DB SCHENKER logo

Datenschutzgrundverordnung (DSGVO) - Neue Regeln für den Datenschutz

Zum 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Ab diesem Zeitpunkt gelten die Anforderungen aus der DSGVO in allen Mitgliedsstaaten.

Im Folgenden möchten wir Ihnen die Umsetzung der DSGVO bei der Schenker Deutschland AG erläutern sowie den allgemeinen Umgang mit personenbezogenen Daten aufzeigen.

Sämtliche Anforderungen aus der DSGVO wurden durch die Datenschutzbeauftragte und die Datenschutzorganisation der Schenker Deutschland AG einer genauen Begutachtung und Prüfung unterzogen und Umsetzungsstrategien erstellt. Die Schenker Deutschland AG ist ein Teil des DB Konzerns mit einer seit Jahren etablierten Datenschutzorganisation.

Der Datenschutz und die Vertraulichkeit der uns anvertrauten Informationen, haben für uns und den gesamten DB-Konzern einen hohen Stellenwert. Wir verarbeiten die Daten nach den Vorgaben der jeweils anwendbaren Datenschutzgesetze und verpflichten jeden Beschäftigten und Dienstleister zu entsprechenden Maßnahmen der Daten- und IT-Sicherheit.

Wir ergreifen angemessene technische und organisatorische Maßnahmen zum Schutz der uns anvertrauten personenbezogenen Daten. Die Schenker Deutschland AG verfügt seit 2017 über eine Zertifizierung nach ISO 27001 auf der Basis des IT Grundschutzes. Darüber hinaus ist die Schenker Deutschland AG ein langjähriges Mitglied Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Die Schenker Deutschland AG setzt ausschließlich geprüfte IT Dienstleister, wie bspw. Hoster ein. Die meisten dieser Dienstleister verfügen über eine Zertifizierung nach ISO 27001 oder einer vergleichbaren Zertifizierung.

Wir erheben und verwenden personenbezogene Daten grundsätzlich nur, soweit dies zur Abwicklung unserer Verträge erforderlich ist. Nach Erfüllung der vertraglichen Pflichten verarbeiten wir Daten nur nach erteilter Einwilligung oder sofern die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage. Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Sobald der Zweck der Speicherung entfällt werden die personenbezogenen Daten der betroffenen Person gelöscht odergesperrt. Eine Speicherung kann darüberhinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine weitere Speicherung der Datenfür einen Vertragsabschluss oder eine Vertragserfüllung erforderlich ist.

Aufgrund weltweit unterschiedlicher Rahmenbedingungen zum Datenschutz ist es in einem international tätigen Konzern notwendig, Regelungen und Festlegungen zum Umgang mit personenbezogenen Daten zu treffen. Die Globale Datenschutzrichtlinie dient dazu, konzernweit einen Mindeststandard zu etablieren. Sie enthält allgemeine Datenschutzprinzipien zur Wahrung von Persönlichkeitsrechten und Regelungen zu unterschiedlichen Aspekten des internationalen Datenschutzes im DB Konzern.

Darüber hinaus gibt es innerhalb der deutschen Organisationen sowie bei der Schenker Deutschland AG weitere Richtlinien zum Datenschutz, die die gesetzlichen Vorgaben ergänzen und ausgestalten. Grundsätzliche Eckpunkte hierbei sind.

  • Rechtmäßigkeit der Verarbeitung: Wir verarbeiten personenbezogene Daten nur, wenn eine Erlaubnis hierfür vorliegt.
  • Einsatz zuverlässiger IT Dienstleister: Wir setzen ausschließlich vertraglich verbunden und geprüfte Dienstleister ein.
  • Penetrationstest: Wir beauftragen regelmäßig Dienstleister mit der Prüfung unsere ITK Systeme und Netzwerke auf potentielle Schwachstellen.
  • Auditierungen und Zertifizierung: Die Schenker Deutschland AG und der DB Konzern im Allgemeinen durchlaufen regelmäßige Zertifizierung und Überprüfungen durch Externe.
  • Datenschutzorganisation: Die Datenschutzorganisation im DB-Konzern besteht aus dem Konzerndatenschutz, als Gruppenfunktion der dezentralen Datenschutzorganisation, sowie in einzelnen Unternehmen bestellte Datenschutzbeauftragte. Die langjährige bestellte Datenschutzbeauftragte für die Schenker Deutschland ist u.a. durch die GDD zertifiziert und zusätzlich als Informationssicherheitsbeauftragte benannt.

Im Weiteren haben wir Ihnen die Kernaspekte der Datenschutzgrundverordnung (DSGVO) zusammengefasst:

  • Weitreichende Geltung auch für die Verarbeitung personenbezogener Daten von EU-Bürgern durch Unternehmen mit Sitz außerhalb der EU, sofern sie mit dem Angebot von Waren oder Dienstleistungen oder Verhaltensüberwachung in Europa zusammenhängen
  • Beibehaltung und Weiterentwicklung der in Europa bereits geltenden Datenschutzprinzipien, wie z.B.: Verbot mit Erlaubnisvorbehalt; Anforderungen an die Einwilligung; Gebot der Zweckbindung, Datensparsamkeit, Verhältnismäßigkeit und Transparenz; Betroffenenrechte aber zum Teil neue Akzente bspw. (Minderjährigen; Recht auf „Vergessen werden“ und Datenübertragbarkeit)
  • Schwerpunkt auf technisch-organisatorischen Datenschutzmaßnahmen und -konzepten sowie Löschkonzepten und ausdrückliche Regelungen zu „Datenschutz durch Technikgestaltung“ („data protection by design“) und „datenschutzfreundliche Voreinstellungen“( „data protection by default“)
  • Deutliche Ausweitung von Informations-, Melde- und Nachweispflichten der Unternehmen; dazu zählen Strategien zur Wahrung der Betroffenenrechte, Datenschutzfolgeabschätzungen (vergleichbar mit der Vorabkontrolle), Zertifizierungen sowie Branchenstandards
  • Deutlich erhöhte Sanktionsmöglichkeiten, Geldbußen bis zu 20 Mio. EUR oder bis zu 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres
  • Rahmenbedingungen zur Bestellpflicht eines Datenschutzbeauftragten; die Beibehaltung der Vorgaben des BDSG bleibt bestehen
  • Keine Harmonisierung des Beschäftigtendatenschutzes (es bleibt bei nationale Regelung)
  • grundsätzliche Anerkennung von Betriebsvereinbarungen als Rechtsgrundlage
  • Prinzip der Verantwortlichen Stelle bleibt, Umsetzungsverantwortung bei den verantwortlichen Fachbereichen
  • Für nachträgliche, zweckändernde Datenverwendungen gelten künftig strengere Regeln (Vereinbarkeit mit dem ursprünglichen Zweck)
  • Für Datentransfers in Länder außerhalb der EU/des EWR gelten vergleichbare Regelungsmechanismen wie schon aus der EU Datenschutzrichtlinie (95/46/EG) bekannt
  • Für Datenweitergaben innerhalb eines Konzerns kommt weiterhin als Rechts-grundlage das berechtigte, überwiegende Interesse in Betracht
  • die Meldefristen für Datenschutzvorfälle verkürzen sich auf 72 Stunden

 

Ihr Ansprechpartner zum Datenschutz

Wenn Sie Fragen, Anregungen oder Beschwerden hinsichtlich der Verarbeitung Ihrer persönlichen Daten haben, wenden Sie sich bitte direkt an unsere Datenschutzbeauftragte Gabrielle Töllner (GDD (Gesellschaft für Datenschutz und Datensicherheit) zertifiziert). Den Kontakt finden Sie rechts oben auf dieser Seite oder hier.