Datenschutzkonzept PDF Drucken E-Mail
Geschrieben von: Administrator   
Mittwoch, den 30. Juni 2010 um 01:00 Uhr

Mail-Shop, Frank Drenzeck, Carl-Benz-Str. 17, 73037 Göppingen

1. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung, Grundsatz der Datenvermeidung und Datensparsamkeit, Schutz der Betroffenen

Mail-Shop - Frank Drenzeck unterwirft sich dem Grundsatz der Datensparsamkeit und erhebt, verarbeitet oder nutzt so wenig personenbezogene Daten wie möglich.

Personenbezogene Daten werden erhoben, um Mitarbeiter, Auftraggeber, Mittler, Lieferanten, Interessenten und Kunden in der EDV zu erfassen, um die tägliche Zusammenarbeit so effizient wie möglich zu gestalten. Interessentendaten werden erhoben, um potenzielle Kunden im gesetzlich zugelassenen Rahmen werblich anzusprechen. Sofern wir Kenntnis darüber erlangen, dass einzelne personenbezogene Datensätze ungültig geworden sind, entscheiden wir im Einzelfall, ob die Daten gelöscht werden oder ob ein Kennzeichen gesetzt wird, dass den Datensatz als nicht mehr gültig charakterisiert.

Im Kundenauftrag verarbeitete oder genutzte Daten werden in Absprache mit unseren Kunden nach dem gleichen Grundsatz behandelt. Überlassene Adressdaten werden ausschließlich zum Zwecke der Selektion der Adressdaten und zur auftragsgemäßen Durchführung der beauftragten Leistung verwendet. Sofern keine andere Weisung der Adressen-Eigentümer vorliegt, werden sämtliche im Kundenauftrag verarbeitete oder genutzte Daten nach einem Zeitraum von drei Monaten aus unseren Produktivsystemen gelöscht und anschließend für maximal weitere drei Monate auf Sicherungsbändern vorgehalten, um nach Weisung der Adressen-Eigentümer gegebenenfalls Auskunftsersuchen nachkommen zu können. Spätestens sechs Monate nach Abschluss der Verarbeitung werden diese Daten endgültig gelöscht.

Sofern Werbeempfänger die Fa. Mail-Shop - Frank Drenzeck um Auskunft über die Herkunft der Datensätze bitten, wird die Fa. Mail-Shop - Frank Drenzeck im Rahmen seiner Möglichkeiten entsprechende Auskünfte erteilen oder – soweit möglich – den Kontakt zwischen dem Betroffenen und dem Adressen-Eigentümer herstellen. Auftraggeber bzw. sonstige relevante Beteiligte werden darauf hingewiesen, dass Widersprüchen von Betroffenen zur Nutzung von personenbezogenen Daten für Werbezwecke zu entsprechen ist. Weitere Verarbeiter (z.B. Lettershops) werden informiert, dass es sich bei den personenbezogenen Daten um Fremdadressen eines/verschiedener Eigentümer handelt, die im Wege der Auftragsdatenverarbeitung weisungsgebunden verarbeitet werden (Datenherrschaft) und jeweils Herr der Daten sind. Die Beteiligten werden darauf hingewiesen, dass eine Lieferung von Adressen nur verschlüsselt erfolgen soll und der Versender bei unverschlüsselter Übermittlung haftet.

Die Lieferung von personenbezogenen Daten außerhalb des EWR/EU – Bereiches erfolgt nur nach Sicherstellung eines entsprechenden Datenschutzniveaus.

2. Technische und organisatorische Maßnahmen

Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um den Bestimmungen des BDSG insbesondere dem §9 und der Anlage zu §9 zu entsprechen. Mail-Shop - Frank Drenzeck erfüllt diesen Anspruch durch folgende Maßnahmen:

a. Zutrittskontrolle
Die Zugänge zum Gebäude sind stets geschlossen und können von außen nur mit Sicherheitsschlüsseln oder zu den üblichen Geschäftszeiten geöffnet werden. Betriebsfremde können sich ausschließlich Zugang verschaffen, in dem sie sich am zentralen Empfang oder im Falle von Anlieferungen bei der Warenannahme anmelden. Besucher werden von einer Mitarbeiterin oder einem Mitarbeiter persönlich am Empfang abgeholt. Organisatorisch ist geregelt, dass Fremde sich im Gebäude niemals allein aufhalten oder frei bewegen dürfen. Der Aufenthalt von Besuchern in sensiblen Bereichen ist nur in Begleitung von Mitarbeitern, die nach BDSG verpflichtet sind, gestattet. Außerhalb der Arbeitszeiten erfolgt die Überwachung der Räumlichkeiten durch eine Videoüberwachungsanlage.

b. Zugangskontrolle zu EDV-Systemen
Unbefugten wird der Zugang zu Datenverarbeitungssystemen nicht gewährt. Der Zugang über Außenschnittstellen zu unseren EDV-Systemen ist durch eine wirksame Firewall geschützt. PC-Systeme sind passwortgeschützt. Passwörter müssen hohen Ansprüchen genügen und werden regelmäßig erneuert. Alte Passwörter werden nicht wiederverwendet.

c. Zugriffskontrolle
Der Zugriff auf Netzwerkverzeichnisse, in denen personenbezogene Daten gespeichert werden, ist auf die jeweiligen Personen beschränkt, die mit den Aufträgen beschäftigt sind, für die solche Daten verwendet werden sollen. Diese Personen müssen sich gegenüber dem System identifizieren.

Insbesondere Produktionssysteme haben ausschließlich zu einem einzigen, für sie eingerichteten Netzwerkverzeichnis Zugang. Auf diesen Verzeichnissen werden Daten nur so lange gespeichert, wie sie für den unmittelbaren Produktionsprozess benötigt werden. Die Programmnutzung wird ebenso protokolliert, wie das Abrufen von Daten aus Beständen über Selektionen. Das Booten des Servers ist nur über eine Passworteingabe möglich. Datenträger werden verschlossen gelagert.

d. Weitergabekontrolle
Es wird Sorge getragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Sofern die Übermittlung von personenbezogenen Daten notwendig sein sollte, erfolgt der Datenaustausch über einen FTP-Server. Zur Nutzung des FTP-Servers ist eine vorherige Registrierung erforderlich. Für den einzelnen Abruf wird zusätzlich ein eindeutiges Passwort benötigt, das lediglich dem autorisierten Nutzer, mittels eines anderen Mediums, bekannt gegeben wird. Alternativ werden die Daten digital signiert und verschlüsselt (RSA 2048 bit) per E-Mail an sichere Stellen übermittelt. Der Versand personenbezogener Daten erfolgt ausschließlich im gesetzlich vorgesehenen Rahmen. Der Datenaustausch erfolgt verschlüsselt. Die Übertragungswege sind passwortgeschützt. Daten, die für eine Auftragsdurchführung nicht mehr benötigt werden, wie z.B. gesperrte Daten, werden in einem separiertem zugriffsgeschützten Speicherbereich abgelegt. Datenträger/Hardware werden nur durch entsprechend verpflichtete und zertifizierte Unternehmen repariert oder entsorgt. Gleiches gilt für die Entsorgung von Daten auf Papier.

e. Eingabekontrolle
Das verwendete EDV-System verfügt über eine automatische Protokollierung der User-Aktivitäten. Darüber hinaus wird bei den Aufträgen in schriftlicher Form dokumentiert, dass und von wem Adressdaten auf unseren Servern wohin gespeichert wurden. Veränderungen an Adressdaten (Dubletten entfernen, Adressen qualifizieren) werden durch das Abspeichern unterschiedlicher Fertigungsstufen dokumentiert.

f. Auftragskontrolle
Adressdaten werden nur entsprechend den Weisungen des Auftraggebers verarbeitet. Insbesondere unterliegen Anweisungen zu Aufträgen der Schriftform und die Aufträge werden unter Vergabe einer eindeutigen Auftragskennung je Auftrag / Kunde vollständig dokumentiert sowie die Ausführung protokolliert. Der Versand von Daten erfolgt nur mit Angaben, die zur klaren Identifikation erforderlich sind und insbesondere Angaben zu Absender, Empfänger, Dateibezeichnung, Adressmenge, Angabe von Nutzer und Aktion und Satzaufbau enthalten.

g. Verfügbarkeitskontrolle
Unsere EDV-Systeme sind durch RAID-Systeme vor Datenverlust geschützt. Tägliche Datensicherungen garantieren, dass bei Verlust der Funktionsfähigkeit von EDV-Systemen keine Daten verloren gehen. Für den Fall von Feuer oder anderen EDV-System schädigenden Ereignissen ist die Datensicherung auch außerhalb des Serverraumes brandsicher gelagert. Um das Ausmaß möglicher Brandschäden zu minimieren, ist unser Unternehmen mit Brandmeldern ausgestattet.

h. Getrennte Verarbeitung personenbezogener Daten
Durch die Trennung der Aufträge voneinander die sowohl in getrennten Auftragsmappen als auch in voneinander getrennten Netzwerkverzeichnissen erfolgt, ist gewährleistet, dass zu unterschiedlichen Zwecken erhobene Adressdaten getrennt verarbeitet werden.

i. Löschung personenbezogener Daten Dritter
Personenbezogene Daten Dritter (gelieferte Bestände, Bestände, die bei der Verarbeitung entstehen, Markierungen auf Beständen, bei der Verarbeitung entstandene Zwischenspeicherungen z.B. in E-Mail-Systemen, auf Kommunikationsrechnern, auf Clients, Produktionsrechnern sowie eventuelle Markierungen auf Referenzbeständen etc.) werden nach schriftlicher Vereinbarung mit dem Eigner der Daten, spätestens jedoch drei Monate nach Beendigung des Auftrages, für die die Daten gespeichert wurden, physikalisch gelöscht sofern eine Aufbewahrung nicht durch andere gesetzliche Regelungen anderweitig vorgeschrieben ist. Wünscht der Kunde eine Speicherung der Daten über diesen Zeitpunkt hinaus, muss dies schriftlich angewiesen und von uns bestätigt werden.

3. Unterbeauftragung

Sofern sonstige Dienstleister bzw. Unterauftragsnehmer von Mail-Shop - Frank Drenzeck beauftragt werden und die Beauftragung den Umgang mit personenbezogenen Daten erforderlich macht, ist es unerlässlich, dass seitens des beauftragten Unternehmens eine unterzeichnete Datenschutzverpflichtungserklärung nach dem BDSG vorliegt. Sofern die Erteilung solcher Auftragsverhältnisse die Zustimmung eines Dritten erfordert, wird Mail-Shop - Frank Drenzeck diese Zustimmung über den Auftraggeber einholen.

4. Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf die Einhaltung der datenschutzrechtlichen Bestimmungen


Sämtliche Mitarbeiterinnen und Mitarbeiter werden in jährlichen Schulungen auf ihre Verpflichtungen zur Wahrung des Datengeheimnisses hingewiesen und bezeugen dies durch ihre Unterschrift. Ihnen wird das Merkblatt “Datenschutz” ausgehändigt. Die Unterweisung erfolgt insbesondere zu den Grundsätzen des Datenschutzes nachdem BDSG (insbesondere die Voraussetzungen der Auftragsdatenverarbeitung), der Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse, dem sorgfältigen Umgang mit Datenträgern und Dateien, dem Fernmeldegeheimnis.

5. Umgang mit Makulatur

Material, das personenbezogene Daten (Adressen) enthält und das aus verschiedensten Gründen nicht einem Distributor (z.B. Deutsche Post AG, TNT Post o.a.) übergeben wurde, wird mit Hilfe eines Aktenvernichters der Sicherheitsstufe 4 vernichtet und durch eine Entsorgungsfirma abgeholt.

Göppingen, 23.03.2010

Zuletzt aktualisiert am Mittwoch, den 30. Juni 2010 um 16:04 Uhr