen Fragen rund um das Thema Datenschutz wenden Sie sich bitte an [email protected].

Siehe Punkt B) 1. bis 9.

1.1 Geltungsbereich
Diese Datenschutzinformationen gelten für die Verarbeitung personenbezogener Daten bei Aufruf und Nutzung der Website „bb-net.de“, sowie des darüber abrufbaren Webshops („shop.bb-net.de“).

1.2 Verantwortlicher
Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO ist die bb-net media GmbH, Lissabonstr. 4 97424 Schweinfurt, E-Mail: [email protected].

1.3 Datenschutzbeauftragte(r)
Bei allen Fragen und als Ansprechpartner zum Thema Datenschutz bei uns steht Ihnen unser betrieblicher Datenschutzbeauftragter jederzeit zur Verfügung. Seine Kontaktdaten sind: Herr Andreas Pohl, Pohl Consulting Team GmbH, Mengeringhäuser Str. 15, 34454 Bad Arolsen, E-Mail: [email protected].

2.1 Logfiles

(1) Wir erheben beim Aufruf der Website sog. Zugriffsdaten und speichern diese in einer Protokolldatei (sog. Logfile). Zu diesen Zugriffsdaten zählt auch die IP-Adresse. Daneben werden in der Logdatei der Name der von Ihnen abgerufenen Website, die aufgerufene Datei, das Datum und die Uhrzeit des Abrufs, die übertragene Datenmenge und Meldung über den erfolgreichen Abruf, der Browsertyp nebst Version, das Betriebssystem, die sog. Referrer URL (die zuvor besuchte Seite) sowie der anfragende Provider gespeichert.

(2) Wir erfassen derartige technische Informationen nur zur technischen Optimierung der Website, zum Zweck der Sicherheit unserer technischen Infrastruktur und damit Sie die Internetseite korrekt angezeigt bekommen. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DS-GVO.

(3) Die Logfiles werden auf Grundlage eines entsprechenden Auftragsverarbeitungsvertrages (Art. 28 DS-GVO) durch den Anbieter und Betreiber unseres Webservers (1&1 Telecommunication SE, Elgendorfer Str. 57, 56410 Montabaur gespeichert. Die Logfiles werden automatisch zwei (2) Monate nach Erhebung gelöscht.

2.2 Cookies

(1) Auf unseren Webseiten nutzen wir Cookies. Einzelheiten über diese Cookies, einschließlich deren Zweck und Speicherdauer sowie deren Löschungsmöglichkeiten entnehmen Sie bitte den Datenschutzeinstellungen für ankauf.bb-net.de, sowie Datenschutzeinstellungen für shop.bb-net.de.

(2) Die Datenverarbeitung mit Hilfe von „notwendigen/essenziellen Cookies“ erfolgt auf Grundlage von Art. 6 Abs. 1 f) DS-GVO, da andernfalls der Aufruf nicht möglich oder grundlegende Funktionen der Website eingeschränkt sind. Der Einsatz von Präferenz/Statistik- oder sog. Marketing-Cookies bedarf Ihrer Einwilligung und erfolgt damit auf Grundlage von Art. 6 Abs. 1 a) DS-GVO.

2.3 Einsatz von Analyse- und Performance-Tools

(1) Auf unserer Website kommen sog. Analyse- und Performance-Tools zum Einsatz, mit deren Hilfe wir das Nutzerverhalten unserer Besucher zum Zwecke der Optimierung unserer Services und Angebote auf der Website auswerten können. Mit diesen Tools kann z. B. untersucht werden, wie und woher die Besucher auf unsere Seite kommen oder welche Bereiche auf einer Website besonders oft aufgesucht werden.

(2) Rechtsgrundlage für die dabei stattfindende Datenverarbeitung ist Art. 6 Abs. 1 lit. a) DS-GVO, d. h., wir benötigen für den Einsatz dieser Tools Ihre vorherige Einwilligung. Einzelheiten über die auf der Website eingesetzten Analyse- und Performance-Tools , einschließlich deren Löschungsmöglichkeiten entnehmen Sie bitte ebenfalls den Datenschutzeinstellungen für bb-net.de, sowie Datenschutzeinstellungen für shop.bb-net.de(Statistiken).

2.4 Einsatz von Marketing-Tools

Unsere Webseite nutzt derzeit keine sog. Marketing-Tools.

3. Webshop

(1) Wenn Sie über unseren Webshop Produkte bestellen möchten, müssen Sie sich zunächst anmelden, bzw. registrieren. Hierzu benötigen wir folgende personenbezogenen Daten: Vor- und Nachname, Anschrift, Lieferadresse, Rechnungsadresse, E-Mail-Adresse, Name des Geschäftsführers und des Ansprechpartners. Nach erfolgter Registrierung erhalten Sie Zugang zu unserem Kundenportal (mittels Benutzername und Passwort).

(2) Sämtliche Daten verarbeiten wir ausschließlich, um Ihnen (bzw. dem Ansprechpartner Ihres Unternehmens) den Zugang zu unserem Webshop zu ermöglichen (Login), sowie um die Bestellung aufnehmen, bearbeiten und abwickeln zu können. Rechtsgrundlage für die dabei stattfindende Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DS-GVO.

(3) Wir speichern die für die Vertragsanbahnung (z. B. Registrierung), sowie -abwicklung erhobenen Daten für die Dauer der Geschäftsbeziehung mit Ihnen, mindestens jedoch bis zum Ablauf etwaiger Gewährleistungsfristen. Nach Durchführung einer Bestellung, bzw. eines Auftrags werden die personenbezogenen Daten davon unabhängig noch für die Dauer von fünf (5) Jahren aufbewahrt, es sei denn, Sie fordern uns bereits vorher zur Löschung auf. Etwaige steuer- und handelsrechtlichen Aufbewahrungsfristen bleiben unberührt (Art. 6 Abs. 1 lit. c) DS-GVO).

(1) Wir bieten auf unserer Website ein Kontaktformular an, um Interessenten und Nutzern Fragen zu beantworten und Informationen zu unseren Services zu geben. Zu den dabei erhobenen personenbezogenen Daten zählen die E-Mail-Adresse, der Name und Ihre Nachricht/Anfrage.

(2) Wir speichern Ihre Daten längstens für die Dauer einer etwaig daraus resultierenden Vertragsbeziehung mit Ihnen (Art. 6 Abs. 1 lit. b) DS-GVO). Sollte eine solche Vertragsbeziehung nicht bestehen, oder in Folge der Anfrage nicht entstehen, löschen wir Ihre Daten spätestens neun (9) Monate nach dem letzten Kontakt mit Ihnen.

(1) Mit der Anmeldung zum Presseverteiler, bzw. zu unserem Newsletter erhalten Sie Informationen rund um unsere Produkte und Dienstleistungen. Rechtsgrundlage der Verarbeitung der bei der Registrierung erhobenen Daten (Name, E-Mail-Adresse, Telefonnummer) ist Art. 6 Abs. 1 lit. a) DS-GVO.

(2) Sollten Sie die Informationen nicht mehr erhalten wollen, können Sie dem Erhalt und der damit einhergehenden Datenverarbeitung jederzeit widersprechen und diesen entsprechend abbestellen, ohne dass die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Details über die Art und den Umfang der Datenverarbeitung im Zusammenhang mit einer Bewerbung über unsere Website, finden Sie gesondert in den Datenschutzinformationen für Bewerber und Mitarbeiter.

(1) Wir betreiben Auftritte auf den folgenden Onlineplattformen und Netzwerken, um mit potenziellen oder bestehenden Kunden zu interagieren, sich mit Interessenten und Nutzern auszutauschen oder Angebote und Leistungen zu bewerben:

Facebook
Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland
https://www.facebook.com/about/privacy
https://de-de.facebook.com/full_data_use_policy

Instagram
Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland
http://instagram.com/about/legal/privacy/

Google/ YouTube
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
https://policies.google.com/privacy
https://adssettings.google.com/authenticated

Twitter
Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA
https://twitter.com/de/privacy

Opt Out:
https://twitter.com/personalization

LinkedIn
LinkedIn Ireland Unlimited Company Wilton Place, Dublin 2, Irland
https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out

XING
XING AG, Dammtorstraße 29-32, 20354 Hamburg, Deutschland
https://privacy.xing.com/de/datenschutzerklaerung

(2) Unsere Auftritte betreiben wir in sog. gemeinsamer (datenschutzrechtlicher) Verantwortung mit den Anbietern. Daten, die Sie über die Onlineplattformen und Netzwerke unmittelbar teilen oder veröffentlichen (z. B. über Kommentar- und Chatfunktionen) verarbeiten wir als Verantwortliche, um ggf. mit Ihnen dahingehend zu interagieren oder um sich mit Ihnen auszutauschen. Im Rahmen dieser Interaktion erhalten wir von den Plattformbetreibern zudem ggf. Statistikdaten zur Nutzung unserer „Kanäle und Fanpages“. Hierzu zählen z. B. Angaben über Interaktionen, Likes, Kommentare oder zusammen-gefasste Informationen und Statistiken (z. B. IP-Adresse; Herkunft der Follower), die uns helfen, etwas über die Interaktionen mit unserer Seite zu erfahren. Rechtsgrundlage für die Datenverarbeitung in unserem Verantwortungsbereich ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO.

(3) Die vorgenannten Anbieter verarbeiten jedoch auch Daten in eigener Verantwortlichkeit. Auf Daten, die durch den Anbieter dabei in eigener Verantwortung nach den eigenen Nutzungs- und Datenschutzbedingungen verarbeitet werden, haben wir keinen Einfluss. Wir weisen darauf hin, dass beim Aufruf der vorgenannten Anbieter u. U. weitergehende Daten (z. B. von Ihrem Nutzungs- und „Surfverhalten“) erhoben und ggf. an den Anbieter übermittelt werden. Bitte beachten Sie zudem, dass im Falle der Interaktion über die vorgenannten Medien, Daten auch außerhalb des Raumes der Europäischen Union verarbeitet werden können, wobei sich die Anbieter verpflichtet haben, die Datenschutzstandards der EU einzuhalten. Ferner werden die Daten der Nutzer im Regelfall für Marktforschungs- und Werbezwecke verarbeitet. So können z. B. aus dem Nutzungsverhalten und sich daraus ergebenden Interessen der Nutzer, Nutzungsprofile erstellt werden. Die Nutzungsprofile können wiederum verwendet werden, um z. B. Werbeanzeigen innerhalb und außerhalb der Plattformen zu schalten, die mutmaßlich den Interessen der Nutzer entsprechen. Nähere Informationen hierzu finden Sie in den Datenschutzinformationen der jeweiligen Anbieter.

(4) Soweit uns im Zusammenhang mit der Nutzung der Onlineplattformen und Netzwerke personenbezogene Daten von Ihnen vorliegen, richten Sie bitte ihre Anliegen an uns. Sollten Sie darüber hinaus Rechte gegenüber einem bestimmten Anbieter geltend machen wollen, wenden Sie sich bitte an den jeweils Verantwortlichen.

8.1 Allgemeines zu Plugins von Google

Im Rahmen der Nutzung von nachfolgend genannten Plugins auf unserer Website erhebt Google (Google Ireland Limited, Gordon House, Barrow Street, 4 Dublin, Irland) in der Regel Ihre IP-Adresse und damit auch die Information, dass Sie den entsprechenden Dienst und die entsprechende Unterseite aufgerufen haben. Wenn Sie bei Google eingeloggt sind, werden Ihre Daten direkt Ihrem Konto zugeordnet. Google speichert Nutzungsprofile und nutzt sie ggf. für Zwecke der Werbung und/oder Marktforschung. Insoweit fungiert Google als Verantwortlicher (Art. 26 DS-GVO). Wir haben keinen Einfluss auf die erhobenen Daten und Datenverarbeitungsvorgänge. Uns sind auch nicht der Umfang der Datenerhebung, die Zwecke sowie die Speicherfristen bekannt. Ihnen steht ein Widerspruchsrecht gegen die Bildung dieser Nutzerprofile zu, wobei Sie sich zur Ausübung dessen an Google richten müssen. Weitere Informationen zu Zweck und Um-fang der Datenerhebung und ihrer Verarbeitung, erhalten Sie in den Datenschutzerklärungen von Google, abrufbar unter http://www.google.de/intl/de/policies/privacy. Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre.

8.2 Google reCAPTCHA

Wir nutzen im Rahmen der Kontaktmöglichkeiten den reCAPTCHA Dienst von Google. reCAPTCHA dient der Unterscheidung, ob eine Eingabe durch einen Menschen oder missbräuchlich durch automatisierte, maschinelle Verarbeitung (z. B. durch sog. Bots) erfolgt. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DS-GVO. Weitere Informatio-nen zu Google reCAPTCHA sowie die Datenschutzerklärung von Google entnehmen Sie folgenden Links: https://www.google.com/intl/de/policies/privacy/ und https://www.google.com/recaptcha/intro/android.html.

8.3 Google Maps

Auf unserer Website nutzen wir das Angebot von Google Maps, mit deren Hilfe wir interaktive Karten direkt in der Website anzeigen und dadurch die komfortable Nutzung der Karten-Funktion ermöglichen können (Art. 6 Abs. 1 lit. f) DS-GVO). Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung erhalten Sie unter www.google.de/intl/de/policies/privacy.

8.4 Google translate

Wir verwenden auf unseren Webseiten das Tool Google Translate, um unsere Seiteninhalte in Fremdsprachen darzustellen, um so das Nutzungserlebnis für fremdsprachige Nutzer zu verbessern. Hierin liegt auch unser berechtigtes Interesse an der Verarbeitung der vorstehenden Daten durch den Drittanbieter. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Informationen zu Zweck und Umfang der Datenerhebung sowie ihrer Verarbeitung durch Google erhalten Sie in dem nachfolgend aufgeführten Datenschutzhinweis: http://www.google.com/intl/de_de/policies/privacy/

8.5 Google Fonts und Font Awesome

Unsere Website nutzt zur einheitlichen Darstellung von Schriftarten zudem Schrifttypen, die von Google (Google Fonts) sowie von Font Awesome (Fonticons, Inc., 6 Porter Road, Apartment 3R, Cambridge, MA 02140, USA) bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern der genannten Anbieter aufnehmen. Hierdurch erlangen diese Anbieter u. U. Kenntnis darüber, dass über Ihre IP-Adresse unserer Website aufgerufen wurde. Die Nutzung von Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer On-line-Angebote (Art. 6 Abs. 1 lit. f DS-GVO). Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq sowie https://www.google.com/policies/privacy. Informationen zu Font Awesome finden Sie unter https://www.fontawesome.com und in der Datenschutzerklärung von Font Awesome: https://www.fontawesome.com/privacy.

8.6 Content-Delivery-Network GStatic Google Static Content und Cloudflare

Auf unserer Website verwenden wir das sog. Content Delivery Network (CDN) des Dienstleisters Cloudflare Inc., 101 Townsend St. San Francisco, CA 94107, USA („Cloudflare „) sowie GStatic, ein CDN von Google. Der Einsatz dieser Content Delivery Networks hilft uns u. a. bei der Optimierung der Ladegeschwindigkeiten unserer Website. CDN bewirken, dass die Ladezeit gängiger Java-Script Bibliotheken und Schriftarten verkürzt wird, weil die Dateien von schnellen, standortnahen oder wenig ausgelasteten Servern übertragen werden (Art. 6 Abs. 1 lit. f DS-GVO). Für die Nutzung von CDN ist eine Verarbeitung Ihrer IP-Adresse technisch notwendig, damit die Inhalte an Ihren Browser gesendet werden können. Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare unter: https://www.cloudflare.com/privacypolicy. Nähere Informationen zum Datenschutz bei GStatic finden Sie unter https://policies.google.com/privacy.

9. Jivochat

Wir verwenden auf unserer Website zur vereinfachten Kontaktaufnahme mit unseren Besuchern den Chat-Dienst JivoChat. In dieser vereinfachten Kommunikationsmöglichkeit liegt auch unser berechtigtes Interesse an der Datenverarbeitung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DS-GVO. Anbieter ist die Fa. JivoSite Inc., 525 W. Remington Drive, Sunnyvale, CA 94087, USA. Der Chat kann vollständig anonym genutzt werden und dient Interessenten und Kunden zur Beratung bei der Produktauswahl und Produktfragen. Hier-bei werden durch den Diensteanbieter anonymisierte Daten zum Zwecke der Webanalyse und zum Betreiben des Live-Chat-Systems zur Beantwortung von Live-Support-Anfragen gesammelt und gespeichert. Aus diesen anonymisierten Daten können unter einem Pseudonym Nutzungsprofile erstellt werden.

10. SalesViewer

Im Rahmen des SalesViewer wird ein javascript-basierter Trackingcode auf der Webseite eingesetzt, mit dessen Hilfe folgende Informationen ermittelt werden:
Name, Herkunft und Branche des besuchenden Unternehmens, Quelle/Referrer des besuchenden Unternehmens, Keyword, Besucherverhalten (besuchte Seiten, Besuchszeitpunkt, Besuchsdauer). Dabei werden auf den Endgeräten der Webseite-Besucher keine Cookies oder ähnliche Dateien gespeichert. Weitere Informationen finden Sie auf der Internetseite des Webanalysesystems https://www.salesviewer.com/de/datenschutz.

Sie haben das Recht, jederzeit von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten und das Recht auf Auskunft über diese personenbezogenen Daten. Daneben haben Sie das Recht auf Berichtigung, Löschung und Einschränkung der Datenverarbeitung, sowie das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten einzulegen, bzw. die Einwilligung zur Datenverarbeitung jederzeit zu widerrufen oder die Datenübertragung zu fordern. Alle Informationswünsche, Auskunftsanfragen, Widerrufe oder Widersprüche zur Datenverarbeitung richten Sie bitte per E-Mail an [email protected]. Darüber hinaus haben Sie das Recht, sich im Falle von Datenschutzverletzungen bei einer Aufsichtsbehörde zu beschweren.

Hinweise zum besonderen Widerspruchsrecht
Sie haben zudem das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die u. a. aufgrund von Art. 6 Abs. 1 lit. e) oder f) DS-GVO erfolgt, Widerspruch nach Art. 21 DS-GVO einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt ebenfalls eine E-Mail an [email protected].

bb-net Media GmbH (im Folgenden auch „bb-net“) verpflichtet sich im Rahmen ihrer gesellschaftlichen Verantwortung zur Einhaltung von Datenschutzrechten. Diese Datenschutzleitlinie gilt für die bb-net in Bezug auf die Grundprinzipien zum Datenschutz. Die Wahrung des Datenschutzes ist eine Basis für vertrauensvolle Geschäftsbeziehungen für bb-net in ihren Eigenschaften als Arbeitgeber und als Partner für ihre Geschäftspartner.

Die Datenschutzleitlinie schafft eine der notwendigen Rahmenbedingungen für die Datenübermittlung zwischen bb-net, Kunden, Interessenten sowie sonstigen Geschäftspartnern. Sie gewährleistet das von der Europäischen Datenschutzleitlinie und den nationalen Gesetzen verlangte angemessene Datenschutzniveau.

Ausschließlich aus Gründen der besseren Lesbarkeit wird auf die jeweilige ordnungsgemäße Verwendung männlicher, weiblicher oder diverser Sprachformen verzichtet. Die hier einheitlich verwendete männliche Sprachform gilt stellvertretend für das weibliche oder diverse Geschlecht. Gleiches gilt für die weibliche Form, sie gilt stellvertretend auch für das männliche oder diverse Geschlecht, ebenso gilt für das diverse Geschlecht, sie gilt stellvertretend auch für das männliche oder weibliche Geschlecht.

Diese Datenschutzleitlinie gilt für bb-net. Die Datenschutzleitlinie erstreckt sich auf sämtliche Verarbeitungen personenbezogener Daten. Anonymisierte Daten, z. B. für statistische Auswertungen oder Untersuchungen, unterliegen nicht dieser Datenschutzleitlinie. Die jeweils aktuellste Version der Datenschutzleitlinie kann bei bb-net angefordert werden.

Diese Datenschutzleitlinie beinhaltet die europäische Datenschutzgrundverordnung, ohne dass bestehendes staatliches Recht ersetzt wird. Sie ergänzt das jeweilige nationale Datenschutzrecht. Das jeweilige staatliche Recht geht vor, wenn es Abweichungen von dieser Richtlinie erfordert oder weitergehende Anforderungen stellt.

4.1 Rechtmäßigkeit

Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte des Betroffenen gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise erhoben und verarbeitet werden.

4.2 Zweckbindung

Die Verarbeitung personenbezogener Daten darf lediglich für die Zwecke erfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer Rechtfertigung.

4.3 Transparenz

Der Betroffene muss über den Umgang mit seinen Daten informiert werden. Grundsätzlich sind personenbezogene Daten bei dem Betroffenen selbst zu erheben. Bei Erhebung der Daten muss der Betroffene mindestens Folgendes erkennen können oder entsprechend informiert werden über:

• die Identität der verantwortlichen Stelle,
• den Zweck der Datenverarbeitung,
• Dritte oder Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden.

4.4 Datenvermeidung und Datensparsamkeit

Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang diese notwendig sind, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Personenbezogene Daten dürfen nicht auf Vorrat für potenzielle zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.

4.5 Löschung

Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsprozessbezogenen Aufbewahrungsfristen nicht mehr erforderlich sind, müssen gelöscht werden. Bestehen im Einzelfall Anhaltspunkte für schutzwürdige Interessen dieser Daten, müssen die Daten gespeichert bleiben, bis das schutzwürdige Interesse rechtlich geklärt und durch bb-net geprüft werden konnte.

4.6 Sachliche Richtigkeit und Datenaktualität

Personenbezogene Daten sind richtig, vollständig und – soweit erforderlich – auf dem aktuellen Stand zu speichern. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass nichtzutreffende, unvollständige oder veraltete Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.

4.7 Vertraulichkeit und Datensicherheit

Für personenbezogene Daten gilt das Datengeheimnis. Sie müssen im persönlichen Umgang vertraulich behandelt werden und durch angemessene technische und organisatorische Maßnahmen gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie versehentlichen Verlust, Veränderung oder Zerstörung gesichert werden.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn einer der nachfolgenden Erlaubnistatbestände vorliegt. Ein solcher Erlaubnistatbestand ist auch dann erforderlich, wenn der Zweck für die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten gegenüber der ursprünglichen Zweckbestimmung geändert werden soll.

5.1 Kunden-, Interessenten-, Partner- und Geschäftspartnerdaten

5.1.1 Datenverarbeitung bei Anbahnung, Abschluss und Vertragskündigung

Personenbezogene Daten des betroffenen Interessenten, Kunden, Partners oder Geschäftspartners dürfen zur Begründung, zur Durchführung und zur Beendigung eines Vertrages verarbeitet werden. Dies umfasst auch die Betreuung des Vertragspartners, sofern dies im Zusammenhang mit dem Vertragszweck steht. Im Vorfeld eines Vertrages – also in der Vertragsanbahnungsphase – ist die Verarbeitung von personenbezogenen Daten zur Erstellung von Angeboten, der Vorbereitung von Kauf- oder Dienstleistungsverträgen oder zur Erfüllung sonstiger auf einen Vertragsabschluss gerichteter Wünsche des Interessenten erlaubt. Interessenten dürfen während der Vertragsanbahnung unter Verwendung der Daten kontaktiert werden, die sie mitgeteilt haben. Eventuell vom Interessenten geäußerte Einschränkungen sind zu beachten.

5.1.2 Datenverarbeitung zu Werbezwecken

Kundenbindungs- oder Werbemaßnahmen bedürfen zusätzlicher rechtlicher Voraussetzungen. Die Verarbeitung personenbezogener Daten zu Zwecken der Werbung ist zulässig, sofern sich dies mit dem Zweck, für den die Daten ursprünglich erhoben wurden, vereinbaren lässt. Der Betroffene ist über die Verwendung seiner Daten für Zwecke der Werbung zu informieren. Sofern Daten ausschließlich für Werbezwecke erhoben werden, ist deren Angabe durch den Betroffenen freiwillig. Der Betroffene soll über die Freiwilligkeit der Angabe von Daten für diese Zwecke informiert werden. Im Rahmen der Kommunikation mit dem Betroffenen soll eine Einwilligung des Betroffenen in die Verarbeitung seiner Daten zu Werbezwecken eingeholt werden. Der Betroffene soll im Rahmen der Einwilligung zwischen den verfügbaren Kontaktkanälen wie elektronische Post und Telefon wählen können (Einwilligung).

5.1.3 Einwilligung in die Datenverarbeitung

Eine Datenverarbeitung kann aufgrund einer Einwilligung des Betroffenen stattfinden. Vor der Einwilligung muss der Betroffene gemäß 4.3. dieser Datenschutzleitlinie informiert werden. Die Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Unter Umständen, z. B. bei telefonischer Beratung, kann die Einwilligung auch mündlich erteilt werden. Ihre Erteilung muss dokumentiert werden.

5.1.4 Datenverarbeitung aufgrund gesetzlicher Erlaubnis

Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften.

5.1.5 Datenverarbeitung aufgrund berechtigten Interesses

Die Verarbeitung personenbezogener Daten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses von bb-net erforderlich ist. Berechtigte Interessen sind in der Regel rechtliche (z. B. Durchsetzung von offenen Forderungen) oder wirtschaftliche (z. B. Vermeidung von Vertragsstörungen) Tatbestände. Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Betroffenen das Interesse an der Verarbeitung überwiegen. Die schutzwürdigen Interessen sind für jede Verarbeitung zu prüfen.

5.1.6 Verarbeitung besonders schutzwürdiger Daten

Die Verarbeitung besonders schutzwürdiger personenbezogener Daten darf nur erfolgen, wenn dies gesetzlich erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Die Verarbeitung dieser Daten ist auch dann zulässig, wenn sie zwingend notwendig ist, um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen. Wird die Verarbeitung besonders schutzwürdiger Daten geplant, ist der Beauftragte für den Datenschutz im Vorfeld zu informieren.

5.1.7 Nutzerdaten und Internet

Wenn auf Webseiten oder in Apps personenbezogene Daten erhoben, verarbeitet und genutzt werden, sind die Betroffenen hierüber in Datenschutzhinweisen und ggf. Cookie-Hinweisen zu informieren. Die Datenschutzhinweise und ggf. Cookie-Hinweise sind so zu integrieren, dass diese für die Betroffenen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind. Werden zur Auswertung des Nutzungsverhaltens von Webseiten und Apps Nutzungsprofile erstellt (Tracking), so müssen die Betroffenen darüber in jedem Fall in den Datenschutzhinweisen informiert werden. Ein personenbezogenes Tracking darf nur erfolgen, wenn das nationale Recht dies zulässt oder der Betroffene eingewilligt hat. Erfolgt das Tracking unter einem Pseudonym, so soll dem Betroffenen in den Datenschutzhinweisen eine Widerspruchsmöglichkeit eröffnet werden (Opt-out). Werden bei Webseiten oder Apps in einem registrierungspflichtigen Bereich Zugriffe auf personenbezogene Daten ermöglicht, so sind die Identifizierung und Authentifizierung der Betroffenen so zu gestalten, dass ein für den jeweiligen Zugriff angemessener Schutz erreicht wird.

5.2 Mitarbeiterdaten

5.2.1 Datenverarbeitung für das Arbeitsverhältnis

Für das Arbeitsverhältnis dürfen die personenbezogenen Daten verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Arbeitsvertrages erforderlich sind. Bei der Anbahnung eines Arbeitsverhältnisses dürfen personenbezogene Daten von Bewerbern verarbeitet werden. Nach Ablehnung sind die Daten des Bewerbers unter Berücksichtigung beweisrechtlicher Fristen zu löschen, es sei denn, der Bewerber hat in eine weitere Speicherung für einen späteren Auswahlprozess eingewilligt. Im bestehenden Arbeitsverhältnis muss die Datenverarbeitung immer auf den Zweck des Arbeitsvertrages bezogen sein, sofern nicht einer der nachfolgenden Erlaubnistatbestände für die Datenverarbeitung eingreift.

Ist während der Anbahnung des Arbeitsverhältnisses oder im bestehenden Arbeitsverhältnis die Erhebung weiterer Informationen über den Bewerber bei einem Dritten erforderlich, sind die jeweiligen nationalen gesetzlichen Anforderungen zu berücksichtigen. Im Zweifel ist eine Einwilligung des Betroffenen einzuholen.

Für Verarbeitungen von personenbezogenen Daten, die im Kontext des Arbeitsverhältnisses stehen, jedoch nicht originär der Erfüllung des Arbeitsvertrages dienen, muss jeweils eine rechtliche Legitimation vorliegen. Das können gesetzliche Anforderungen oder eine Einwilligung des Mitarbeiters oder die berechtigten Interessen des Unternehmens sein.

5.2.2 Datenverarbeitung aufgrund gesetzlicher Erlaubnis

Die Verarbeitung personenbezogener Mitarbeiterdaten ist auch dann zulässig, wenn staatliche Rechtsvorschriften die Datenverarbeitung verlangen, voraussetzen oder gestatten. Die Art und der Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung erforderlich sein und richten sich nach diesen Rechtsvorschriften. Besteht ein gesetzlicher Handlungsspielraum, müssen die schutzwürdigen Interessen des Mitarbeiters berücksichtigt werden.

5.2.3 Einwilligung in die Datenverarbeitung

Eine Verarbeitung von Mitarbeiterdaten kann aufgrund einer Einwilligung des Betroffenen stattfinden. Einwilligungserklärungen müssen freiwillig abgegeben werden. Unfreiwillige Einwilligungen sind unwirksam. Die Einwilligungserklärung ist aus Beweisgründen grundsätzlich schriftlich oder elektronisch einzuholen. Erlauben die Umstände dies ausnahmsweise nicht, kann die Einwilligung mündlich erteilt werden. Ihre Erteilung muss in jedem Fall ordnungsgemäß dokumentiert werden. Bei einer informierten freiwilligen Angabe von Daten durch den Betroffenen kann eine Einwilligung angenommen werden, wenn nationales Recht keine explizite Einwilligung vorschreibt. Vor der Einwilligung muss der Betroffene gemäß 4.3. dieser Datenschutzleitlinie informiert werden.

5.2.4 Datenverarbeitung aufgrund berechtigten Interesses

Die Verarbeitung personenbezogener Mitarbeiterdaten kann auch erfolgen, wenn dies zur Verwirklichung eines berechtigten Interesses von bb-net erforderlich ist. Berechtigte Interessen sind in der Regel rechtlich (z. B. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche) oder wirtschaftlich (z. B. Bewertung von Mitarbeitern) begründet.

Eine Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses darf nicht erfolgen, wenn es im Einzelfall einen Anhaltspunkt dafür gibt, dass schutzwürdige Interessen des Mitarbeiters das Interesse an der Verarbeitung überwiegen. Das Vorliegen schutzwürdiger Interessen ist für jede Verarbeitung zu prüfen. Kontrollmaßnahmen, die eine Verarbeitung von Mitarbeiterdaten erfordern, dürfen nur durchgeführt werden, wenn dazu eine gesetzliche Verpflichtung besteht oder ein begründeter Anlass gegeben ist. Auch bei Vorliegen eines begründeten Anlasses muss die Verhältnismäßigkeit der Kontrollmaßnahme geprüft werden. Die berechtigten Interessen des Unternehmens an der Durchführung der Kontrollmaßnahme (z. B. Einhaltung rechtlicher Bestimmungen und unternehmensinterner Regeln) müssen gegen ein mögliches schutzwürdiges Interesse des von der Maßnahme betroffenen Mitarbeiters am Ausschluss der Maßnahme abgewogen werden und dürfen nur durchgeführt werden, wenn sie angemessen sind. Das berechtigte Interesse des Unternehmens und die möglichen schutzwürdigen Interessen der Mitarbeiter müssen vor jeder Maßnahme festgestellt und dokumentiert werden. Zudem müssen ggf. nach staatlichem Recht bestehende weitere Anforderungen (z. B. Informationsrechte der Betroffenen) berücksichtigt werden.

5.2.5 Verarbeitung besonders schutzwürdiger Daten

Besonders schutzwürdige personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Besonders schutzwürdige Daten sind Daten über die rassische und ethnische Herkunft, über politische Meinungen, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit oder das Sexualleben des Betroffenen. Aufgrund staatlichen Rechts können weitere Datenkategorien als besonders schutzwürdig eingestuft oder der Inhalt der Datenkategorien unterschiedlich ausgefüllt sein. Ebenso dürfen Daten, die Straftaten betreffen, häufig nur unter besonderen, von staatlichem Recht aufgestellten Voraussetzungen verarbeitet werden. Die Verarbeitung muss aufgrund staatlichen Rechts ausdrücklich erlaubt oder vorgeschrieben sein. Zusätzlich kann eine Verarbeitung erlaubt sein, wenn sie notwendig ist, damit die verantwortliche Stelle ihren Rechten und Pflichten auf dem Gebiet des Arbeitsrechts nachkommen kann. Der Mitarbeiter kann freiwillig auch ausdrücklich in die Verarbeitung einwilligen. Wird die Verarbeitung besonders schutzwürdiger Daten geplant, ist der Datenschutzbeauftragte im Vorfeld zu informieren.

5.2.6 Telekommunikation und Internet

Telefonanlagen, E-Mail-Adressen, Intranet und Internet sowie interne soziale Netzwerke werden in erster Linie im Rahmen der betrieblichen Aufgabenstellung durch das Unternehmen zur Verfügung gestellt. Sie sind Arbeitsmittel und Unternehmensressource. Sie dürfen im Rahmen der jeweils geltenden Rechtsvorschriften und der unternehmensinternen Richtlinien genutzt werden.

Die private Nutzung ist in jedem Fall ausgeschlossen und verboten.

Aus Gründen der Sicherheit kann die Nutzung der Telefonanlagen, der E-Mail-Adressen und des Internets zeitlich befristet protokolliert werden. Personenbezogene Auswertungen dieser Daten dürfen nur bei einem konkreten begründeten Verdacht eines Verstoßes gegen Gesetze oder Richtlinien von bb-net erfolgen. Diese Kontrollen dürfen nur durch ermittelnde Bereiche unter Wahrung des Verhältnismäßigkeitsprinzips und durch Kontrolle des Datenschutzbeauftragten erfolgen. Die jeweiligen nationalen Gesetze sind zu beachten.

Eine Auftragsverarbeitung liegt vor, wenn ein Auftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt wird, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. In diesen Fällen ist mit externen Auftragnehmern eine Vereinbarung über eine Auftragsverarbeitung abzuschließen. Dabei behält das beauftragende Unternehmen die Verantwortung für die korrekte Durchführung der Datenverarbeitung.

Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Bei der Erteilung des Auftrags sind die nachfolgenden Vorgaben einzuhalten; der beauftragende Fachbereich muss ihre Umsetzung sicherstellen.

1. Der Auftragnehmer ist nach seiner Eignung zur Gewährleistung der erforderlichen technischen und organisatorischen Schutzmaßnahmen auszuwählen. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen.
2. Der Auftrag ist in Textform zu erteilen. Dabei sind die Weisungen zur Datenverarbeitung und die Verantwortlichkeiten des Auftraggebers und des Auftragnehmers zu dokumentieren.
3. Die vom Beauftragten für den Datenschutz bereitgestellten Vertragsstandards müssen beachtet werden.
4. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung von der Einhaltung der Pflichten des Auftragnehmers überzeugen. Die Einhaltung der Anforderungen an die Datensicherheit kann ein Auftragnehmer insbesondere durch Vorlage einer geeigneten Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung ist die Kontrolle gegebenenfalls während der Vertragslaufzeit regelmäßig zu wiederholen.
5. An zahlreichen Stellen der DSGVO finden sich selbstständige datenschutzrechtliche Pflichten, die sich ebenfalls an den Auftragsverarbeiter richten.
6. 27 Abs. 1 DSGVO: Die Pflicht zur Bestellung eines „Repräsentanten“ trifft auch den Auftragsverarbeiter.
7. 30 Abs. 2 DSGVO: Der Auftragsverarbeiter ist zur Führung von Verfahrensverzeichnissen verpflichtet.
8. 31 DSGVO: Die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht trifft auch den Auftragsverarbeiter.
9. 32 Abs. 1 DSGVO: Die Pflicht zu technischen und organisatorischen Maßnahmen der Datensicherheit gilt auch für den Auftragsverarbeiter.
10. 37 Abs. 1 DSGVO: Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft auch den Auftragsverarbeiter.
11. 44 DSGVO: Die Beschränkungen für den Datentransfer in Drittländer sind auch vom Auftragsverarbeiter zu beachten.

Eine Übermittlung von personenbezogenen Daten an Empfänger außerhalb von bb-net oder an Empfänger innerhalb des Unternehmens unterliegt den Zulässigkeitsvoraussetzungen der Verarbeitung personenbezogener Daten unter Abschnitt 5. Der Empfänger der Daten muss darauf verpflichtet werden, diese nur zu den festgelegten Zwecken zu verwenden.

Im Falle einer Datenübermittlung von Dritten an bb-net muss sichergestellt sein, dass die Daten für die vorgesehenen Zwecke verwendet werden dürfen.

Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend durch den verantwortlichen Bereich zu bearbeiten und darf für den Betroffenen zu keinerlei Nachteilen führen. Folgendes ist zu beachten:

8.1 Informationsrecht – Offenlegung

• Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters)
• Kontaktdaten des Datenschutzbeauftragten
• Zweck und Rechtsgrundlage der Verarbeitung
• Berechtigte Interessen (bei Verarbeitung nach Art. 6 DSGVO)
• Empfänger bzw. Kategorien von Empfängern
• Übermittlung in Drittländer oder an internationale Organisationen
• Dauer der Speicherung
• Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit
• Bestehen eines Rechts auf Widerspruch der Einwilligung
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung
• Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
• Information über eine mögliche Zweckänderung der Datenverarbeitung

8.2 Auskunftsrecht

• Zwecke der Datenverarbeitung
• Kategorien der Daten
• Empfänger oder Kategorien von Empfängern
• Dauer der Speicherung
• Recht auf Berichtigung, Löschung und Widerspruch
• Beschwerderecht bei einer Aufsichtsbehörde
• Herkunft der Daten (wenn nicht bei Betroffenen erhoben)
• Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
• Übermittlung in Drittland oder an internationale Organisation

8.3 Recht auf Berichtigung und Löschung

besteht immer dann, wenn

• die Speicherung der Daten nicht mehr notwendig ist,
• der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat,
• die Daten unrechtmäßig verarbeitet wurden,
• eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht.

Personenbezogene Daten unterliegen dem Datengeheimnis. Eine unbefugte Erhebung, Verarbeitung oder Nutzung ist den Mitarbeitern untersagt. Unbefugt ist jede Verarbeitung, die ein Mitarbeiter vornimmt, ohne damit im Rahmen der Erfüllung seiner Aufgaben betraut und entsprechend berechtigt zu sein. Es gilt das Need-to-know-Prinzip: Mitarbeiter dürfen nur Zugang zu personenbezogenen Daten erhalten, wenn und soweit dies für ihre jeweiligen Aufgaben erforderlich ist. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten sowie deren Umsetzung und Pflege im Rahmen von Berechtigungskonzepten.

Mitarbeiter dürfen personenbezogene Daten nicht für eigene private oder wirtschaftliche Zwecke nutzen, an Unbefugte übermitteln oder diesen auf andere Weise zugänglich machen. Vorgesetzte müssen ihre Mitarbeiter bei Beginn des Beschäftigungsverhältnisses über die Pflicht zur Wahrung des Datengeheimnisses unterrichten. Diese Verpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Personenbezogene Daten sind jederzeit gegen unberechtigten Zugriff, unrechtmäßige Verarbeitung oder Weitergabe, sowie gegen Verlust, Verfälschung oder Zerstörung zu schützen. Dies gilt unabhängig davon, ob die Datenverarbeitung elektronisch oder in Papierform erfolgt. Vor Einführung neuer Verfahren der Datenverarbeitung, insbesondere neuer IT-Systeme, sind technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten festzulegen und umzusetzen. Diese Maßnahmen haben sich am Stand der Technik, den von der Verarbeitung ausgehenden Risiken und dem Schutzbedarf der Daten zu orientieren. Der verantwortliche Fachbereich kann dazu insbesondere den Datenschutzbeauftragten zu Rate ziehen. Die technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten sind Teil des Informationssicherheitsmanagements und müssen kontinuierlich an die technischen Entwicklungen und an organisatorische Änderungen angepasst werden.

Die Einhaltung der Richtlinien zum Datenschutz und der geltenden Datenschutzgesetze muss regelmäßig durch Datenschutzaudits und weitere Kontrollen überprüft werden. Die Durchführung obliegt dem Datenschutzbeauftragten und weiteren, mit Auditrechten ausgestatteten Unternehmensbereichen.

Die Ergebnisse der Datenschutzkontrollen sind dem Datenschutzbeauftragten mitzuteilen. Die Geschäftsführung ist über wesentliche Ergebnisse zu informieren. Die zuständige Datenschutzaufsichtsbehörde kann im Rahmen der ihr nach staatlichem Recht zustehenden Befugnisse auch eigene Kontrollen der Einhaltung der Vorschriften dieser Leitlinie durchführen.

Jeder Mitarbeiter soll dem Datenschutzbeauftragten unverzüglich Fälle von Verstößen gegen diese Datenschutzleitlinie oder andere Vorschriften zum Schutz personenbezogener Daten melden. Die für die Funktion oder die Einheit verantwortliche Führungskraft ist verpflichtet, den zuständigen Datenschutzbeauftragten umgehend über Datenschutzvorfälle zu unterrichten.

In Fällen von:

• unrechtmäßiger Übermittlung personenbezogener Daten an Dritte,
• unrechtmäßigem Zugriff durch Dritte auf personenbezogene Daten oder
• einem Verlust personenbezogener Daten

sind die im Unternehmen vorgesehenen Meldungen unverzüglich vorzunehmen, damit nach staatlichem Recht bestehende Meldepflichten von Datenschutzvorfällen erfüllt werden können.

Die Geschäftsführung ist verantwortlich für die Datenverarbeitung. Damit ist sie verpflichtet, sicherzustellen, dass die gesetzlichen und die in der Datenschutzleitlinie enthaltenen Anforderungen des Datenschutzes berücksichtigt werden (z. B. nationale Meldepflichten). Es ist eine Managementaufgabe der Führungskraft, durch organisatorische, personelle und technische Maßnahmen eine ordnungsgemäße Datenverarbeitung unter Beachtung des Datenschutzes sicherzustellen. Die Umsetzung dieser Vorgaben liegt in der Verantwortung der zuständigen Mitarbeiter. Bei Datenschutzkontrollen durch Behörden ist der Datenschutzbeauftragte umgehend zu informieren.

Die Geschäftsführung ist verpflichtet, den Datenschutzbeauftragten in seiner Tätigkeit zu unterstützen. Die für Geschäftsprozesse und Projekte fachlich Verantwortlichen müssen den Datenschutzbeauftragten rechtzeitig über neue Verarbeitungen personenbezogener Daten informieren. Bei Datenverarbeitungsvorhaben, aus denen sich besondere Risiken für Persönlichkeitsrechte der Betroffenen ergeben können, ist der Datenschutzbeauftragte schon vor Beginn der Verarbeitung zu beteiligen. Dies gilt insbesondere für besonders schutzwürdige personenbezogene Daten. Die Führungskräfte müssen sicherstellen, dass ihre Mitarbeiter im erforderlichen Umfang zum Datenschutz geschult werden. Eine missbräuchliche Verarbeitung personenbezogener Daten oder andere Verstöße gegen das Datenschutzrecht werden in vielen Staaten auch strafrechtlich verfolgt und können Schadensersatzansprüche nach sich ziehen. Zuwiderhandlungen, für die einzelne Mitarbeiter verantwortlich sind, können zu arbeitsrechtlichen Sanktionen führen.

Der Datenschutzbeauftragte als fachlich weisungsunabhängiges Organ wirkt auf die Einhaltung der nationalen und internationalen Datenschutzvorschriften hin. Er ist verantwortlich für die Richtlinien zum Datenschutz und überwacht deren Einhaltung. Der Datenschutzbeauftragte wurde von der Geschäftsführung von bb-net bestellt.

Jeder Betroffene kann sich mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an den Datenschutzbeauftragten wenden. Anfragen und Beschwerden werden auf Wunsch vertraulich behandelt.

Kann der zuständige Datenschutzbeauftragte einer Beschwerde nicht abhelfen oder einen Verstoß gegen Datenschutzleitlinien nicht abstellen, muss zur Abhilfe der Datenschutzverletzung die Geschäftsführung berücksichtigt werden.

Anfragen von Aufsichtsbehörden sind immer auch dem Datenschutzbeauftragten zur Kenntnis zu bringen. Der Datenschutzbeauftragte kann wie folgt erreicht werden:

Pohl Consulting Team GmbH
Datenschutzbeauftragter
Mengeringhäuser Straße 15
34454 Bad Arolsen
T +49 5691 8900 501
Mail: [email protected]