Präambel
Der Schutz von personenbezogenen Daten rückt zunehmend in den Fokus der betroffenen Personen, der Öffentlichkeit und der Gesellschaft. Dem trägt auch die Europäische Datenschutz-Grundverordnung (DSGVO) Rechnung.
Die OWO Technology GmbH ist der Überzeugung, dass ein verantwortungsvoller Umgang mit personenbezogenen Daten nicht nur eine gesetzliche Pflicht, sondern auch ein wesentlicher Vertrauensfaktor gegenüber Kunden, Partnern und Mitarbeitenden ist.
Datenschutzgrundsätze
Die OWO Technology GmbH beachtet bei jeder Verarbeitung personenbezogener Daten die Grundsätze des Art. 5 DSGVO:
| a. Rechtmäßigkeit | Daten werden nur auf Grundlage einer gesetzlichen Erlaubnis oder einer Einwilligung erhoben und verarbeitet. |
| b. Treu & Glauben | Betroffene Personen werden über die Verarbeitung ihrer Daten ordnungsgemäß und umfassend informiert. |
| c. Transparenz | Alle Informationen zur Datenverarbeitung sind leicht zugänglich, verständlich und in klarer Sprache verfasst. |
| d. Zweckbindung | Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht zweckfremd verarbeitet. |
| e. Datenminimierung | Es werden nur solche Daten erhoben, die für den jeweiligen Verarbeitungszweck tatsächlich erforderlich sind. |
| f. Richtigkeit | Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten werden unverzüglich berichtigt. |
| g. Speicherbegrenzung | Daten werden nur so lange gespeichert, wie es für die Verarbeitungszwecke erforderlich ist. |
| h. Integrität & Vertraulichkeit | Angemessene technische und organisatorische Maßnahmen schützen Daten vor unbefugtem Zugriff und Verlust. |
| i. Rechenschaftspflicht | Die Einhaltung aller Datenschutzgrundsätze wird systematisch dokumentiert und nachgewiesen. |
Datenschutzorganisation
Die OWO Technology GmbH hat gemäß den gesetzlichen Anforderungen einen betrieblichen Datenschutzbeauftragten bestellt und der zuständigen Aufsichtsbehörde gemeldet (Art. 37 Abs. 7 DSGVO).
Aufgaben des Datenschutzbeauftragten
Datenschutzmanagement
Das Datenschutzmanagement ist in das Unternehmensmanagement der OWO Technology GmbH integriert und folgt dem PDCA-Zyklus (Plan–Do–Check–Act) zur kontinuierlichen Verbesserung.
Die Datenschutzdokumentation umfasst
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Beschreibung technischer und organisatorischer Maßnahmen
- Risikobewertung und Schutzbedarfsfeststellung
- Datenschutzprozesse und Checklisten
- Datenschutzprüfberichte und Audits
- Datenschutzfolgenabschätzungen
Datensicherheit
Die OWO Technology GmbH setzt geeignete technische und organisatorische Maßnahmen (TOMs) ein, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.
Die Datensicherheitsmaßnahmen sind in das Informationssicherheitsmanagement des Unternehmens integriert und umfassen u. a. Zugriffskontrollen, Verschlüsselung, Pseudonymisierung, Protokollierung sowie regelmäßige Sicherheitsüberprüfungen und Mitarbeiterschulungen.
Schutzziele & Schutzgrade
Alle Datenverarbeitungsverfahren werden nach ihrer Sensibilität bewertet und einer Schutzstufe zugeordnet:
| Stufe | Kategorie | Beschreibung |
|---|---|---|
| A | Öffentlich | Frei zugängliche Daten ohne besondere Vertraulichkeitsanforderungen. |
| B | Intern | Interne Daten, deren Missbrauch keine besondere Beeinträchtigung erwarten lässt. |
| C | Vertraulich | Daten, deren Missbrauch die gesellschaftliche oder wirtschaftliche Stellung beeinträchtigen kann. |
| D | Streng vertraulich | Daten, deren Missbrauch die soziale Existenz erheblich beeinträchtigen kann (z. B. Gesundheitsdaten). |
| E | Kritisch | Daten, deren Missbrauch Gesundheit, Leben oder Freiheit der betroffenen Person gefährden kann. |
Rechte der Betroffenen
Als betroffene Person stehen Ihnen gegenüber der OWO Technology GmbH folgende Rechte zu:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf einer Einwilligung
- Beschwerderecht bei der zuständigen Aufsichtsbehörde
Meldung von Datenschutzverletzungen
Bei einer festgestellten oder vermuteten Datenschutzverletzung gilt folgendes Verfahren:
Privacy by Design
Die OWO Technology GmbH verfolgt den Grundsatz Privacy by Design und Privacy by Default gemäß Art. 25 DSGVO. Datenschutz wird von Anfang an in alle technischen Systeme und Prozesse eingebaut.
- Datenminimierung von Anfang an
- Frühzeitige Pseudonymisierung
- Zugriffsrechte nach Minimalprinzip
- Datenschutzfreundliche Voreinstellungen
- Technische Unterstützung der Betroffenenrechte
- Datenschutz-Prüfung bei jeder Systembeschaffung
Datenschutzfolgenabschätzung
Wenn Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, führt die OWO Technology GmbH eine Datenschutzfolgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch.
Verbleibt nach Umsetzung geeigneter Schutzmaßnahmen ein hohes Restrisiko, wird die zuständige Datenschutz-Aufsichtsbehörde konsultiert (Art. 36 DSGVO).
Auftragsverarbeitung
Soweit die OWO Technology GmbH externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, erfolgt dies ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO.
Auftragsverarbeiter werden sorgfältig auf ihre technischen und organisatorischen Schutzmaßnahmen geprüft. Die Prüfung wird dokumentiert. Unterauftragnehmer unterliegen denselben vertraglichen Anforderungen.
Übermittlung in Drittstaaten
Übermittlungen personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgen nur, wenn geeignete Garantien gemäß Art. 46 DSGVO vorliegen (z. B. Standardvertragsklauseln) oder eine Ausnahme nach Art. 49 DSGVO greift.
Der Datenschutzbeauftragte prüft und dokumentiert alle Übermittlungsvorhaben vor ihrer Umsetzung.