Datenschutzerklärung

Stand: 24.11.2025

Wir freuen uns über Ihr Interesse an unserer Website. Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir Sie gemäß der Datenschutz-Grundverordnung (DSGVO) sowie den einschlägigen deutschen Datenschutzgesetzen (u. a. BDSG, TDDDG/TTDSG) darüber, welche Daten wir bei der Nutzung unserer Website verarbeiten, zu welchem Zweck und welche Rechte Ihnen zustehen.

Verantwortliche Stelle 

Verantwortliche Stelle im Sinne der DSGVO:
Kanter Bluesquad
vertreten durch Meike Friederich
in Herzogstraße 52, 80803 München

E-Mail: info@kanterbluesquad.com
Telefon: +49 1728276097

Allgemeine Hinweise zur Datenverarbeitung

Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können (z. B. Name, E-Mail-Adresse, IP-Adresse). Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Rechtsgrundlagen der Verarbeitung sind insbesondere Art. 6 Abs. 1 DSGVO (Einwilligung, Vertrag/Vertragsanbahnung, rechtliche Verpflichtung, berechtigtes Interesse).

Hosting / Server-Logfiles (Hostinger)

Unsere Website wird bei Hostinger gehostet. Beim Besuch unserer Website verarbeitet der Hosting-Anbieter in unserem Auftrag automatisch folgende Daten in sogenannten Server-Logfiles:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seite/Datei
  • übertragene Datenmenge
  • Referrer-URL (zuvor besuchte Seite)
  • Browsertyp und -version
  • Betriebssystem
  • Hostname des zugreifenden Rechners

Zweck: Sicherstellung des technischen Betriebs, Auslieferung der Website, IT-Sicherheit (z. B. Abwehr von Angriffen) und Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb). Wir haben mit Hostinger einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) abgeschlossen.

Speicherdauer: Logfiles werden in der Regel für 14 Tage gespeichert und anschließend gelöscht bzw. anonymisiert, sofern keine sicherheitsrelevante Auswertung erforderlich ist.

Hosting / Server-Logfiles (Hostinger)

Unsere Website wird bei Hostinger gehostet. Beim Besuch unserer Website verarbeitet der Hosting-Anbieter in unserem Auftrag automatisch folgende Daten in sogenannten Server-Logfiles:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seite/Datei
  • übertragene Datenmenge
  • Referrer-URL (zuvor besuchte Seite)
  • Browsertyp und -version
  • Betriebssystem
  • Hostname des zugreifenden Rechners

Zweck: Sicherstellung des technischen Betriebs, Auslieferung der Website, IT-Sicherheit (z. B. Abwehr von Angriffen) und Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb).

Wir haben mit Hostinger einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) abgeschlossen.

Speicherdauer: Logfiles werden in der Regel für 14 Tage gespeichert und anschließend gelöscht bzw. anonymisiert, sofern keine sicherheitsrelevante Auswertung erforderlich ist.

Content-Management-System WordPress

Wir nutzen WordPress als CMS. WordPress selbst verarbeitet im Standardbetrieb keine personenbezogenen Daten, außer den unter Abschnitt 3 genannten Serverdaten. Falls Sie über WordPress-Funktionen mit uns kommunizieren (z. B. Kommentarfunktion), werden die dort eingegebenen Daten verarbeitet. Derzeit ist keine Kommentarfunktion aktiviert. Sollten wir diese zukünftig aktivieren, wird diese Datenschutzerklärung entsprechend aktualisiert.

Terminbuchung über Calendly

Wir verwenden Calendly zur Terminvereinbarung. Wenn Sie einen Termin buchen, werden folgende Daten verarbeitet:

  •  Name
  •  E-Mail-Adresse
  •  ggf. Telefonnummer
  •  gewünschter Termin / Zeitzone
  •  ggf. Freitext-Angaben, die Sie in das Formular eingeben
  • technische Metadaten (z. B. IP-Adresse)

Zweck: Terminorganisation, Kommunikation im Rahmen von Vertrags-/Kooperationsanbahnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) und Art. 6 Abs. 1 lit. f DSGVO (effiziente Terminorganisation).
Calendly verarbeitet Daten als Auftragsverarbeiter. Wir haben eine Auftragsverarbeitungsvereinbarung (DPA) mit Calendly abgeschlossen. Calendly nutzt zur rechtmäßigen Datenübermittlung in Drittländer (z. B. USA) insbesondere EU-Standardvertragsklauseln.
Speicherdauer: Ihre Buchungsdaten speichern wir, solange dies zur Terminabwicklung und ggf. zur anschließenden Zusammenarbeit erforderlich ist, spätestens jedoch nach 24 Monaten sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Cookies

Unsere Website verwendet technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind (z. B. zur Seitendarstellung und Sicherheit). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 TDDDG/TTDSG (technisch erforderlich). Sobald wir darüber hinausgehende Cookies (z. B. Analyse- oder Marketing-Cookies) einsetzen, erfolgt dies nur nach Ihrer vorherigen Einwilligung über ein Cookie-Banner.

Webanalyse / Analytics (nur falls aktiviert)

Derzeit nutzen wir keine Analytics-Tools.
 Falls wir zukünftig Analyse-Tools einsetzen, informieren wir Sie hier vorab über:

  •  Anbieter, Funktionsweise und Datenarten
  •  Zweck der Analyse
  •  Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO – Einwilligung)
  • Speicherdauer / Opt-Out-Möglichkeiten

Analyse-Cookies werden nur nach Einwilligung gesetzt.

Kontaktaufnahme per E-Mail / Telefon

Wenn Sie uns per E-Mail oder Telefon kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E-Mail, Telefonnummer, Inhalt der Anfrage).

Zweck: Bearbeitung Ihrer Anfrage und Kommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beantwortung von Anfragen).

Speicherdauer: bis Abschluss der Kommunikation und ggf. darüber hinaus gemäß gesetzlichen Aufbewahrungspflichten.

Empfänger / Weitergabe von Daten

Wir geben personenbezogene Daten nur weiter, wenn:

  • Sie eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO),
  • dies zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
  • eine rechtliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO),
  • oder ein berechtigtes Interesse vorliegt (Art. 6 Abs. 1 lit. f DSGVO).

Empfänger können insbesondere Hosting- und Termin-Dienstleister sein (Hostinger, Calendly).

Datenübermittlung in Drittländer

Sofern Dienstleister außerhalb der EU/des EWR eingesetzt werden (z. B. Calendly), erfolgt die Übermittlung nur bei Vorliegen geeigneter Garantien wie EU-Standardvertragsklauseln oder vergleichbarer Schutzmaßnahmen.

Ihre Rechte

Sie haben jederzeit folgende Rechte nach DSGVO:

  •  Auskunft über Ihre gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung Ihrer Daten (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an die oben genannte Kontaktadresse.

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder des mutmaßlichen Verstoßes.

Aktualität und Änderungen

Wir passen diese Datenschutzerklärung an, sobald sich die Datenverarbeitung oder rechtliche Vorgaben ändern. Die aktuelle Version finden Sie stets auf dieser Website.

Datenschutzerklärung

Datenschutzmanagement-Richtlinie (Daten-Verantwortlicher-Rolle)

Zweck und Anwendungsbereich

Diese interne Richtlinie legt fest, wie Bluesquad Services UG Datenschutzgrundsätze und gesetzliche Anforderungen einhält, wenn sie als Verantwortlicher für personenbezogene Daten agiert. Sie deckt die Erhebung, Nutzung, Weitergabe und Aufbewahrung von personenbezogenen Daten unter unserer Kontrolle ab und orientiert sich an der EU-Datenschutz-Grundverordnung (DSGVO) sowie den Kontrollen der ISO/IEC 27701 für das Privacy Information Management. Die Richtlinie gilt für alle Mitarbeiter, Auftragnehmer und Geschäftsbereiche, die personenbezogene Daten im Namen der Organisation verarbeiten. Ihr Zweck ist es, sicherzustellen, dass wir personenbezogene Daten rechtmäßig, fair und transparent verarbeiten und die Mitarbeiter anzuleiten, die Einhaltung des Datenschutzes in den täglichen Betrieb zu integrieren.

Verpflichtung der Organisation

Die Führung von Bluesquad Services UG ist uneingeschränkt dem Schutz personenbezogener Daten und der Einhaltung geltender Datenschutzgesetze verpflichtet. Das Management unterstützt diese Richtlinie und stellt die notwendigen Ressourcen, Schulungen und Unterstützung für ihre Umsetzung sicher. Wir fördern eine Kultur der Rechenschaftspflicht und des „Datenschutzes durch Technikgestaltung" (Privacy by Design), was bedeutet, dass Datenschutzüberlegungen von Anfang an in alle Projekte und Prozesse integriert werden. Kontinuierliche Verbesserung wird betont -- wir überprüfen und aktualisieren unsere Datenschutzpraktiken regelmäßig, um auf sich entwickelnde Risiken, regulatorische Änderungen und Feedback zu reagieren. Mitarbeiter auf allen Ebenen werden ermutigt, Vorschläge zur Verbesserung der Datenschutzpraktiken einzubringen, und es werden keine Maßnahmen gegen Mitarbeiter ergriffen, die potenzielle Datenschutzprobleme oder Bedenken nach Treu und Glauben melden. Dieses Engagement unterstreicht, dass Compliance nicht nur eine gesetzliche Verpflichtung, sondern ein Kernwert unserer Organisation ist.

Rollen und Verantwortlichkeiten

  • Alle Mitarbeiter: Jeder Mitarbeiter ist dafür verantwortlich, diese Richtlinie und die damit verbundenen Verfahren beim Umgang mit personenbezogenen Daten zu befolgen. Mitarbeiter sollten personenbezogene Daten nur für die angegebenen Zwecke und in der angewiesenen Weise verarbeiten, Daten sicher aufbewahren und potenzielle Datenpannen oder Anfragen betroffener Personen unverzüglich dem Datenschutzbeauftragten (DSB) melden. Bei Unsicherheiten bezüglich des Datenschutzes müssen Mitarbeiter Rat beim DSB einholen, anstatt zu raten.
  • Abteilungsleiter: Führungskräfte müssen sicherstellen, dass ihre Teams diese Datenschutzanforderungen verstehen und einhalten. Sie sollten die in ihren Betriebsabläufen verwendeten personenbezogenen Daten inventarisieren, Zugriffskontrollen durchsetzen und Datenschutzaspekte in Teamprojekte integrieren. Führungskräfte sind auch dafür verantwortlich, Datenschutzrisiken oder komplexe Probleme an den Datenschutzbeauftragten/DSB zu eskalieren und Schulungs- und Sensibilisierungsmaßnahmen zu unterstützen.
  • Datenschutzbeauftragter (DSB): Der DSB (oder ernannte Datenschutzverantwortliche) ist die primäre Anlaufstelle für alle Datenschutzangelegenheiten. Er berät zu Compliance-Verpflichtungen, bietet Schulungen und Anleitungen für Mitarbeiter an und überwacht die Einhaltung dieser Richtlinie. Der DSB überwacht Datenschutz-Folgenabschätzungen, die Bearbeitung von Anfragen betroffener Personen und Verzeichnisse von Verarbeitungstätigkeiten. Bei Bedarf kommuniziert er auch mit Aufsichtsbehörden oder betroffenen Personen. Mitarbeiter können sich jederzeit an den DSB wenden -- der DSB hilft bei der Interpretation von Anforderungen und empfiehlt konforme Lösungen.
  • Geschäftsführung: Die oberste Leitung trägt die letztendliche Verantwortung für die Datenschutzkonformität. Sie stellt sicher, dass der DSB unterstützt wird und unabhängig ist, dass Datenschutzrisiken im Rahmen des unternehmensweiten Risikomanagements gehandhabt werden und dass wesentliche Datenschutzprobleme umgehend angegangen werden. Das Management stellt außerdem sicher, dass bei Bedarf Disziplinarmaßnahmen oder Sanktionen bei Nichteinhaltung durchgesetzt werden und dass diese Richtlinie in geplanten Intervallen (mindestens jährlich) überprüft wird. Indem die Führungskräfte diese Richtlinie unterstützen, zeigen sie, dass der Schutz personenbezogener Daten höchste Priorität für die Organisation hat.

(Detaillierte Anweisungen und Prozesse im Zusammenhang mit dieser Richtlinie finden Sie in den Standardarbeitsanweisungen (SOPs), die in der nachstehenden Tabelle aufgeführt sind. Diese SOPs bieten schrittweise Anleitungen für Mitarbeiter zur Erfüllung der Anforderungen in jedem Bereich.)

Zusammenfassung der Datenschutz-Kontrollbereiche und Referenzen

Die folgende Tabelle fasst die wichtigsten Datenschutzverfahrens-Cluster zusammen, die in dieser Richtlinie behandelt werden, ihre entsprechenden ISO 27701-Kontrollreferenzen (für PII-Verantwortlichen), relevante DSGVO-Artikel und die internen SOPs, denen Mitarbeiter für detaillierte Verfahren folgen sollten:

Verfahrens-Cluster ISO 27701 Kontrollen (PII-Verantwortlichen) Relevante DSGVO-Artikel Zugehörige interne SOPs
Governance & Dateninventar PC7201, PC7202, PC7208 Art. 5(1)(b),(2), 6, 24, 26, 30 SOP: Governance & Dateninventar
Einwilligungsmanagement PC7203, PC7204, PC7304, PC7305 Art. 6(1)(a), 7, 21 SOP: Einwilligungsmanagement
Datenschutz-Folgenabschätzung (DSFA) PC7205 Art. 35, 36 SOP: Datenschutz-Folgenabschätzung
Lieferanten-/Auftragsverarbeiter-Management PC7206 Art. 28, 29, 32 SOP: Lieferanten-/Auftragsverarbeiter-Management
Betroffenenrechte PC7301, PC7302, PC7303, PC7304, PC7305, PC7306, PC7308, PC7309, PC7310 Art. 12--22 SOP: Betroffenenrechte
Datenminimierung, Aufbewahrung, Löschung & Vernichtung / Datenschutz durch Technikgestaltung (Privacy by Design) PC7401, PC7402, PC7403, PC7404, PC7405, PC7406, PC7407, PC7408 Art. 5(1)(c)-(e), 25, 32 SOP: Datenminimierung, Aufbewahrung, Löschung & Vernichtung / Datenschutz durch Technikgestaltung (Privacy by Design)
Datenübermittlung & Offenlegung gegenüber Dritten PC7307, PC7501, PC7502, PC7503, PC7504 Art. 19, 44--49 SOP: Datenübermittlung & Offenlegung gegenüber Dritten

Edit Table

Hinweis: Die ISO-Kontrollcodes (z.B. PC7201) entsprechen spezifischen Kontrollen in ISO/IEC 27701 für PII-Verantwortlichen, und DSGVO-Artikelreferenzen geben die primär adressierten Vorschriften an. Mitarbeiter sollten die SOPs für detaillierte Arbeitsabläufe verwenden (z.B. wie Verarbeitungstätigkeiten protokolliert werden, wie auf eine Auskunftsanfrage reagiert wird, Schritte zur Durchführung einer DSFA usw.). Der Rest dieser Richtlinie enthält allgemeine Anforderungen für jeden Cluster.

Governance & Dateninventar

Wir unterhalten ein robustes Governance-Rahmenwerk und ein detailliertes Verzeichnis von Verarbeitungstätigkeiten personenbezogener Daten, um Rechenschaftspflicht und Compliance sicherzustellen (ISO 27701 Kontrollen PC7201, PC7202, PC7207, PC7208). In der Praxis bedeutet dies:

  • Dokumentation von Zweck und Rechtsgrundlage: Für jede Verarbeitungstätigkeit identifiziert und dokumentiert die Organisation den spezifischen Zweck oder die Zwecke, für die personenbezogene Daten erhoben und verwendet werden, zusammen mit der anwendbaren Rechtsgrundlage gemäß DSGVO (z. B. Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse). Es werden keine personenbezogenen Daten ohne klar definierten Zweck und rechtliche Rechtfertigung verarbeitet. Diese Dokumentation wird in unserem zentralen Verzeichnis von Verarbeitungstätigkeiten (VvVT) geführt. Jede Geschäftseinheit muss sicherstellen, dass ihre Einträge zur Datenverarbeitung im VvVT aktuell und korrekt gehalten werden.
  • Führung von Verzeichnissen von Verarbeitungstätigkeiten: Gemäß DSGVO Artikel 30 führen wir ein Verzeichnis aller unserer Verantwortung unterliegenden Verarbeitungstätigkeiten, das Details wie Zwecke, Kategorien von Daten und betroffenen Personen, Empfänger, Übermittlungen, Aufbewahrungsfristen und Sicherheitsmaßnahmen enthält. Dieses Verzeichnis (unser Dateninventar) wird vom DSB koordiniert und steht den Aufsichtsbehörden auf Anfrage zur Verfügung. Alle Mitarbeiter, die für Prozesse verantwortlich sind, die personenbezogene Daten verwenden, müssen durch Bereitstellung relevanter Informationen kooperieren, um die Aufzeichnungen korrekt zu halten. Die Führung dieser Verzeichnisse erfüllt nicht nur gesetzliche Anforderungen, sondern hilft uns auch zu verstehen, welche Daten wir haben und wie sie durch die Organisation fließen.
  • Rollen und Richtlinien: Wir haben Rollen (wie den DSB und Datenschutz-Champions in Schlüsselabteilungen) zugewiesen, um die Datengovernance zu überwachen. Sie stellen sicher, dass Richtlinien und Verfahren für die Datenschutzkonformität vorhanden sind und dass die Mitarbeiter darin geschult werden. Die Organisation gibt interne Datenschutzhinweise oder Richtlinienbestätigungen an die Mitarbeiter heraus, damit jeder seine Verpflichtungen versteht. Wir integrieren auch Datenschutzanforderungen in die Unternehmensführung -- zum Beispiel wird das Datenschutzrisiko bei Projektgenehmigungen und der Auswahl von Anbietern berücksichtigt.

Zusammenfassend lässt sich sagen, dass Rechenschaftspflicht jedermanns Pflicht ist: Wir wissen, welche personenbezogenen Daten wir haben, warum wir sie haben, und wir verwalten sie verantwortungsbewusst. Durch sorgfältige Aufzeichnungen und Governance-Praktiken können wir jederzeit die Einhaltung nachweisen, im Einklang mit dem Rechenschaftsprinzip der DSGVO (Art. 5(2)).

Einwilligungsmanagement

Wenn wir uns auf die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten stützen, verwalten wir diese sorgfältig und respektvoll. Unsere Einwilligungspraktiken folgen den ISO-Kontrollen PC7203 & PC7204 (Feststellung, wann Einwilligung erforderlich ist und deren Einholung/Aufzeichnung) sowie PC7304 & PC7305 (Bereitstellung von Mechanismen zum Widerruf der Einwilligung und zum Widerspruch). Wichtige Richtlinienpunkte sind:

  • Einholung gültiger Einwilligungen: Wann immer eine Einwilligung erforderlich ist, bitten wir Einzelpersonen um ein Opt-in durch eine klare und spezifische Anfrage. Einwilligungsanfragen werden in einfacher Sprache, getrennt von anderen Bedingungen, präsentiert, damit die Personen verstehen, womit sie einverstanden sind. Wir verwenden keine vorausgefüllten Kästchen oder gehen von einer Einwilligung aus. Die Person muss eine klare bestätigende Handlung vornehmen (z. B. ein Formular unterzeichnen oder auf „Ich stimme zu" klicken), um die Einwilligung zu erteilen, die wir dann aufzeichnen. Wir dokumentieren auch die Einwilligungsdetails (wer eingewilligt hat, was ihm mitgeteilt wurde, wann und wie) als Nachweis dafür, dass wir die Erlaubnis zur Verarbeitung der Daten haben. Gemäß DSGVO Artikel 7(1) liegt die Beweislast bei uns als Verantwortlichem, nachzuweisen, dass eine gültige Einwilligung eingeholt wurde, daher ist die Protokollierung unerlässlich.
  • Freiwilligkeit der Einwilligung: Die Einwilligung wird freiwillig und ohne Zwang eingeholt. Wir machen die Einwilligung niemals zur Bedingung für den Erhalt einer Dienstleistung, für die sie nicht notwendig ist, und wir bieten nach Möglichkeit Alternativen an. Wenn wir beispielsweise einen Newsletter anbieten, können Benutzer der Zusendung von Marketing-E-Mails separat von einer Produktanmeldung zustimmen. Wenn die Einwilligung verweigert oder später widerrufen wird, erhalten Einzelpersonen dennoch die Kerndienstleistung (sofern möglich) und werden nicht benachteiligt. Zusätzlich befolgen wir bei jeder Verarbeitung von Kinderdaten (sofern zutreffend) die gesetzlichen Anforderungen an die elterliche Zustimmung (DSGVO Artikel 8) und die erforderliche Altersüberprüfung.
  • Widerruf der Einwilligung: Wir achten den Grundsatz, dass Einzelpersonen das Recht haben, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung wird so einfach gestaltet wie die Erteilung. Das bedeutet, dass jede auf Einwilligung basierende Kommunikation (wie eine Marketing-E-Mail) eine unkomplizierte Möglichkeit zum Opt-out (Abmeldelink oder Ähnliches) enthält und unsere Datenschutzhinweise die Personen über ihr Widerrufsrecht informieren. Wenn eine Widerrufsanfrage eingeht, handeln wir unverzüglich -- z. B. stoppen wir die betreffende Verarbeitung und aktualisieren unsere Aufzeichnungen, um widerzuspiegeln, dass die Einwilligung nicht mehr gültig ist. Es entstehen keine Kosten oder Nachteile für jemanden, der die Einwilligung widerruft. Gemäß DSGVO Artikel 7(3) berührt der Widerruf nicht die Rechtmäßigkeit der bereits erfolgten Verarbeitung, aber wir stellen die zukünftige Verarbeitung ein. Alle Mitarbeiter müssen jeden Widerruf einer Einwilligung, von dem sie Kenntnis erlangen, unverzüglich an das zuständige Team oder den DSB weiterleiten, um sicherzustellen, dass wir die Systeme entsprechend aktualisieren.
  • Widerspruch gegen die Verarbeitung: Auch wenn die Verarbeitung auf einer anderen Rechtsgrundlage als der Einwilligung beruht (wie berechtigte Interessen), können Einzelpersonen das Recht haben, Widerspruch einzulegen. Insbesondere wenn wir personenbezogene Daten für Direktmarketingzwecke verarbeiten, haben betroffene Personen ein absolutes Recht, jederzeit Widerspruch einzulegen, und wir müssen die Verarbeitung für Marketingzwecke bei Widerspruch unverzüglich einstellen (DSGVO Artikel 21). Unsere Systeme enthalten Funktionen, um Einzelpersonen als „abgemeldet" vom Marketing zu kennzeichnen, um weitere Kontaktaufnahmen zu verhindern. Bei anderen Widersprüchen (z. B. gegen Verarbeitung aufgrund berechtigter Interessen) prüfen wir die Anfrage und kommen ihr entweder nach oder teilen die zwingenden schutzwürdigen Gründe mit, die uns eine Fortsetzung erlauben (falls zutreffend). Alle Widerspruchsanfragen werden über unsere SOP zur Bearbeitung von Betroffenenanfragen abgewickelt.

Zusammenfassend lässt sich sagen: Einwilligung wird niemals angenommen -- sie wird ausdrücklich eingeholt, gespeichert und respektiert. Wir ermöglichen es Einzelpersonen, ihre Meinung einfach zu ändern. Mitarbeiter, die an Initiativen beteiligt sind, die Einwilligungen beinhalten (wie Marketingkampagnen, Forschungsstudien usw.), müssen sich mit dem DSB abstimmen, um sicherzustellen, dass Einwilligungsunterlagen und -prozesse diesen Standards entsprechen. Durch die sorgfältige Verwaltung von Einwilligungen und Widersprüchen bauen wir Vertrauen auf und bleiben konform mit den Anforderungen der DSGVO an die einwilligungsbasierte Verarbeitung.

Datenschutz-Folgenabschätzung (DSFA)

Wir bewerten und mindern proaktiv Datenschutzrisiken in unseren Projekten und Prozessen. Gemäß der ISO 27701-Kontrolle PC7205 und DSGVO Artikel 35 führt die Organisation eine Datenschutz-Folgenabschätzung (DSFA) für jede Verarbeitung durch, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen zur Folge hat. Wichtige Anforderungen sind:

  • Wann eine DSFA durchzuführen ist: Eine DSFA ist vor dem Start neuer Projekte oder Systeme erforderlich, die personenbezogene Daten beinhalten und ein hohes Risiko darstellen können. Beispiele hierfür sind: die Einführung neuer Technologien (z. B. KI-Analysen personenbezogener Daten), die Verarbeitung sensibler Daten (z. B. Gesundheit, Biometrie) in großem Maßstab, die systematische Überwachung oder Profilerstellung von Einzelpersonen oder jede Verarbeitung, die von Aufsichtsbehörden als hochriskant eingestuft wird (gemäß DSGVO Art. 35(3) und offiziellen Leitlinien). Wir führen auch DSFAs für wesentliche Änderungen bestehender Verarbeitungen durch, die die Privatsphäre erheblich beeinträchtigen könnten (z. B. Zusammenführung von Datenbanken, Umnutzung von Daten für neue Zwecke). Bei Unsicherheiten über die Notwendigkeit einer DSFA muss der Projektleiter den DSB konsultieren, der beraten oder eine DSFA aufgrund der Umstände anordnen kann.
  • DSFA-Prozess: Unser DSFA-Verfahren beinhaltet eine gründliche Analyse der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, die Identifizierung potenzieller Risiken für betroffene Personen und Maßnahmen zur Bewältigung dieser Risiken. Der DSB muss beteiligt sein -- wie von DSGVO Art. 35(2) gefordert, gibt der DSB Rat zur DSFA, und wir müssen seine Meinung einholen. Wir ziehen auch in Erwägung, betroffene Interessengruppen (oder Vertreter) gegebenenfalls zu konsultieren, um deren Ansichten einzuholen (Art. 35(9)), insbesondere wenn ein hohes Restrisiko verbleibt. Das Ergebnis der DSFA umfasst eine Entscheidung darüber, ob die Verarbeitung fortgesetzt werden kann und welche Schutzmaßnahmen oder Anpassungen erforderlich sind, um das Risiko zu reduzieren (zum Beispiel zusätzliche Verschlüsselung, Datenminimierungstechniken, strengere Zugriffskontrollen usw.).
  • Vorherige Konsultation: Wenn eine DSFA ergibt, dass das Restrisiko für Einzelpersonen hoch wäre und wir diese Risiken nicht ausreichend mindern können, werden wir die Aufsichtsbehörde (Datenschutzbehörde) konsultieren, bevor wir mit der Verarbeitung beginnen (DSGVO Art. 36). Dies ist ein seltener Schritt, der nur unternommen wird, wenn wir ein hohes Risiko identifizieren, das wir nicht reduzieren können, und er wird vom DSB/Rechtsteam koordiniert. Kein Projekt mit hohem, nicht gemindertem Risiko wird ohne behördliche Konsultation und Anleitung fortgesetzt.
  • Dokumentation: Alle DSFAs und ihre Ergebnisse werden dokumentiert und aufbewahrt. Diese Dokumentation umfasst die Begründung für Entscheidungen (z. B. warum wir eine Verarbeitung als risikoarm oder nach Minderungsmaßnahmen als akzeptabel erachteten) und jeglichen Rat des DSB oder der Aufsichtsbehörden. Dies stellt nicht nur die Compliance sicher, sondern bietet auch einen Audit-Trail dafür, dass wir die Auswirkungen auf die Privatsphäre sorgfältig berücksichtigt haben. Projektteams sind für die Umsetzung aller im DSFA-Aktionsplan identifizierten Maßnahmen verantwortlich. Der DSB wird nachverfolgen, um sicherzustellen, dass Maßnahmen vorhanden sind oder ob im Laufe der Zeit eine Neubewertung erforderlich ist.

Durch die Integration des DSFA-Prozesses in unseren Projektlebenszyklus (als Prüfpunkt vor der Bereitstellung) verankern wir den Datenschutz durch Technikgestaltung und verhindern kostspielige oder schädliche Ergebnisse. Mitarbeiter, die neue Initiativen leiten, müssen sich frühzeitig in der Planung mit dem DSB abstimmen, um festzustellen, ob eine DSFA erforderlich ist. Sich die Zeit für eine DSFA zu nehmen, demonstriert unsere Rechenschaftspflicht und unser Engagement für den Schutz der Daten und Rechte von Einzelpersonen von Beginn jeder neuen Verarbeitung an.

Lieferanten-/Auftragsverarbeiter-Management

Wann immer Bluesquad Services UG einen Drittanbieter oder Dienstleister zur Verarbeitung personenbezogener Daten in unserem Auftrag einsetzt (was ihn zu einem Daten-Auftragsverarbeiter gemäß DSGVO macht), stellen wir ein rigoroses Management dieser Beziehungen sicher, im Einklang mit der ISO-Kontrolle PC7206 und DSGVO Artikel 28. Unsere Praktiken im Lieferantenmanagement umfassen:

  • Sorgfaltspflicht (Due Diligence): Bevor ein neuer Anbieter eingebunden wird, der personenbezogene Daten verarbeiten wird, werden verantwortliche Mitarbeiter (mit Unterstützung von Beschaffung, IT-Sicherheit und dem DSB) die Sicherheits- und Datenschutzkontrollen des Anbieters bewerten. Wir verwenden Fragebögen oder Audits, um zu beurteilen, ob der Anbieter ausreichende Garantien zur Erfüllung der DSGVO-Anforderungen bietet (Art. 28(1)), einschließlich seiner technischen und organisatorischen Maßnahmen zum Datenschutz. Wir überprüfen auch, ob er relevante Zertifizierungen oder glaubwürdige Datenschutzprogramme hat. Nur Anbieter, die unsere Sorgfaltsprüfung bestehen und Datenschutz gewährleisten können, werden genehmigt.
  • Auftragsverarbeitungsvertrag (AVV): Wir formalisieren die Beauftragung mit einem schriftlichen Vertrag, der DSGVO-konforme Datenschutzklauseln enthält. Dieser Auftragsverarbeitungsvertrag (oder gleichwertige Vertragsbedingungen) legt Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und Kategorien betroffener Personen sowie die Pflichten und Rechte unserer Organisation als Verantwortlicher fest. Entscheidend ist, dass er den Auftragsverarbeiter verpflichtet: nur auf unsere dokumentierten Weisungen hin zu handeln, Vertraulichkeit zu gewährleisten, Sicherheit umzusetzen, Unterauftragsverarbeiter mit Genehmigung zu verwalten, bei Rechten/Compliance zu unterstützen, Verletzungen zu melden und Daten zu löschen/zurückzugeben. Unsere Standard-AVV-Vorlage deckt all diese Punkte ab und enthält Haftungs- und Auditrechte. Mitarbeiter dürfen niemals personenbezogene Daten an Dritte senden oder einen neuen Dienst zur Verarbeitung personenbezogener Daten nutzen, ohne dass ein ordnungsgemäßer, von der Rechtsabteilung/dem DSB geprüfter AVV vorliegt. Dieser Vertrag ist unser primäres Instrument zur Durchsetzung von Datenschutzanforderungen gegenüber Anbietern.
  • Laufende Aufsicht: Die Verwaltung eines Auftragsverarbeiters ist kein „Einrichten und Vergessen". Wir führen eine aktuelle Liste genehmigter Auftragsverarbeiter, und das DSB/Datenschutzbüro bewahrt Kopien aller AVVs auf. Teams, die mit dem Anbieter zusammenarbeiten, überwachen dessen Leistung und Einhaltung. Bei kritischen oder hochriskanten Verarbeitungen können wir regelmäßige Compliance-Überprüfungen planen oder den Anbieter bitten, seine fortlaufende Compliance zu zertifizieren. Wenn ein Anbieter wesentliche Änderungen erfährt (z. B. Übernahmen, Vorfälle, Richtlinienänderungen), bewerten wir die Beziehung neu. Wir stellen auch sicher, dass Auftragsverarbeiter nur die minimal notwendigen Daten für ihre Aufgabe erhalten und dass der Zugriff auf unsere Daten entfernt wird, wenn sie ihn nicht mehr benötigen. Intern ist der Manager, der die Anbieterbeziehung verantwortet, für die tägliche Aufsicht zuständig, muss jedoch alle Datenschutzbedenken oder Vorfälle, die den Anbieter betreffen, unverzüglich an den DSB eskalieren.
  • Genehmigung von Unterauftragsverarbeitern: Unseren Auftragsverarbeitern ist es nicht gestattet, die Verarbeitung personenbezogener Daten an weitere Unterauftragsverarbeiter zu vergeben, es sei denn, wir haben eine schriftliche Genehmigung erteilt. Wir gewähren typischerweise entweder kein Recht zur Untervergabe oder nur mit spezifischer Genehmigung für jeden Unterauftragsverarbeiter (oder einer vorab genehmigten Liste). Wenn eine allgemeine Genehmigung erteilt wird, muss uns der Auftragsverarbeiter über geplante Änderungen (Hinzufügungen oder Ersetzungen von Unterauftragnehmern) informieren und uns die Möglichkeit zum Widerspruch geben (DSGVO Art. 28(2)). Im Wesentlichen wissen wir immer, wer unsere Daten verarbeitet. Jeder Unterauftragsverarbeiter muss durch einen Vertrag, der dem AVV entspricht, an die gleichen Datenschutzpflichten gebunden sein. Unser DSB oder ein benannter Manager überprüft diese Vereinbarungen. Wenn ein Unterauftragsverarbeiter unsere Standards nicht erfüllt, können wir den Hauptauftragsverarbeiter anweisen, dessen Nutzung einzustellen.
  • Reaktion auf Anbieter-Verletzungen/Probleme: Wenn ein Auftragsverarbeiter eine Sicherheitsverletzung oder einen anderen Vorfall erlebt, der unsere Daten betrifft, ist er vertraglich verpflichtet, uns unverzüglich zu informieren. Unser Plan zur Reaktion auf Vorfälle wird ausgelöst, und wir als Verantwortlicher werden die erforderlichen Meldungen an Behörden oder Einzelpersonen vornehmen (der Auftragsverarbeiter muss uns bei der Informationsbeschaffung unterstützen). Wir verlangen auch, dass der Auftragsverarbeiter die Ursache untersucht und behebt. Konsequente Nichterfüllung von Pflichten durch einen Auftragsverarbeiter kann zur Aussetzung oder Kündigung des Vertrags führen.

Durch die sorgfältige Auswahl von Auftragsverarbeitern und deren Bindung an strenge Datenschutzmaßnahmen erweitern wir unsere Compliance und Werte auf Beziehungen zu Dritten. Mitarbeiter sollten sich mit dem DSB und der Beschaffung bereits in den frühesten Phasen der Anbieterauswahl abstimmen, um sicherzustellen, dass Datenschutz ein Schlüsselkriterium ist. Denken Sie daran: Wir bleiben verantwortlich für das, was Anbieter mit personenbezogenen Daten in unserem Auftrag tun, also müssen wir sie weise auswählen und verwalten. Wenn Sie unsicher sind, ob ein Lieferant personenbezogene Daten verarbeitet oder ob ein AVV vorhanden ist, überprüfen Sie dies immer beim Datenschutzbüro, bevor Sie Daten übertragen.

Betroffenenrechte

Bluesquad Services UG verpflichtet sich, die Rechte von Einzelpersonen (betroffenen Personen) bezüglich ihrer personenbezogenen Daten zu wahren. Wir haben Prozesse etabliert, um sicherzustellen, dass wir alle Anfragen und Transparenzpflichten gemäß DSGVO Artikel 12--22 erfüllen. Die ISO 27701-Kontrollen der Serie 7.3.x (PC7301--7310) leiten diese Praktiken. Folgende Grundsätze gelten:

  • Transparenz und Datenschutzhinweise: Wir stellen Einzelpersonen klare und umfassende Informationen darüber zur Verfügung, wie wir ihre Daten verwenden (Erfüllung des Rechts auf Information). Dies geschieht typischerweise durch Datenschutzhinweise oder Datenschutzerklärungen am Punkt der Datenerhebung (Online- oder Papierformulare) und auf unserer Website. Unsere Datenschutzhinweise enthalten alle gemäß DSGVO Artikel 13 und 14 erforderlichen Informationen, wie unsere Identität, die Zwecke der Verarbeitung, Rechtsgrundlagen, Datenaufbewahrungsfristen, Empfänger der Daten, etwaige internationale Übermittlungen und die Rechte der betroffenen Person (einschließlich des Rechts, sich bei einer Aufsichtsbehörde zu beschweren). Diese Hinweise werden vom Datenschutzbeauftragten gepflegt und mindestens jährlich oder bei wesentlichen Änderungen unserer Datenpraktiken überprüft. Alle Mitarbeiter, die personenbezogene Daten direkt von Einzelpersonen erheben, müssen den genehmigten Datenschutzhinweis verwenden und dürfen ihn nicht ohne Genehmigung des DSB ändern. Wenn Daten indirekt (nicht von der Einzelperson) bezogen werden, stellen wir sicher, dass der Einzelperson ein Datenschutzhinweis gesendet oder zur Verfügung gestellt wird, wie gesetzlich vorgeschrieben. Transparenz ist grundlegend -- betroffene Personen sollten niemals überrascht sein, wie wir ihre Daten verwenden, weil wir es ihnen im Voraus mitgeteilt haben.
  • Empfang und Erkennung von Anfragen: Betroffene Personen haben das Recht, uns zu kontaktieren, um ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung --- einschließlich Profiling --- beruhenden Entscheidung unterworfen zu werden, die rechtliche oder erhebliche Auswirkungen hat, auszuüben. Jeder Mitarbeiter muss in der Lage sein, eine Anfrage einer betroffenen Person (DSR) zu erkennen, auch wenn sie nicht in juristischen Begriffen formuliert ist. Wenn jemand beispielsweise sagt: „Ich hätte gerne eine Kopie meiner Daten" oder „Bitte löschen Sie meine Informationen", ist das eine gültige Anfrage gemäß DSGVO. Mitarbeiter sollten eine solche Anfrage unverzüglich an den dedizierten Kanal (z. B. unsere Datenschutz-Inbox oder den DSB) weiterleiten, wie in der SOP zur Bearbeitung von Betroffenenanfragen beschrieben. Zögern Sie nicht -- die Frist für unsere Antwort beginnt, sobald wir die Anfrage erhalten, unabhängig davon, wer in der Organisation sie zuerst erhält. Wir haben interne Protokolle, um die Anfrage zu protokollieren, die Identität des Anfragenden zu überprüfen (um sicherzustellen, dass wir Daten nicht an die falsche Person weitergeben) und die Anfrage dann innerhalb der gesetzlichen Frist zu bearbeiten.
  • Auskunftsrecht (Artikel 15): Einzelpersonen können eine Bestätigung darüber verlangen, ob wir ihre personenbezogenen Daten verarbeiten, und falls ja, eine Kopie ihrer Daten und ergänzende Informationen erhalten (ähnlich wie im Datenschutzhinweis). Wenn wir eine Auskunftsanfrage erhalten, sammelt unser Team alle personenbezogenen Daten über die Person aus den relevanten Systemen. Wir stellen auch Informationen wie Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherfristen sowie die Rechte auf Berichtigung und Löschung usw. bereit, wie gesetzlich vorgeschrieben. Sofern nicht anders gewünscht, stellen wir die Daten elektronisch in einem gängigen Format zur Verfügung. Wir stellen sicher, dass jede Offenlegung personenbezogener Daten sicher erfolgt (zum Beispiel über ein sicheres Portal oder eine verschlüsselte Datei) an den verifizierten Anfragenden. Gemäß ISO-Kontrolle PC7308 müssen wir auf Anfrage eine Kopie der verarbeiteten PII bereitstellen, was diesem Recht entspricht.
  • Recht auf Berichtigung (Artikel 16): Wenn uns eine betroffene Person mitteilt, dass ihre personenbezogenen Daten unrichtig oder unvollständig sind, werden wir sie unverzüglich korrigieren. Mitarbeiter, die Daten aktualisieren können (z. B. Kundendienstmitarbeiter, die die Kontaktdaten eines Kunden aktualisieren), sollten dies tun, sobald eine Anfrage verifiziert ist, und der betroffenen Person bestätigen, dass die Korrektur vorgenommen wurde. In einigen Fällen müssen wir möglicherweise die Richtigkeit der neuen Informationen überprüfen (wenn die Person beispielsweise neue Details angibt, könnten wir um Nachweise bitten). Wir stellen auch sicher, dass wir die korrigierten Daten an Dritte weiterleiten, die die falschen Daten erhalten haben, falls erforderlich.
  • Recht auf Löschung (Artikel 17): Allgemein bekannt als das „Recht auf Vergessenwerden“, können Einzelpersonen unter bestimmten Umständen die Löschung ihrer personenbezogenen Daten verlangen – zum Beispiel, wenn die Daten für den Zweck nicht mehr notwendig sind oder wenn die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage gilt. Wenn wir eine gültige Löschanfrage erhalten, löschen wir die Daten der Person aus unseren aktiven Systemen und Dateien, es sei denn, eine gesetzliche Ausnahme gilt. Ausnahmen umfassen Situationen, in denen wir die Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Verteidigung von Rechtsansprüchen aufbewahren müssen usw. Unsere SOP zur Bearbeitung von Betroffenenanfragen beschreibt, wie diese Kriterien zu bewerten sind. Wenn wir Daten nicht löschen können (z. B. aufgrund einer gesetzlichen Aufbewahrungspflicht), informieren wir den Anfragenden und schränken stattdessen die Nutzung der Daten ein. Die ISO-Kontrolle PC7306 bündelt Auskunft, Berichtigung und Löschung – wir haben Verfahren, um alle drei effizient zu bearbeiten.
  • Recht auf Einschränkung der Verarbeitung (Artikel 18): Einzelpersonen können uns bitten, die Nutzung ihrer Daten einzuschränken (ohne sie zu löschen) in bestimmten Szenarien – zum Beispiel, wenn sie die Richtigkeit bestreiten oder der Verarbeitung widersprechen, bis wir das Problem gelöst haben. Wenn eine Einschränkung beantragt oder erforderlich ist, kennzeichnen wir die Daten in unseren Systemen und stellen sicher, dass keine weitere Verarbeitung (außer Speicherung) stattfindet, außer für ausgenommene Zwecke (wie mit Einwilligung oder für Rechtsansprüche). Im Wesentlichen werden eingeschränkte Daten „auf Eis gelegt“. Wir werden die Person informieren, bevor wir eine Einschränkung aufheben.
  • Recht auf Datenübertragbarkeit (Artikel 20): Wenn unsere Verarbeitung auf Einwilligung oder Vertrag beruht und mit automatisierten Mitteln erfolgt, kann eine Person eine Kopie ihrer personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format anfordern, um sie an einen anderen Anbieter zu übertragen. Falls zutreffend, stellen wir die personenbezogenen Daten bereit, die uns die Person zur Verfügung gestellt hat (z. B. Kontodaten, Präferenzen usw.) im CSV- oder JSON-Format oder einem anderen geeigneten Format, und wir können sie auf Wunsch der Person auch direkt an einen neuen Anbieter übermitteln, sofern technisch machbar. Obwohl ISO 27701 die Übertragbarkeit in den Kontrollen nicht explizit aufführt, behandeln wir sie mit der gleichen Bedeutung wie andere Rechte.
  • Widerspruchsrecht (Artikel 21): Wie im Abschnitt Einwilligungsmanagement erwähnt, können Einzelpersonen bestimmten Verarbeitungen widersprechen (insbesondere Direktmarketing oder Verarbeitung aufgrund berechtigter Interessen/öffentlichen Interesses). Nach Erhalt eines Widerspruchs werden wir die betreffende Verarbeitung einstellen oder einschränken, es sei denn, wir haben zwingende schutzwürdige Gründe (was selten vorkommt und nachgewiesen werden muss) oder sie ist für Rechtsansprüche erforderlich. Widersprüche gegen Marketing werden immer sofort und ohne Frage berücksichtigt. Unsere Datenschutzhinweise und Kommunikationen informieren betroffene Personen immer über ihr Widerspruchsrecht.
  • Automatisierte Entscheidungsfindung und Profiling (Artikel 22): Wenn die Organisation automatisierte Entscheidungsfindung, einschließlich Profiling, einsetzt, die rechtliche oder ähnlich erhebliche Auswirkungen auf Einzelpersonen hat (zum Beispiel algorithmische Kreditentscheidungen, automatisierte Filterung von Bewerbern usw.), stellen wir sicher, dass wir Maßnahmen zum Schutz der Rechte von Einzelpersonen getroffen haben. Dies beinhaltet Transparenz über die involvierte Logik und in vielen Fällen die Einholung einer Einwilligung oder das Angebot einer Opt-out-Möglichkeit, es sei denn, die Verarbeitung ist für einen Vertrag notwendig oder gesetzlich erlaubt. Einzelpersonen haben in vielen Fällen das Recht, nicht ausschließlich automatisierten Entscheidungen dieser Art unterworfen zu werden, daher bieten wir ihnen Möglichkeiten, menschliches Eingreifen zu beantragen oder die Entscheidung anzufechten. Die ISO-Kontrolle PC7310 befasst sich speziell mit Verpflichtungen im Zusammenhang mit automatisierter Entscheidungsfindung – dementsprechend muss jedes Team, das solche Technologien implementiert, den DSB konsultieren und wahrscheinlich eine DSFA durchführen, und sie müssen Anfragen von Einzelpersonen berücksichtigen, die eine Erklärung oder menschliche Überprüfung eines automatisierten Ergebnisses wünschen.
  • Rechtzeitige Antwort und Protokollierung: Wir beantworten alle Anfragen betroffener Personen unverzüglich und spätestens innerhalb eines Monats nach Eingang (gemäß DSGVO Art. 12), es sei denn, eine Verlängerung ist zulässig (bei besonders komplexen Anfragen können wir um bis zu 2 weitere Monate verlängern, müssen den Anfragenden jedoch innerhalb des ersten Monats informieren). Wir stellen Antworten kostenlos zur Verfügung, außer bei offenkundig unbegründeten oder exzessiven Anfragen, in denen wir eine angemessene Gebühr erheben oder ablehnen können (was wir jedoch selten tun und nur nach Rücksprache mit der Rechtsabteilung). Jede Anfrage und unsere Antwort wird in einem vom DSB geführten Protokoll dokumentiert. Dieses Protokoll hilft uns, die Einhaltung von Fristen zu verfolgen und wiederkehrende Probleme oder Verbesserungsbereiche zu identifizieren. ISO PC7309 erfordert die Definition von Verfahren zur Bearbeitung von Anfragen, die wir in unserer SOP zur Bearbeitung von Betroffenenanfragen haben, und wir befolgen sie genau, um Konsistenz zu gewährleisten.
  • Information Dritter: Wenn wir personenbezogene Daten an Dritte weitergegeben haben (z. B. Auftragsverarbeiter oder Partner) und diese Daten anschließend auf Anfrage einer Person berichtigen oder löschen, werden wir diese Dritten über die Änderung informieren, damit sie die Daten ebenfalls aktualisieren oder löschen können (DSGVO Art. 19). ISO PC7307 (das unter unserem Abschnitt Datenübermittlung & Weitergabe behandelt wird) spiegelt diese Verpflichtung wider. Praktisch bedeutet dies, wenn die Daten von Max Mustermann an einen Fulfillment-Partner weitergegeben wurden und Max Mustermann sein Recht auf Löschung geltend macht, weisen wir unseren Partner an, seine Daten ebenfalls zu löschen. Wir informieren die betroffene Person auf Anfrage über diese Dritten.

    • Insgesamt ist unser Ansatz, es Einzelpersonen leicht zu machen, ihre Rechte auszuüben und Anfragen höflich und effizient zu bearbeiten. Alle Mitarbeiter sollten sich dieser Rechte bewusst sein – auch wenn Sie Anfragen nicht direkt bearbeiten, ermöglicht Ihre Arbeit (z. B. Daten korrekt, löschbar und gut organisiert zu halten) die Erfüllung dieser Verpflichtungen. Wenn Sie Zweifel haben, wie Sie mit der Anfrage einer betroffenen Person umgehen sollen, halten Sie inne und kontaktieren Sie den DSB um Hilfe. Wir ignorieren oder weisen solche Anfragen niemals ab. Die Achtung der Rechte betroffener Personen ist nicht nur eine gesetzliche Pflicht, sondern stärkt auch das Vertrauen in unsere Organisation.

    Datenschutz durch Technikgestaltung, Datenminimierung & Aufbewahrung

    Wir implementieren Datenschutz durch Technikgestaltung (Privacy by Design) und durch Voreinstellung (Privacy by Default) in all unseren Verarbeitungstätigkeiten. Das bedeutet, wir integrieren Datenschutzmaßnahmen in das Design von Systemen und Prozessen und stellen sicher, dass standardmäßig nur die Daten verarbeitet werden, die für den jeweiligen Zweck notwendig sind. Folgende Grundsätze, abgestimmt auf die ISO 27701-Kontrollen PC7401--7408 und DSGVO-Anforderungen, leiten unsere Praktiken:

    • Datenminimierung (DSGVO Art. 5(1)(c)): Die Organisation beschränkt die Erhebung und Nutzung personenbezogener Daten auf das für die identifizierten Zwecke notwendige Minimum. Bevor wir irgendeine persönliche Information erheben, fragen wir: „Brauchen wir das wirklich?“ Wenn nicht, erheben wir es nicht. Wenn ja, erheben wir nur das Notwendige und nicht mehr. Wenn beispielsweise der Zweck eines Online-Formulars mit Name und E-Mail erreicht werden kann, fragen wir nicht nach Geburtsdatum oder nationaler ID-Nummer. Mitarbeiter, die Datenerhebungsformulare entwerfen oder Daten von Kunden anfordern, müssen sicherstellen, dass keine übermäßigen Daten angefordert werden. Zusätzlich vermeiden wir die Erhebung hochsensibler Daten, es sei denn, sie sind unerlässlich (und wenn ja, wenden wir zusätzliche Schutzmaßnahmen an). Beschränkung der Verarbeitung ist ebenso wichtig – wir beschränken den Zugriff und die Nutzung von Daten intern nur auf jene Vorgänge, die für den Zweck notwendig sind (niemand sollte auf Daten für nicht zusammenhängende Aufgaben zugreifen oder diese nutzen). Durch die Einhaltung der Minimierung reduzieren wir Risiken und respektieren die Privatsphäre von Einzelpersonen inhärent.
    • Zweckbindung und Nutzungskontrollen: Personenbezogene Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist (DSGVO Art. 5(1)(b)). Dies wird durch interne Kontrollen durchgesetzt: Wenn eine neue Nutzung für Daten entsteht, bewerten wir ihre Kompatibilität mit den ursprünglichen Zwecken und holen bei Bedarf zusätzliche Einwilligungen oder Rechtsgrundlagen ein. Alle Teams müssen den DSB konsultieren, bevor sie Daten umwidmen. Unsere Systeme sind darauf ausgelegt, Daten nach Zweck zu segmentieren, und wir implementieren Kontrollen (technisch und prozedural), um unbefugte Nutzung zu verhindern. Zum Beispiel werden Marketingdaten und Betriebsdaten getrennt gespeichert, wobei Zugriffskontrollen sicherstellen, dass ein Mitarbeiter im Marketing keine Daten aus HR-Systemen abrufen kann usw., es sei denn, er ist speziell autorisiert.
    • Richtigkeit (DSGVO Art. 5(1)(d)): Wir bemühen uns, personenbezogene Daten richtig und aktuell zu halten. Ungenaue Daten können zu falschen Entscheidungen und Rechtsverletzungen führen, daher ist jede Abteilung dafür verantwortlich, Informationen nach Bedarf zu validieren und zu aktualisieren. Wenn wir auf unrichtige Daten aufmerksam werden (durch eine betroffene Person oder eine andere Quelle), korrigieren wir sie umgehend. Einige Maßnahmen umfassen regelmäßige Aufforderungen an Kunden oder Mitarbeiter, ihre Informationen zu überprüfen und zu aktualisieren, sowie Datenvalidierungsregeln in Systemen (z. B. Formatprüfungen, Entfernung doppelter Datensätze). Durch die Aufrechterhaltung der Richtigkeit gewährleisten wir auch die Qualität unserer Dienstleistungen und vermeiden die Verbreitung von Fehlern.
    • Speicherbegrenzung (DSGVO Art. 5(1)(e)): Wir bewahren personenbezogene Daten nicht länger auf, als es für die Zwecke, für die sie erhoben wurden, notwendig ist. Die Organisation hat einen Datenaufbewahrungsplan (siehe SOP Datenschutz durch Technikgestaltung & Datenaufbewahrung), der Aufbewahrungsfristen für verschiedene Datenkategorien festlegt, basierend auf gesetzlichen Anforderungen und Geschäftsanforderungen. Zum Beispiel müssen bestimmte Finanzunterlagen gesetzlich 7 Jahre aufbewahrt werden, während Marketing-Leads nach 1 Jahr Inaktivität gelöscht werden könnten. Alle Mitarbeiter müssen sich an diese Aufbewahrungsfristen halten: Wenn Daten ihr Lebensende erreichen, sollten sie sicher gelöscht oder anonymisiert werden. Unsere Systeme verfügen nach Möglichkeit über automatisierte Lösch- oder Archivierungsfunktionen, um Aufbewahrungsregeln durchzusetzen. Wenn nicht automatisiert, haben Abteilungen manuelle, terminierte Aufgaben zur Überprüfung und Bereinigung von Daten. Keine personenbezogenen Daten sollten „nur für den Fall“ oder unbegrenzt aufbewahrt werden. Indem wir die Aufbewahrungsdauer von Daten minimieren, reduzieren wir das Schadensrisiko durch potenzielle Verletzungen und respektieren die Erwartung von Einzelpersonen, dass wir ihre Daten nicht ohne Grund ewig aufbewahren.
    • Sichere Vernichtung: Wenn personenbezogene Daten nicht mehr benötigt werden, vernichten wir sie auf sichere Weise. Die ISO-Kontrolle PC7408 schreibt dokumentierte Verfahren für die Vernichtung vor. Für digitale Daten bedeutet sichere Vernichtung dauerhaftes Löschen (Überschreiben oder Schreddern von Dateien aus allen Systemen einschließlich Backups, wo möglich). Für physische Daten (Papierakten, Datenträger) bedeutet dies Schreddern, Pulpen oder Verbrennen mittels genehmigter Methoden. Wir stellen sicher, dass externe Vernichtungsdienste geprüft werden und Vernichtungszertifikate ausstellen. Darüber hinaus werden alle Geräte oder Laufwerke, die personenbezogene Daten gespeichert haben, vor dem Wegwerfen oder Wiederverwenden sicher gelöscht oder zerstört. Mitarbeiter sollten niemals Dokumente mit personenbezogenen Daten einfach in den normalen Müll werfen oder Dateien unsicher löschen – immer die etablierten Richtlinien zur Datenvernichtung befolgen oder bei Unsicherheit die IT konsultieren.
    • Datenschutz durch Technikgestaltung in Systemen: Bei der Entwicklung oder Beschaffung neuer IT-Systeme oder Prozesse, die personenbezogene Daten beinhalten, beziehen wir den DSB und die IT-Sicherheit in die Designphase ein, um Datenschutzkontrollen zu verankern. Dies kann Datenpseudonymisierung oder -verschlüsselung, die Anwendung des Prinzips der geringsten Rechte (Least Privilege, sodass Systeme so gebaut sind, dass jede Benutzerrolle nur das sieht, was sie sehen muss) und die Integration von Einwilligungsmanagement- oder Opt-out-Mechanismen von Anfang an umfassen. Wir führen Datenschutzprüfungen für neue Systeme durch (oft über den zuvor erwähnten DSFA-Prozess), um sicherzustellen, dass Compliance-Anforderungen berücksichtigt werden. Standardmäßig werden datenschutzfreundliche Einstellungen angewendet – zum Beispiel könnten neue Benutzerkonten standardmäßig die datenschutzfreundlichsten Einstellungen haben (kein öffentliches Profil, es sei denn, der Benutzer stimmt zu usw.). Jeder neue Projektvorschlag muss wichtige Datenschutzfragen beantworten (welche Daten, warum, wie gesichert, Aufbewahrung usw.), bevor er genehmigt wird. Auf diese Weise ist Datenschutz kein nachträglicher Gedanke, sondern ein eingebauter Aspekt unserer Produkte und Operationen.
    • Zugriffs- und Sicherheitsmaßnahmen: Obwohl Informationssicherheit in unseren Informationssicherheitsrichtlinien ausführlich behandelt wird, ist anzumerken, dass der Schutz von Daten durch Sicherheitskontrollen Teil des Datenschutzes durch Technikgestaltung ist. Wir nutzen Maßnahmen wie Zugriffskontrolle, Verschlüsselung und Überwachung zum Schutz personenbezogener Daten (DSGVO Art. 5(1)(f) und Art. 32). Zum Beispiel werden personenbezogene Datenfelder in Datenbanken im Ruhezustand verschlüsselt, sensible Datenübertragungen erfolgen über verschlüsselte Kanäle (VPN, HTTPS – siehe auch Abschnitt Datenübermittlung für Übertragungskontrollen), und wir halten Sicherheitssoftware auf dem neuesten Stand, um Verletzungen zu verhindern. Arbeitsstationen und mobile Geräte, die zur Verarbeitung personenbezogener Daten verwendet werden, sind mit Authentifizierung und Verschlüsselung gesichert. Diese Maßnahmen stellen sicher, dass personenbezogene Daten standardmäßig nicht für unbefugte Personen zugänglich sind.
    • Temporäre Dateien und Kopien: Im Betrieb entstehen manchmal temporäre Dateien oder Caches von personenbezogenen Daten (zum Beispiel beim Exportieren von Daten in eine Tabelle zur Analyse). ISO PC7406 erinnert uns daran, diese angemessen zu verwalten – temporäre Dateien werden gelöscht, sobald sie nicht mehr benötigt werden. Mitarbeiter sollten davon absehen, unnötige lokale Kopien von Daten zu erstellen. Wo sie dies tun müssen, sollten sie diese sicher speichern und nach Gebrauch umgehend löschen. Wir raten davon ab, große Mengen personenbezogener Daten auf lokale Rechner herunterzuladen; stattdessen sollte innerhalb sicherer Systeme oder sicherer Sandbox-Umgebungen gearbeitet werden, die von der IT bereitgestellt werden. Dies reduziert verstreute Kopien von Daten.
    • Anonymisierung und Pseudonymisierung: Wo immer möglich, verwenden wir Techniken, um die Identifizierbarkeit personenbezogener Daten zu entfernen oder zu reduzieren. Anonymisierung (unumkehrbare Entfernung der Identifikation) wird angewendet, wenn wir Daten für Analysen oder Forschung über ihren benötigten Zeitraum hinaus aufbewahren möchten, sodass sie nicht mehr als personenbezogene Daten gelten. Pseudonymisierung (Ersetzen identifizierender Felder durch Codes, wobei der Schlüssel separat aufbewahrt wird) wird in Systemen als zusätzliche Schutzmaßnahme verwendet – zum Beispiel könnten Produktionsdatenbanken pseudonyme Identifikatoren verwenden, und eine Nachschlagetabelle für echte Identitäten wird separat mit zusätzlichem Schutz aufbewahrt. Diese Techniken unterstützen Datenminimierung und Sicherheit, indem sie sicherstellen, dass selbst bei Zugriff auf Daten diese möglicherweise nicht direkt Einzelpersonen ohne zusätzliche Informationen identifizieren.

    Im Wesentlichen geht es bei Datenschutz durch Technikgestaltung und Voreinstellung um Voraussicht und proaktive Maßnahmen. Wir denken von Anfang an über Datenschutz nach und setzen kontinuierlich die Prinzipien der minimalen Nutzung, ordnungsgemäßen Aufbewahrung und starken Schutzes durch. Mitarbeiter auf allen Ebenen – von IT-Entwicklern bis zu Marketingmitarbeitern – sollten diese Prinzipien in ihre tägliche Arbeit integrieren. Dadurch erfüllen wir nicht nur gesetzliche Anforderungen wie DSGVO Artikel 25 (der Datenschutz durch Technikgestaltung/Voreinstellung vorschreibt), sondern reduzieren auch Risiken und fördern das Vertrauen von Kunden und Partnern, die sehen können, dass wir ihre personenbezogenen Daten bei jedem Schritt ihres Lebenszyklus respektieren.

    Datenübermittlung & Weitergabe an Dritte

    Personenbezogene Daten müssen manchmal außerhalb unserer Organisation weitergegeben werden, sei es durch Übermittlung von Daten ins Ausland, Offenlegung gegenüber einem Partnerunternehmen oder Reaktion auf rechtmäßige Anfragen. Wir handhaben alle derartigen Übermittlungen und Offenlegungen mit äußerster Sorgfalt und in Übereinstimmung mit Kapitel V der DSGVO und anderen relevanten Verpflichtungen. Die ISO-Kontrollen PC7307, PC7409 und PC7501--7504 leiten uns in diesem Bereich. Wichtige Richtlinienpunkte sind:

    • Internationale Datenübermittlungen: Wenn wir personenbezogene Daten aus der EU/dem EWR (oder anderen Regionen mit Übermittlungsbeschränkungen) in ein Land außerhalb dieser Gerichtsbarkeit übermitteln, stellen wir sicher, dass ein rechtlicher Übermittlungsmechanismus vorhanden ist (DSGVO Artikel 44 ff.). Das bedeutet:
      • Wir bevorzugen die Übermittlung in Länder, die von der EU-Kommission als angemessen eingestuft wurden (DSGVO Art. 45) – diese Länder sind für einen im Wesentlichen gleichwertigen Datenschutz zugelassen.
      • Wenn das Land nicht als angemessen eingestuft ist, verwenden wir geeignete Garantien (DSGVO Art. 46) wie Standardvertragsklauseln (SVK) in Verträgen, verbindliche interne Datenschutzvorschriften (falls zutreffend) oder andere genehmigte Mechanismen. Unsere Rechtsabteilung pflegt aktuelle SVK-Vorlagen und verfolgt alle zusätzlichen Anforderungen (wie EU-Empfehlungen nach der Schrems-II-Entscheidung – z. B. Durchführung von Transfer-Folgenabschätzungen und Hinzufügen zusätzlicher Maßnahmen bei Bedarf).
      • In seltenen Fällen, wenn keine Angemessenheit oder Garantien gelten, würden wir nur unter einer spezifischen Ausnahme in Artikel 49 übermitteln (z. B. ausdrückliche Zustimmung der Person oder Übermittlung notwendig für Vertrag mit der Person usw.), und selbst dann würden wir die Notwendigkeit bewerten und die Begründung dokumentieren.
      • Praktisch muss jedes Team, das plant, Daten in einem anderen Land zu speichern oder den Zugriff darauf aus einem anderen Land zu ermöglichen, frühzeitig die DSB/Rechtsabteilung einbeziehen, um den korrekten Ansatz zu bestimmen. Keine internationale Übermittlung sollte informell erfolgen (z. B. Exportieren einer Tabelle und Senden per E-Mail an einen Kollegen in einem anderen Land), ohne diese Regeln zu berücksichtigen. Unsere IT-Systeme sind so konfiguriert, dass Daten nach Möglichkeit innerhalb genehmigter Regionen gehalten werden. Bei Cloud-Diensten wählen wir Rechenzentrumsstandorte, die unseren Anforderungen an die Übermittlungskonformität entsprechen.
    • Grundlage identifizieren und Übermittlungen dokumentieren: ISO PC7501 verlangt, dass wir die Grundlage für internationale Übermittlungen identifizieren und dokumentieren. Daher zeichnen wir für jeden grenzüberschreitenden Datenfluss auf, welcher Mechanismus verwendet wird (zum Beispiel „Kundendaten in die USA exportiert – abgedeckt durch am 1. Januar 2025 unterzeichnete SVK“). Wir führen auf Cenedril ein Register der Datenübermittlungen, das mit unserem Verzeichnis von Verarbeitungstätigkeiten verknüpft ist. Dies hilft, die Compliance nachzuweisen und ermöglicht es uns, Übermittlungen regelmäßig zu überprüfen, um sicherzustellen, dass sie rechtmäßig bleiben (wenn sich beispielsweise Gesetze ändern oder SVK aktualisiert werden, können wir unsere Verträge entsprechend aktualisieren).
    • Genehmigte Ziele und Partner: Gemäß ISO PC7502 legen wir fest, in welche Länder oder internationalen Organisationen unsere Organisation Daten übermitteln darf. Übermittlungen sollten im Allgemeinen auf jene Länder beschränkt sein, in denen wir Compliance-Maßnahmen etabliert haben. Wenn ein neues Land hinzugefügt werden muss (z. B. Beauftragung eines neuen Dienstleisters in einem anderen Land), muss dies einer rechtlichen Prüfung unterzogen werden. Ebenso führen wir eine Liste genehmigter Dritter (Auftragsverarbeiter oder Verantwortliche), mit denen Daten geteilt werden können, jeweils mit einer etablierten Rechtsgrundlage (Vertrag, Angemessenheit usw.). Dieser kontrollierte Ansatz verhindert Ad-hoc- oder unbefugte Datenexporte.
    • Offenlegungen gegenüber Dritten (nicht routinemäßig): Abgesehen von regelmäßigen Übermittlungen an unsere Dienstleister oder Partner kann es zu Ad-hoc-Datenoffenlegungen kommen:
      • Rechtliche Anfragen: Wenn wir eine Anfrage nach personenbezogenen Daten von einer Strafverfolgungsbehörde, einem Gericht oder einer anderen Behörde erhalten, legen wir Daten nicht sofort offen. Solche Anfragen müssen von der Rechtsabteilung/dem DSB geprüft werden. Wir kommen nur rechtlich bindenden Anfragen nach – z. B. einem Haftbefehl, Gerichtsbeschluss oder einer gesetzlichen Anforderung. Wenn eine Anfrage nicht rechtlich durchsetzbar ist, lehnen wir höflich ab und fordern eine ordnungsgemäße Befugnis an. Selbst wenn sie gültig ist, bemühen wir uns, die betroffene Person zu benachrichtigen, sofern erlaubt (Transparenz), es sei denn, das Gesetz verbietet dies. Unsere Mitarbeiter sind angewiesen, dass wenn eine externe Partei nach personenbezogenen Daten fragt (selbst etwas scheinbar Informelles, wie ein Anruf eines Polizisten, der nach Kundeninformationen fragt), sie diese an die Rechtsabteilung weiterleiten müssen – sie sollten niemals einfach Daten herausgeben.
      • Datenweitergabe an Partner: Manchmal teilen wir Daten möglicherweise mit einem anderen unabhängigen Datenverantwortlichen (zum Beispiel die Weitergabe von Geschäftskundeninformationen an einen Partner für gemeinsame Veranstaltungen). In solchen Fällen stellen wir sicher, dass eine ordnungsgemäße Datenweitergabevereinbarung oder eine Vereinbarung über gemeinsame Verantwortlichkeit vorliegt, die die Verantwortlichkeiten jeder Partei darlegt (einschließlich der Information von Einzelpersonen, Bearbeitung von Rechteanfragen usw.). Wir stellen auch sicher, dass die Person über diese Art der Offenlegung in unserem Datenschutzhinweis informiert wurde oder zugestimmt hat, falls erforderlich. Wir behandeln diese Offenlegungen nur nach dem Need-to-share-Prinzip – ist es notwendig und rechtlich gerechtfertigt? Wenn nicht, teilen wir nicht. Alle derartigen Partnerschaften müssen vom DSB geprüft werden.
    • Aufzeichnungen über Offenlegungen: ISO PC7503 und PC7504 erfordern die Führung von Aufzeichnungen über PII-Übermittlungen und -Offenlegungen an Dritte. Daher protokollieren wir, wenn wir Daten extern weitergeben, dies in unseren Aufzeichnungen (dies kann sich mit dem VvVT und unserem Register für rechtliche Anfragen überschneiden). Wenn wir beispielsweise im Laufe eines Jahres drei Datenanfragen von Strafverfolgungsbehörden erfüllt haben, führen wir Aufzeichnungen darüber, was offengelegt wurde, unter welcher Befugnis und wann. Wenn wir Daten gemäß einem Memorandum of Understanding (MOU) mit einem Partner teilen, wird dies katalogisiert. Diese Dokumentation stellt sicher, dass wir nachvollziehen können, wohin personenbezogene Daten gelangt sind, was für die Rechenschaftspflicht und die Beantwortung von Folgefragen (z. B. wenn eine betroffene Person fragt „An wen wurden meine Daten weitergegeben?“, können wir gemäß Art. 15 antworten) entscheidend ist. Es hilft auch dabei, Daten bei diesen Dritten bei Bedarf zu aktualisieren oder zu korrigieren (wie unter Betroffenenrechte erwähnt).
    • Benachrichtigung Dritter über Berichtigungen/Löschungen: In Anknüpfung an ISO PC7307 und DSGVO Art. 19 – wann immer möglich, wenn wir Daten an andere weitergegeben haben und diese Daten dann aufgrund einer Anfrage einer betroffenen Person aktualisiert oder gelöscht werden, werden wir diese Dritten über die Änderung informieren, damit sie die Daten ebenfalls aktualisieren oder löschen können. Unsere Verfahren umfassen die Überprüfung des VvVT auf Empfänger der Daten dieser Person und das Versenden von Aktualisierungsmitteilungen. Wenn beispielsweise ein Kunde sich aus unserem System abmeldet und wir seine Daten zuvor an einen Versanddienstleister für Lieferungen gesendet hatten, benachrichtigen wir den Anbieter, die Daten dieses Kunden aus seinen Aufzeichnungen zu entfernen. Wir bewahren Nachweise über diese Benachrichtigungen oder die unternommenen Bemühungen auf.
    • Anleitung für Mitarbeiter: Mitarbeiter müssen die DSB/Rechtsabteilung konsultieren, bevor sie personenbezogene Daten außerhalb des Standardverfahrens an Dritte senden. Selbst innerhalb desselben Landes, wenn es sich um einen neuen Empfänger oder eine ungewöhnliche Anfrage handelt, gehen Sie nicht davon aus, dass es in Ordnung ist. Wir haben klare Anleitungen: Jede externe Datenweitergabe benötigt entweder eine bestehende Vereinbarung oder eine spezifische Genehmigung. Zusätzlich sollten Mitarbeiter, die planen zu reisen oder aus einem anderen Land remote auf Daten zuzugreifen (selbst nur das Betrachten auf einem Laptop im Ausland), die IT/den DSB informieren, um die Compliance sicherzustellen (da der Remote-Zugriff aus dem Ausland eine Übermittlung darstellen könnte). Wir haben VPN- und Sicherheitsmaßnahmen, um die Remote-Arbeit sicher zu handhaben, aber der Standort ist aus rechtlichen Gründen relevant.

    Zusammenfassend lässt sich sagen, wir behandeln personenbezogene Daten so, als sollten sie unter unserer Kontrolle bleiben, es sei denn, eine kontrollierte, dokumentierte und rechtmäßige Übermittlung ist notwendig. Indem wir unsere Datenübermittlungen und -offenlegungen planen und aufzeichnen und starke Schutzmaßnahmen verwenden, halten wir die strengen Regeln der DSGVO zu internationalen Datenflüssen und Offenlegungen gegenüber Dritten ein. Dies schützt die Daten von Einzelpersonen davor, an Orten mit unzureichendem Schutz zu landen, und stellt sicher, dass wir das Vertrauen ehren, das sie uns entgegenbringen, wenn sie ihre Informationen bereitstellen.

    Kontinuierliche Verbesserung und Richtlinienüberprüfung

    Datenschutz ist eine kontinuierliche Anstrengung. Bluesquad Services UG widmet sich der ständigen Verbesserung unserer Datenschutzpraktiken und der Sicherstellung, dass diese Richtlinie wirksam und aktuell bleibt. Folgende Maßnahmen unterstützen die kontinuierliche Verbesserung und Compliance:

    • Schulung und Sensibilisierung: Wir führen regelmäßige Schulungen für alle Mitarbeiter zu Datenschutz und bewährten Datenschutzpraktiken durch. Neue Mitarbeiter erhalten im Rahmen des Onboardings eine Datenschutzschulung, und alle Mitarbeiter müssen jährliche Auffrischungskurse absolvieren. Spezialisierte Schulungen werden Teams mit wichtigen Datenschutzverantwortlichkeiten angeboten (z. B. Personalabteilung, die Mitarbeiterdaten verarbeitet, Kundensupport, der Zugriffsanfragen bearbeitet, IT für Datensicherheit). Wir senden auch regelmäßige Erinnerungen oder Updates (z. B. Gebote und Verbote, Lehren aus Vorfällen, Gesetzesänderungen). Indem wir das Bewusstsein schärfen, befähigen wir Mitarbeiter, diese Richtlinie in ihrer täglichen Arbeit umzusetzen und potenzielle Probleme frühzeitig zu erkennen. Eine informierte Belegschaft ist unsere erste Verteidigungslinie.
    • Überwachung und Auditierung: Die Organisation überwacht die Einhaltung dieser Richtlinie durch verschiedene Mittel. Der DSB führt zusammen mit der Internen Revision oder Compliance periodische Audits oder Bewertungen verschiedener Abteilungen und Prozesse durch. Zum Beispiel könnten wir eine Stichprobe der im Jahr durchgeführten DSFAs überprüfen oder die Einhaltung des Datenaufbewahrungsplans durch eine Geschäftseinheit auditieren. Wir verfolgen auch wichtige Leistungsindikatoren wie die Anzahl der eingegangenen und fristgerecht erfüllten Betroffenenanfragen, die Abschlussquoten von Schulungen und alle Datenschutzvorfälle, um unsere Leistung zu messen. Die Ergebnisse der Audits werden dem Senior Management zusammen mit Verbesserungsempfehlungen gemeldet. Alle identifizierten Mängel werden mit einem Korrekturmaßnahmenplan behoben, und Nachprüfungen stellen sicher, dass diese Maßnahmen wirksam sind. Wir betrachten Audits nicht als „Erwischt“-Übung, sondern als Werkzeug, das uns hilft, uns zu verbessern und Rechenschaftspflicht nachzuweisen (wie von der DSGVO gefordert).
    • Reaktion auf Vorfälle und Lernen: Trotz unserer Bemühungen können Vorfälle (wie Datenpannen oder Beinahe-Vorfälle) auftreten. Wir haben einen Plan zur Reaktion auf Vorfälle zur Bewältigung von Datenschutzverletzungen, der mit den DSGVO-Artikeln 33 und 34 (Meldepflichten bei Verletzungen) übereinstimmt – obwohl dies Teil unserer umfassenderen Informationssicherheitsverfahren ist, überschneidet es sich mit dem Datenschutz. Alle Mitarbeiter müssen jeden Verdacht auf eine Verletzung des Schutzes personenbezogener Daten oder einen Sicherheitsvorfall unverzüglich unserem IT-Sicherheitsteam und dem DSB melden (z. B. verlorener Laptop, falsch gesendete E-Mail mit personenbezogenen Daten, jeder System-Hack usw.). Wir untersuchen jeden Vorfall umgehend und ergreifen Maßnahmen zur Schadensminderung. Entscheidend ist, dass wir aus Vorfällen lernen: Nach der Lösung wird eine Nachuntersuchung durchgeführt, um Ursachen zu identifizieren und Prozesse zu verbessern. Dies könnte zur Aktualisierung dieser Richtlinie, zur Verbesserung der Schulung oder zur Hinzufügung neuer technischer Schutzmaßnahmen führen. Das Management unterstützt eine „Keine Schuldzuweisung“-Kultur bei der Meldung von Vorfällen – der Fokus liegt auf Verbesserung, nicht auf Bestrafung für ehrliche Fehler (vorsätzliche Fahrlässigkeit oder Richtlinienverstöße werden jedoch angemessen behandelt). Wenn eine Verletzung die gesetzliche Schwelle für eine Benachrichtigung erreicht, verwaltet der DSB die Kommunikation mit Behörden und betroffenen Personen gemäß Gesetz, und diese Erfahrung wird weiter zu stärkeren Kontrollen beitragen.
    • Regulatorische Beobachtung und Updates: Datenschutzgesetze und -vorschriften können sich ändern. Wir beobachten rechtliche Entwicklungen (z. B. neue Leitlinien von Datenschutzbehörden, aktualisierte Vorschriften, Gerichtsentscheidungen, die die Auslegung der DSGVO beeinflussen) und bewährte Branchenpraktiken. Der DSB oder Rechtsberater informiert die Organisation über Änderungen, die Anpassungen in unserem Compliance-Ansatz erfordern. Entsprechend werden diese Richtlinie und unsere SOPs bei Bedarf überarbeitet. Mindestens überprüfen wir diese Richtlinie formell jährlich, um sicherzustellen, dass sie mit dem Gesetz und unseren Geschäftsabläufen aktuell bleibt. Wenn wesentliche Änderungen eintreten (zum Beispiel, wenn wir neue Geschäftsbereiche starten oder neue Technologien wie KI einführen, die den Datenschutz beeinflussen), warten wir nicht auf den jährlichen Zyklus – wir aktualisieren die Richtlinie zeitnah und kommunizieren Änderungen an alle Mitarbeiter.
    • Mitarbeiterfeedback und Beteiligung: Wir ermutigen Mitarbeiter, Feedback zu Datenschutzprozessen zu geben. Diejenigen „an der Basis“ könnten Ineffizienzen erkennen oder Verbesserungsideen haben (zum Beispiel könnte ein Kundensupport-Mitarbeiter eine Möglichkeit vorschlagen, die Identitätsprüfung für Zugriffsanfragen zu optimieren). Wir haben Kanäle (wie eine dedizierte Datenschutz-Mailbox oder als Teil von Teambesprechungen), über die Mitarbeiter Vorschläge oder Bedenken zur Funktionsweise von Richtlinien in der Praxis äußern können. Das Management und der DSB nehmen diesen Input ernst und integrieren ihn gegebenenfalls in Prozessverbesserungen. Dieser inklusive Ansatz hilft sicherzustellen, dass die Richtlinie nicht nur ein Dokument ist, sondern eine lebendige Praxis, die sich an reale Bedürfnisse anpasst.
    • Dokumentation und Zertifizierung: Wir pflegen Dokumentationen als Nachweis der Compliance (Richtlinienversionshistorie, Schulungsaufzeichnungen, Auditberichte usw.). Wenn wir Datenschutzzertifizierungen oder Verhaltenskodizes anstreben, wird die kontinuierliche Verbesserung Teil dieses Zyklus sein. Zum Beispiel würde eine ISO 27701-Zertifizierung regelmäßige Überwachungsaudits beinhalten – eine weitere Ebene, die sicherstellt, dass wir uns weiter verbessern. Auch ohne formale Zertifizierung können wir uns an Rahmenwerken messen oder Selbstbewertungen durchführen, um Lücken zu identifizieren.

    Durch aktives Management und Überprüfung unseres Datenschutzprogramms stellen wir sicher, dass wir nicht nur Compliance-Anforderungen erfüllen, sondern auch eine starke Datenschutzkultur aufbauen. Diese Richtlinie selbst wird versioniert, und alle Aktualisierungen werden per E-Mail und im Firmenintranet kommuniziert, wobei Schulungen zu wesentlichen Änderungen angeboten werden. Von den Mitarbeitern wird erwartet, dass sie sich über diese Updates auf dem Laufenden halten und Fragen stellen, wenn etwas unklar ist.

    Zusammenfassend lässt sich sagen, dass Datenschutz eine fortlaufende Reise ist und diese Richtlinie ein Fahrplan. Durch sorgfältige Governance, Mitarbeiterengagement und regelmäßige Verfeinerung unserer Praktiken wird Bluesquad Services UG weiterhin die höchsten Datenschutzstandards in unseren Aktivitäten als Verantwortlicher aufrechterhalten. Wir sind stolz darauf, die Privatsphäre des Einzelnen zu respektieren und verpflichten uns, das Vertrauen unserer Kunden, Mitarbeiter und Partner zu wahren. Wenn Sie Fragen zu dieser Richtlinie oder Ihrer Rolle bei ihrer Unterstützung haben, wenden Sie sich bitte an den Datenschutzbeauftragten – wir alle sind Stakeholder der Datenschutzkonformität, und gemeinsam werden wir uns weiter verbessern.

    Terminbuchung über Calendly

    Wir verwenden Calendly zur Terminvereinbarung. Wenn Sie einen Termin buchen, werden folgende Daten verarbeitet:

    • Name
    • E-Mail-Adresse
    • ggf. Telefonnummer
    • gewünschter Termin / Zeitzone
    • ggf. Freitext-Angaben, die Sie in das Formular eingeben
    • technische Metadaten (z. B. IP-Adresse)

    Zweck: Terminorganisation, Kommunikation im Rahmen von Vertrags-/Kooperationsanbahnung.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) und Art. 6 Abs. 1 lit. f DSGVO (effiziente Terminorganisation).
    Calendly verarbeitet Daten als Auftragsverarbeiter. Wir haben eine Auftragsverarbeitungsvereinbarung (DPA) mit Calendly abgeschlossen. Calendly nutzt zur rechtmäßigen Datenübermittlung in Drittländer (z. B. USA) insbesondere EU-Standardvertragsklauseln.
    Speicherdauer: Ihre Buchungsdaten speichern wir, solange dies zur Terminabwicklung und ggf. zur anschließenden Zusammenarbeit erforderlich ist, spätestens jedoch nach 24 Monaten sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.