TEADIT International Produktions GmbH und seine Tochter-Unternehmen („TEADIT EU“) verpflichten sich, die Rechte und Freiheiten des Einzelnen bei der Verarbeitung seiner persönlichen Daten zu schützen. Die Gewährleistung des Datenschutzes ist die Grundlage für vertrauensvolle Geschäftsbeziehungen und den Ruf unseres Unternehmens als attraktiver Arbeitgeber. Diese Datenschutzerklärung gilt in vollem Umfang für TEADIT EU und basiert auf anerkannten, grundlegenden Prinzipien des Datenschutzes, insbesondere in Europa. Wenn Sie Fragen haben oder Zweifel an der Anwendung dieser Richtlinie oder des Gesetzes haben, wenden Sie sich bitte an die Geschäftsleitung.
1.1 Personenbezogene Daten sind Daten, die lebende Personen identifizieren können. Sie kann neben Bildern, Namen und Kontaktdaten auch numerische oder statistische Informationen enthalten, aus denen sich die Identität einer Person ableiten lässt.
1.2 Sensible personenbezogene Daten sind personenbezogene Daten über die rassische oder ethnische Herkunft, Gesundheit, Daten über Gesundheit oder Sexualleben und sexuelle Orientierung, politische Meinungen, Gewerkschaftszugehörigkeit, Strafregister oder religiöse oder philosophische Überzeugungen und gemäß DS-GVO auch genetische Daten und biometrische Daten. Diese Daten müssen bei der Erhebung, Verarbeitung und Übermittlung besonders geschützt berücksichtigt werden.
1.3 Daten gelten als anonymisiert, wenn die persönliche Identität von niemandem nach vollzogen werden kann oder wenn die persönliche Identität nur mit unangemessenem Aufwand wiederhergestellt werden kann.
1.4 Ein Betroffener ist die Person, die Gegenstand personenbezogener Daten ist. In einigen Ländern können auch juristische Personen betroffen sein.
1.5 Eine verantwortliche Stelle bestimmt die Zwecke, für die personenbezogene Daten verarbeitet werden. Der für die Verarbeitung Verantwortliche ist letztendlich für die personenbezogenen Daten verantwortlich, unabhängig davon, ob sie an einen Bearbeiter weitergegeben werden oder nicht. Dies schließt die Verantwortung für die Beantwortung von Zugriffsanfragen und Beschwerden der betroffenen Personen ein.
1.6 Der Europäische Wirtschaftsraum (EWR) ist eine mit der EU assoziierte Wirtschaftsregion und umfasst Norwegen, Island und Liechtenstein
1.7 Ein Verantwortlicher ist jemand, der personenbezogene Daten im Auftrag und zu den vom Inhaber der Datenverarbeitung festgelegten Zwecken verarbeitet.
1.8 Dritte sind alle Personen außer der betroffenen Person und dem für die Verarbeitung Verantwortlichen.
1.9 Übermittlung ist jede Weitergabe von geschützten Daten durch die verantwortliche Stelle an Dritte.
Dieses Dokument beschreibt die Datenschutzpolitik TEADIT EU. Sie gibt einen Überblick über die Anforderungen an den Datenschutz und bietet Orientierungshilfen.
Diese Datenschutzerklärung gilt für TEADIT EU und dessen Mitarbeiter. Die Datenschutzerklärung erstreckt sich auf die gesamte Verarbeitung personenbezogener Daten. In Ländern, in denen die Daten juristischer Personen in gleichem Maße geschützt sind wie personenbezogene Daten, gilt diese Datenschutzerklärung auch für Daten juristischer Personen. Anonymisierte Daten unterliegen nicht dieser Datenschutzerklärung.
3.1 Diese Datenschutzerklärung umfasst die international anerkannten Datenschutzgrundsätze, ohne die bestehenden nationalen Gesetze zu ersetzen. Sie ergänzt die nationalen Datenschutzgesetze. Das jeweilige nationale Recht hat Vorrang, wenn es im Widerspruch zu dieser Datenschutzerklärung steht oder strengere Anforderungen als diese Datenschutzerklärung stellt. Der Inhalt dieser Datenschutzerklärung ist auch in Ermangelung entsprechender nationaler Rechtsvorschriften zu beachten.
3.2 Jeder Verstoß gegen diese Datenschutzerklärung kann dazu führen, dass TEADIT EU als Inhaber der Datenverarbeitung (und in einigen Fällen auch Einzelpersonen) gegen die Datenschutzbestimmungen verstößt und somit gesetzlich für die Folgen eines solchen Verstoßes haftet. Es ist die Verantwortung aller Mitarbeiter, die mit personenbezogenen Daten in TEADIT EU Unternehmen umgehen, dafür zu sorgen, dass diese sicher aufbewahrt werden. Personenbezogene Daten sollten in keiner Form, weder versehentlich noch anderweitig, an unbefugte Dritte weitergegeben werden. Jede Verletzung oder Nichteinhaltung dieser Datenschutzrichtlinie, insbesondere jede absichtliche Weitergabe personenbezogener Daten an unbefugte Dritte, kann zu disziplinarischen oder anderen geeigneten Maßnahmen führen.
4.1 Fairness und Rechtmäßigkeit
Bei der Verarbeitung personenbezogener Daten müssen die individuellen Rechte der Betroffenen geschützt werden. Personenbezogene Daten müssen rechtmäßig und fair erhoben und verarbeitet werden.
4.2 Zweckbindung
Personenbezogene Daten müssen für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. Personenbezogene Daten können nur zu dem Zweck verarbeitet werden, der vor der
Datenerhebung festgelegt wurde. Nachträgliche Änderungen des Zwecks sind nur eingeschränkt möglich und bedürfen der Begründung.
4.3 Transparenz
Die betroffene Person muss darüber informiert werden, wie mit ihren Daten umgegangen wird. Im Allgemeinen müssen personenbezogene Daten direkt von der betroffenen Person erhoben werden. Bei der Erhebung der Daten muss die betroffene Person entweder die Identität des für die Verarbeitung Verantwortlichen, den Zweck der Datenverarbeitung und Dritte oder Kategorien von Dritten, an die die Daten übermittelt werden könnten, kennen oder darüber informiert sein.
4.4 Datenminimierung
Personenbezogene Daten müssen angemessen, relevant und auf diejenigen beschränkt sein, die für die Zwecke, für die sie verarbeitet werden, erforderlich sind. Vor der Verarbeitung personenbezogener Daten ist zu prüfen, ob und inwieweit die Verarbeitung personenbezogener Daten notwendig ist, um den Zweck zu erreichen, zu dem sie vorgenommen wird. Soweit es der Zweck zulässt und der Aufwand in einem angemessenen Verhältnis zum verfolgten Ziel steht, sind anonymisierte oder statistische Daten zu verwenden. Personenbezogene Daten dürfen nicht im Voraus erhoben und für mögliche zukünftige Zwecke gespeichert werden, es sei denn, dies ist nach nationalem Recht erforderlich oder zulässig.
4.5 Löschen
Nach Ablauf der gesetzlichen oder geschäftsprozessbezogenen Fristen müssen nicht mehr benötigte personenbezogene Daten gelöscht werden. Im Einzelfall kann ein Hinweis auf schutzwürdige Interessen oder historische Bedeutung dieser Daten vorliegen. Wenn ja, müssen die Daten so lange aufbewahrt werden, bis die schutzwürdigen Interessen rechtlich geklärt sind oder das Unternehmensarchiv die Daten daraufhin ausgewertet hat, ob sie für historische Zwecke aufbewahrt werden müssen.
4.6 Genauigkeit
Personenbezogene Daten müssen richtig, vollständig und – falls erforderlich – auf dem neuesten Stand sein. Es sind alle zumutbaren Maßnahmen zu treffen, um sicherzustellen, dass unrichtige oder unvollständige Daten gelöscht, berichtigt, ergänzt oder aktualisiert werden.
4.7 Speicherbegrenzung
Personenbezogene Daten müssen in einer Form aufbewahrt werden, die eine Identifizierung der betroffenen Personen nicht länger als für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist. Personenbezogene Daten können für längere Zeiträume gespeichert werden, sofern die Daten ausschließlich zu Archivierungszwecken im öffentlichen Interesse oder zu wissenschaftlichen und historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89
Absatz 1 DSGV verarbeitet werden und sofern geeignete technische und organisatorische Maßnahmen getroffen werden.
4.8 Vertraulichkeit und Datensicherheit
Personenbezogene Daten unterliegen dem Datengeheimnis. Sie sind vertraulich zu behandeln und durch geeignete organisatorische und technische Maßnahmen gegen unbefugten und unrechtmäßigen Zugriff, unrechtmäßige Verarbeitung oder Verbreitung sowie gegen zufälligen Verlust, Beschädigung, Veränderung oder Zerstörung zu sichern. Dies gilt für Papier- und elektronische Aufzeichnungssysteme. Systeme sollten zugriffskontrolliert sein, das Personal entsprechend geschult und Sicherheitsprozesse entwickelt und verstanden werden. Eine angemessene Überwachung und Berichterstattung über Datensicherheitsrisiken, -initiativen und -entwicklungen ist durchzuführen.
4.9 Datengeheimnis
Personenbezogene Daten unterliegen dem Datengeheimnis. Die Datenschutzbestimmungen verlangen, dass Mitarbeiter, die mit personenbezogenen Daten umgehen, Vertraulichkeit wahren (Datengeheimnis). Personen, die mit der Datenverarbeitung befasst sind, dürfen personenbezogene Daten nicht unbefugt erheben, verarbeiten oder nutzen (Vertraulichkeit). Sie sind verpflichtet, diese Vertraulichkeit auch nach Beendigung ihrer Tätigkeit zu wahren. Es gilt das „need to know“-Prinzip (Kenntnis nur bei Bedarf). Die Arbeitnehmer haben nur dann Zugang zu personenbezogenen Daten, wenn dies für die Art und den Umfang der jeweiligen Aufgabe angemessen ist. Dies erfordert eine sorgfältige Aufteilung und Trennung sowie die Umsetzung von Rollen und Verantwortlichkeiten.
Es ist den Mitarbeitern untersagt, personenbezogene Daten für private oder gewerbliche Zwecke zu verwenden, unbefugten Personen zugänglich zu machen oder in sonstiger Weise zur Verfügung zu stellen. Diese Verpflichtung gilt auch nach Beendigung des Arbeitsverhältnisses.
4.10 Verantwortlichkeit
Der für die Verarbeitung Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und kann diese nachweisen.
4.11 Datenschutz durch Design und Standard
Der für die Verarbeitung Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck der Verarbeitung erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Diese Maßnahmen stellen insbesondere sicher, dass personenbezogene Daten nicht ohne Zutun einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden.
5.1 Datenverarbeitung-Einwilligung
Die Daten können nach Einwilligung des Betroffenen verarbeitet werden. Vor Erteilung der Einwilligung ist die betroffene Person zu informieren. Die Einverständniserklärung muss schriftlich oder elektronisch zu Dokumentationszwecken eingeholt werden. Unter bestimmten Umständen, wie z.B. bei Telefongesprächen, kann die Einwilligung mündlich erteilt werden. Die Erteilung der Zustimmung ist zu dokumentieren.
Die Zustimmung muss eine frei gegebene, spezifische, informierte und eindeutige Angabe der Wünsche des Einzelnen sein. Es muss eine klare Form des Einverständnisses geben. Die Einwilligung kann nicht aus Schweigen, vorgemerkten Kästchen oder Inaktivität hergeleitet werden. Die Zustimmung muss auch von anderen Bedingungen getrennt sein. Es muss einfache Möglichkeiten geben, die Zustimmung zu widerrufen.
5.2 Datenverarbeitung – gesetzliche Bedingungen
Die Verarbeitung personenbezogener Daten ist auch dann zulässig, wenn die nationale Gesetzgebung dies verlangt oder erlaubt. Art und Umfang der Datenverarbeitung müssen für die gesetzlich zulässige Datenverarbeitung notwendig sein und den einschlägigen gesetzlichen Bestimmungen entsprechen.
5.3 Automatische Einzelentscheidungen
Die automatisierte Verarbeitung personenbezogener Daten, die zur Beurteilung bestimmter Aspekte (z.B. Bonität) verwendet wird, kann nicht die alleinige Grundlage für Entscheidungen sein, die negative Rechtsfolgen haben oder die den Betroffenen erheblich beeinträchtigen könnten. Die betroffene Person muss über die Fakten und Ergebnisse automatisierter Einzelentscheidungen und die Möglichkeit der Reaktion informiert werden. Eine Prüfung und Plausibilitätsprüfung müssen von einem Mitarbeiter durchgeführt werden.
5.4 Benutzerdaten
Werden personenbezogene Daten auf Websites oder in Apps erhoben, verarbeitet und genutzt, sind die Betroffenen in einer Datenschutzerklärung und ggf. Informationen über Cookies zu informieren. Die Datenschutzerklärung und alle Cookie-Informationen müssen so integriert sein, dass sie für die Betroffenen leicht zu identifizieren, direkt zugänglich und konsistent verfügbar sind.
Werden Nutzungsprofile (Tracking) zur Auswertung der Nutzung von Websites und Apps erstellt, sind die Betroffenen in der Datenschutzerklärung stets entsprechend zu informieren. Eine personenbezogene Verfolgung darf nur erfolgen, wenn dies nach nationalem Recht oder nach Zustimmung der betroffenen Person zulässig ist. Wenn das Tracking ein Pseudonym verwendet, sollte der Betroffene die Möglichkeit haben, sich in der Datenschutzerklärung abzumelden.
Wenn Websites oder Apps in einem auf registrierte Nutzer beschränkten Bereich auf personenbezogene Daten zugreifen können, muss die Identifizierung und Authentifizierung des Betroffenen einen ausreichenden Schutz beim Zugriff bieten.
5.5 Datenverarbeitung für ein Vertragsverhältnis
Personenbezogene Daten der jeweiligen Interessenten, Kunden und Partner können zur Begründung, Durchführung und Kündigung eines Vertrages verarbeitet werden. Dazu gehört auch die Beratung des Vertragspartners, wenn dies im Zusammenhang mit dem Vertragszweck steht. Vor einem Vertrag – während der Vertragsanbahnungsphase – können personenbezogene Daten verarbeitet werden, um Angebote oder Bestellungen zu erstellen oder andere Anfragen des Interessenten zu erfüllen, die sich auf den Vertragsabschluss beziehen. Interessenten können während des Vertragsvorbereitungsprozesses unter Verwendung der von ihnen bereitgestellten Informationen kontaktiert werden. Die von den Interessenten geforderten Einschränkungen müssen eingehalten werden. Für darüberhinausgehende Werbemaßnahmen sind folgende Anforderungen zu beachten.
5.6 Datenverarbeitung für Werbezwecke
Wendet sich der Betroffene an ein TEADIT EU-Unternehmen, um Informationen anzufordern (z.B. Anforderung von Informationsmaterial über ein Produkt), ist eine Datenverarbeitung zur Erfüllung dieser Anforderung zulässig. Kundenbindungs- oder Werbemaßnahmen unterliegen weiteren gesetzlichen Anforderungen. Personenbezogene Daten können zu Werbezwecken oder zur Markt- und Meinungsforschung verarbeitet werden, sofern dies mit dem Zweck vereinbar ist, zu dem die Daten ursprünglich erhoben wurden. Der Betroffene muss über die Verwendung seiner Daten zu Werbezwecken informiert sein. Sofern Daten nur zu Werbezwecken erhoben werden, ist die Offenlegung durch den Betroffenen freiwillig. Die betroffene Person wird darauf hingewiesen, dass die Angabe von Daten zu diesem Zweck freiwillig ist. Bei der Kommunikation mit dem Betroffenen ist von ihm die Einwilligung zur Verarbeitung der Daten zu Werbezwecken einzuholen. Bei der Einwilligung sollte der Betroffene zwischen den verfügbaren Kontaktmöglichkeiten wie Post, E-Mail und Telefon wählen können. Lehnt der Betroffene die Nutzung seiner Daten zu Werbezwecken ab, können diese für diese Zwecke nicht mehr verwendet werden und müssen für diese Zwecke gesperrt werden. Weitere länderspezifische Einschränkungen bei der Nutzung der Daten für Werbezwecke sind zu beachten
6.1 Die Übermittlung personenbezogener Daten ist nur mit Zustimmung des Betroffenen erlaubt oder wenn dies gesetzlich vorgeschrieben oder zulässig ist.
6.2 Die im Internet veröffentlichten Informationen sind als Export von Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes zu betrachten. Für die Speicherung oder Übermittlung sensibler personenbezogener Daten sollten keine webbasierten oder Cloud Dienste verwendet werden, es sei denn, dies wurde mit dem Financial Director vereinbart.
6.3 Werden personenbezogene Daten von einer Gesellschaft der Gruppe mit Sitz in der Europäischen Union/Europäischer Wirtschaftsraum an eine Schwestergesellschaft außerhalb der EU oder einen Dritten mit Sitz außerhalb der Europäischen Union/Europäischer Wirtschaftsraum (Drittstaat) übermittelt, sollte der Datenschutzkoordinator kontaktiert werden, um allen Vorgaben und Anweisungen der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten nachzukommen. Gleiches gilt für die Datenübermittlung durch Schwesterunternehmen aus anderen Ländern. Sind sie Teil eines internationalen Zertifizierungssystems für verbindliche Unternehmensregeln zum Datenschutz, müssen sie die Zusammenarbeit mit den zuständigen Revisionsstellen und Agenturen sicherstellen. Die Teilnahme an solchen Zertifizierungssystemen muss mit dem Datenschutzkoordinator vereinbart werden.
7.1 Datenverarbeitung im Auftrag bedeutet, dass ein Anbieter beauftragt wird, personenbezogene Daten zu verarbeiten, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. In diesen Fällen ist eine Vereinbarung über die Datenverarbeitung im Auftrag mit externen Anbietern und zwischen dem Unternehmen von TEADIT EU abzuschließen.
7.2 Bei der Auftragserteilung sind folgende Anforderungen zu beachten; die bestellenden Abteilungen müssen sicherstellen, dass alle gesetzlichen Auflagen erfüllt werden.
7.3 Der Anbieter ist nach seiner Fähigkeit auszuwählen, die erforderlichen technischen und organisatorischen Schutzmaßnahmen zu gewährleisten.
7.4 Personenbezogene Daten dürfen nur auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen verarbeitet werden. Der Verarbeiter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5 Die Verarbeitung im Auftrag wird durch einen Vertrag geregelt, in dem Gegenstand, Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien der betroffenen Personen sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind. Die Hinweise zur Weiterverarbeitung der Daten sind zu dokumentieren.
7.6 Vor Beginn der Datenverarbeitung muss der Kunde sicher sein, dass der Anbieter seinen Verpflichtungen nachkommt. Die Einhaltung der Anforderungen an die Datensicherheit kann ein Anbieter insbesondere durch eine entsprechende Zertifizierung nachweisen. Je nach Risiko der Datenverarbeitung müssen die Überprüfungen während der Vertragslaufzeit regelmäßig wiederholt werden.
7.7 Nach Wahl des für die Verarbeitung Verantwortlichen löscht oder gibt er alle personenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht ein Gesetz die Speicherung der personenbezogenen Daten vorschreibt.
7.8 Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der gesetzlichen Verpflichtungen nachzuweisen und die Durchführung von Audits, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen anderen von ihm beauftragten Prüfer zu ermöglichen und dazu beizutragen.
7.9 Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen beauftragt, gelten dieselben Datenschutzverpflichtungen wie im Vertrag oder in anderen Rechtsakten zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter.
7.10 Bei grenzüberschreitender Auftragsdatenverarbeitung sind die jeweiligen nationalen Anforderungen an die Offenlegung personenbezogener Daten im Ausland zu erfüllen. Nehmen Sie in solchen Fällen bitte Kontakt mit dem Datenschutzkoordinator auf.
8.1 Die betroffene Person kann Auskunft darüber verlangen, welche personenbezogenen Daten über sie gespeichert sind, wie und zu welchem Zweck sie erhoben wurde. Bestehen weitergehende Rechte auf Einsicht in die Unterlagen des Arbeitgebers zum Arbeitsverhältnis (z.B. Personalakte), bleiben diese unberührt.
8.2 Werden personenbezogene Daten an Dritte weitergegeben, sind Angaben über die Identität des Empfängers oder der Empfängergruppen zu machen.
8.3 Sind personenbezogene Daten unrichtig oder unvollständig, kann der Betroffene deren Berichtigung oder Ergänzung verlangen. Der Betroffene kann der Verarbeitung seiner Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung widersprechen. Die Daten müssen dann für diese Art der Nutzung gesperrt werden.
8.4 Der Betroffene kann die Löschung seiner Daten verlangen, wenn die Verarbeitung dieser Daten keine Rechtsgrundlage hat oder die Rechtsgrundlage weggefallen ist. Dasselbe gilt, wenn der Zweck der Datenverarbeitung erloschen ist oder aus anderen Gründen weggefallen ist. Bestehende Aufbewahrungsfristen und widerstreitende schutzwürdige Interessen sind zu beachten.
8.5 Der Betroffene hat grundsätzlich ein Widerspruchsrecht gegen die Verarbeitung seiner Daten, das zu berücksichtigen ist, wenn der Schutz seiner Interessen aufgrund einer besonderen persönlichen Situation Vorrang vor dem Interesse des Inhabers der Datenverarbeitung hat. Dies gilt nicht, wenn eine gesetzliche Regelung die Verarbeitung der Daten erfordert.
8.6 Die Rechte des Betroffenen auf Widerspruch, Datenübertragbarkeit, Einschränkung der Verarbeitung und Löschung („Recht auf Vergessen“) müssen respektiert werden.
8.7 Bitte informieren Sie den Datenschutzkoordinator über eine solche Anfrage der betroffenen Person.
9.1 Jeder unbefugte Zugriff auf oder die Offenlegung von persönlichen Daten oder andere Verstöße gegen die Datensicherheit sollten dem Datenschutzkoordinator so schnell wie möglich gemeldet werden. Der für die Funktion zuständige Vorgesetzte oder die Abteilung ist verpflichtet, den Datenschutzkoordinator unverzüglich über Datenschutzvorfälle zu informieren.
9.2 Bei unzulässiger Weitergabe personenbezogener Daten an Dritte, unzulässigem Zugriff Dritter auf personenbezogene Daten oder Verlust personenbezogener Daten sind die erforderlichen Unternehmensmeldungen (Informationssicherheits-Störfallmanagement) unverzüglich vorzunehmen, damit etwaige Meldepflichten nach nationalem Recht erfüllt werden können.
10.1 Die Organe der einzelnen Gesellschaften sind für die Datenverarbeitung in ihrem Verantwortungsbereich zuständig. Sie müssen daher sicherstellen, dass die gesetzlichen
und datenschutzrechtlichen Anforderungen (z.B. nationale Meldepflichten) erfüllt werden. Die Führungskräfte sind dafür verantwortlich, dass organisatorische, personelle und technische Maßnahmen getroffen werden, um eine datenschutzgerechte Datenverarbeitung zu gewährleisten.
10.2 Die Einhaltung dieser Anforderungen liegt in der Verantwortung der jeweiligen Mitarbeiter. Führen amtliche Stellen Datenschutzkontrollen durch, ist der Datenschutzkoordinator unverzüglich zu informieren.
10.3 Der Datenschutzkoordinator ist die Ansprechpartner für den Datenschutz. Er kann Prüfungen durchführen und muss die Mitarbeiter mit dem Inhalt der Datenschutzrichtlinien vertraut machen. Das zuständige Management ist verpflichtet, den Datenschutzkoordinator bei seinen Bemühungen zu unterstützen. Die für die Geschäftsabläufe und Projekte zuständigen Stellen müssen den Datenschutzkoordinator rechtzeitig über die neue Verarbeitung personenbezogener Daten informieren. Für Datenverarbeitungspläne, die besondere Risiken für die individuellen Rechte der Betroffenen darstellen können, ist die Geschäftsleitung zuständig. Der Datenschutzkoordinator ist vor Beginn der Verarbeitung zu informieren. Dies gilt insbesondere für besonders sensible personenbezogene Daten. Die Führungskräfte müssen sicherstellen, dass ihre Mitarbeiter ausreichend im Datenschutz geschult sind.
10.4 Jeder Mitarbeiter informiert den Datenschutzkoordinator unverzüglich über etwaige Datenschutzrisiken. Jede betroffene Person kann sich jederzeit an den Datenschutzkoordinator wenden, um Bedenken zu äußern, Fragen zu stellen, Informationen anzufordern oder Beschwerden bezüglich des Datenschutzes oder der Datensicherheit einzureichen. Anliegen und Beschwerden werden auf Wunsch vertraulich behandelt.
10.5 Unsachgemäße Verarbeitung personenbezogener Daten oder sonstige Verstöße gegen die Datenschutzgesetze können in vielen Ländern strafrechtlich verfolgt werden und zu Schadensersatzansprüchen führen. Verstöße, für die einzelne Mitarbeiter verantwortlich sind, können auch zu arbeitsrechtlichen Sanktionen führen.
Die Verarbeitung von personenbezogenen Daten durch TEADIT EU findet ausschließlich durch das Unternehmen selbst oder durch beauftragte Verarbeiter statt. Diese befinden sich alle in Österreich oder Deutschland und unterliegen im vollen Umfang der DS-GVO. Sofern die Verarbeitung durch Dritte erfolgt, existieren entsprechende Datenschutz-Vereinbarungen / Vereinbarungen zur Auftragsverarbeitung. Die verwendeten Datenverarbeitungssysteme sind entsprechend des aktuellen Stands der Technik gegen Missbrauch und Datenverlust gesichert.
TEADIT EU führt ein Prozessregister entsprechend der DS-GVO.
TEADIT EU verarbeitet personenbezogene Daten vor allem im Bereich Personalverwaltung. In geringerem Umfang werden personenbezogene Daten auch in Vertrieb und Einkauf verwendet. Dies geschieht aufgrund bzw. auf Basis von Gesetzen, zur Erfüllung von vertraglichen Vereinbarungen sowie aufgrund des Überwiegens von berechtigtem Interesse des Unternehmens.
TEADIT EU fällt unter keinen der drei unter Artikel 37 Absatz 1 der DS-GVO aufgeführten Kriterien. Damit liegt keine Verpflichtung zur Benennung eines Datenschutzbeauftragten vor. TEADIT EU tut dies auch nicht auf freiwilliger Basis. Allerdings koordiniert der Financial Director von TEADIT EU die diesbezüglichen Aktivitäten als Datenschutzkoordinator.
Kirchbichl, 2022-03-25
Vertrieb: +43 5332 74000 120
E-mail: austria@teadit.com