logo-rocher
 

Datenschutzkonzept


Präambel

Die Firma Rocher Direktmarketing-Services ist seit 1992 im Bereich Fulfillmentdienstleistungen t√§tig. Neben den reinen Lager und Fullfilment Leistungen werden in immer st√§rkerem Ma√üe web-basierte Fulfillmentl√∂sungen angeboten. Da hierbei personenbezogenen Daten erhoben, verarbeitet und gespeichert werden unterliegt der Datenschutz der h√∂chsten Priorit√§t. Das vorliegende Konzept beschreibt, wie Datenschutz innerhalb der Firma ber√ľcksichtigt, umgesetzt und von allen Mitarbeitern gelebt wird.

Datenschutzpolitik und Verantwortlichkeiten im Unternehmen

Die Firma Rocher Direktmarketing-Services verpflichtet sich im Rahmen seiner gesellschaftlichen Verantwortung zur Einhaltung des gesetzlichen Datenschutzrechtes.
Die Wahrung des Datenschutzes ist eine Basis f√ľr vertrauensvolle Gesch√§ftsbeziehungen und die Reputation der Rocher Direktmarketing-Services.
Wir definieren unsere eigenen Datenschutz-Ziele als Selbstverpflichtung. Dazu gehören:
   •  unbedingte Einhaltung der Vorgaben der EU-Datenschutz-Verordnung durch die gesamte Belegschaft
   •  unbedingte Einhaltung der unternehmenseigenen Datenschutzvorschriften durch die gesamte Belegschaft
   •  strikte Verpflichtung zur Geheimhaltung und Vertraulichkeit
   •  Datenschutzkonforme Arbeitsplatzgestaltung
   •  unbedingter Schutz vor Dateneinsicht durch Unbefugte

Rechtliche Rahmenbedingungen im Unternehmen

Das Erheben und Verarbeiten personenbezogener Daten ist in der Datenschutzgrund-verordnung (DS-GVO) geregelt. Personenbezogene Daten sind Einzelangaben √ľber pers√∂nliche oder sachliche Verh√§ltnisse einer bestimmten oder bestimmbaren nat√ľrlichen Person (so genannter Betroffener). Generell gilt, dass personenbezogene Daten nur verarbeitet werden d√ľrfen, wenn gesetzliche Vorschriften dies ausdr√ľcklich zulassen oder der Betroffene ausdr√ľcklich eingewilligt hat. Die Einwilligung ist nur wirksam, wenn der Nutzer √ľber die Tragweite des Verfahrens informiert wurde, dies hei√üt, welche Daten zu welchem Zweck in welcher Form gespeichert und verarbeitet werden und die Einwilligung nicht in anderen Erkl√§rungen versteckt worden ist.

Inhalt und Zweck des Konzeptes

Grundvoraussetzung f√ľr den Datenschutz ist die Datensparsamkeit. Daraus resultiert, dass nicht mehr Daten als ben√∂tigt verwendet werden. Als zweiten zentralen Punkt sehen wir die Notwendigkeit, Daten so fr√ľh als m√∂glich zu pseudonymisieren bzw. zu anonymisieren.

Beschreibung der personenbezogenen Daten und Angabe der jeweiligen Zweckbindung (Nutzungszweck)

Kundendaten
Bei dem betroffenen Personenkreis handelt es sich um Kunden bzw. Mitarbeiter des Auftraggebers. Die Daten werden zu Zwecken der Abwicklung von Bestellaufträgen erhoben und gespeichert.

Verfahren zur Pseudonymisierung und Anonymisierung inklusive Risikoabschätzung

Die Verfahren zur Pseudonymisierung und Anonymisierung werden nach dem jeweils nach dem aktuellen Stand der Technik durchgef√ľhrt. Pseudonymisierung und Anonymisierung sind in der Regel immer dann notwendig, wenn keine gesetzliche Grundlage, die eine l√§ngere Speicherung als 91 Tage erfordert, existiert.

Verpflichtung zum Datenschutz

Die Geschäftsleitung eingeschlossen ihrer Mitarbeiter /-innen und Subunternehmer, verpflichten sich zur Einhaltung von datenschutzrechtlichen Vorschriften. Die betroffenen Personen haben eine entsprechende Datenschutzerklärung zur Geheimhaltungspflicht unterzeichnet.

Beschreibung der TOM¬īs zum Datenschutz


Vertraulichkeit

Zutrittskontrolle
Der Zugang zu den Räumlichkeiten ist nur autorisierten Personen möglich.

Zugangskontrolle

Der elektronische Zugang zu den Systemen ist durch Firewall-Technologien gesch√ľtzt. Der Zugang ist nach heutigen technischen Standards mittels https und SSL-Verschl√ľsselung gesichert. Zugangsdaten zur Administration und Wartung der Firewall-Dienste sind Administratoren und verantwortlichen Mitarbeitern der Rocher Direktmarketing-Services bekannt. Die Passw√∂rter werden regelm√§√üig ge√§ndert.

Zugriffskontrolle

Der Datenzugriff ist ausschlie√ülich √ľber unsere Softwarel√∂sungen m√∂glich und nach Mandanten getrennt. Die Mandantendaten sind logisch voneinander getrennt und verf√ľgen jeweils √ľber eine eigenst√§ndige Benutzer- und Zugriffsverwaltung f√ľr die Vergabe individueller Zugriffsberechtigungen. Auf Basis eines kundenspezifischen Rollenkonzepts werden Zugriffsberechtigungen definiert, damit personenbezogene Daten nach ihrer Speicherung nicht unbefugt gelesen, kopiert, ver√§ndert oder entfernt werden k√∂nnen.

Weitergabekontrolle

Eine elektronische Weitergabe (√úbertragung) von Daten erfolgt automatisiert mittels standardisierter Export-Schnittstellen innerhalb der Anwendungsumgebung. Der Zugriff auf Schnittstellen wird anwendungsseitig auf Basis der Berechtigungen gesteuert. Die Zugangskontrolle erfolgt anhand der eingesetzten technischen Komponenten.
Die Verfahren zur √úbertragung an weitere Stellen (Dritte) werden anhand einer Schnittstellenspezifikation definiert und sind in der Ausf√ľhrung durch den Auftraggeber steuerbar, die technischen Eigenschaften und Verfahren dann spezifisch in Abstimmung mit dem Auftraggeber definiert und innerhalb der Dokumentation ber√ľcksichtigt. In dieser Abh√§ngigkeit sind ggfs. zus√§tzliche datenschutzrechtliche Regelungen mit Dritten zu vereinbarem.

Integrität

Eingabekontrolle
Anwendungsseitig ist gewährleistet, dass berechtigte Benutzer (i.d.R. Administratoren) nachträglich feststellen können, wann und von wem personenbezogene Daten erfasst, verändert oder entfernt worden sind. Die Dokumentation erfolgt zum Kundendatensatz und ist nicht manipulierbar.

Auftragskontrolle

Auf Basis der Datenschutzerkl√§rung zur Auftragsdatenverarbeitung wird gew√§hrleistet, dass die Verarbeitung von personenbezogenen Daten nur entsprechend den Weisungen des Vertragspartners (Nutzers) durchgef√ľhrt wird.

Verf√ľgbarkeit

Verf√ľgbarkeitskontrolle
Die Daten werden vom Auftragnehmer entsprechend dem dort vorliegenden Backup-Konzept gesichert.

Authentizität

Die Authentizität der Daten ergibt sich aus den in den verschiedenen Informationssystemen implementierten Verfahren, die eine Authentizität gewährleisten, zusammen mit den Organisationskonzepten unserer Firma:
   •  Berechtigungskonzept
   •  Sicherheitskonzept
   •  Protokollierungskonzept
   •  und das hier vorliegende Datenschutzkonzept.

Transparenz

Dem Transparenzgebot wird durch dieses Datenschutzkonzept gen√ľgt, in dem die Methoden der Erhebung und Nutzung der Daten beschrieben wird.

Trennungsgebot

Eine Trennung der Daten erfolgt nach Mandanten.
Version: 1.0 | Stand: 09. April 2018
kategorie-bild