Skip to main content

Zweck von Daenschutz und Informationssicherheit

1. ZWECK VON DATENSCHUTZ UND INFORMATIONSSICHERHEI

Mittels dieser Datenschutzerklärung legt Oncomfort auf strategischer Ebene fest, wie Daten geschützt werden, welche Verantwortlichkeiten wem zugewiesen werden und welche Prioritäten bei Oncomfort in Bezug auf den Datenschutz gelten.

Bezüglich personenbezogener Daten übernimmt Oncomfort Rollen auf drei verschiedenen Ebenen:

  • Als Arbeitgeber verschiedener Arten von Arbeitnehmern ist das Unternehmen Datenverantwortlicher
  • Als Entwickler und Vertriebshändler tritt es als Datenverarbeiter auf
  • Als Anbieter von Dienstleistungen ist es Datenverarbeiter.

Oncomfort will in allen Zusammenhängen dieser drei verschiedenen Ebenen, auf denen das Unternehmen tätig ist, alle personenbezogenen Daten schützen.

Insbesondere will Oncomfort die Daten von internen/externen Mitarbeitern und Kunden sowie die personenbezogenen Daten, die diese Kunden Oncomfort in Bezug auf ihre Patienten oder andere Personen zur Verfügung stellen, vor folgenden Situationen schützen:

  • Verlust: Daten sind nicht mehr verfügbar
  • Verstöße: Daten geraten in die falschen Hände
  • Fehler: Daten sind falsch, beispielsweise veraltet oder unvollständig
  • Nichtverfügbarkeit: Daten sind nicht abrufbar, wenn ihre Verarbeitung ansteht
  • Unbefugter Zugriff: Daten wurden von jemandem eingesehen, der dazu nicht berechtigt ist
  • Unmöglichkeit, zu überprüfen, wer die Daten gesehen, geändert oder gelöscht hat
  • Prozesse, die nicht im Einklang mit den Vorschriften, Richtlinien und Industrienormen stehen

Die vorliegende Datenschutzerklärung konzentriert sich auf den Datenschutz und insbesondere auf den Schutz personenbezogener Daten. Diese Datenschutzerklärung wird bei Oncomfort als Maßstab für die Verarbeitung personenbezogener Daten dienen. Sie stellt die Leitlinie für alle Prozesse dar und gilt als Referenzstandard für Audits und Kontrollen. Das vorliegende Dokument gibt jedem Beteiligten Einblick in diese Datenschutzerklärung und Hinweise darauf, wie er mit personenbezogenen Daten umzugehen hat.

Diese Datenschutzerklärung wurde zudem auch für all diejenigen verfasst, die aufgrund ihrer spezifischen Funktion bei Oncomfort Daten verarbeiten, die durch Fachkräfte des Gesundheitswesens kontrolliert werden. Sie werden diese Datenschutzerklärung (bzw. Teile davon) für die Erstellung von Verfahren und Richtlinien für Mitarbeiter und Dritte sowie zur Unterstützung ihrer Kunden nutzen.

2. GELTUNGSBEREICH DER DATENSCHUTZERKLÄRUNG

2.1 Sachlicher Geltungsbereich

Diese Datenschutzerklärung gilt für den gesamten Lebenszyklus von Daten innerhalb von Oncomfort, vom Erhalt der Informationen bis zu ihrer endgültigen Vernichtung im Unternehmen.

Diese Datenschutzerklärung gilt für:

  • Oncomfort;
  • alle Mitarbeiter von Oncomfort, sowohl intern als auch extern (in Bezug auf Unterauftragnehmer);
  • alle Objekte und Informationsverarbeitungssysteme, die von Oncomfort verwaltet werden, sowie Systeme, die von Dritten verwaltet werden, die als Unterauftragnehmer arbeiten, wie z. B. Datenbanken, Anwendungen, Datenzentren usw;
  • alle Verarbeitungsaktivitäten, sowohl als Datenverantwortlicher als auch als Datenverarbeiter.

Dies umfasst personenbezogene Daten von internen/externen Mitarbeitern und Kunden, aber auch personenbezogene Daten von Patienten, die Oncomfort von seinen Kunden erhält. Jeder Prozess, der die Verarbeitung von personenbezogenen Daten innerhalb von Oncomfort beinhaltet, fällt in den Geltungsbereich dieser Datenschutzerklärung.

Für bestimmte Bereiche oder Prozesse (z. B. Informationsübertragung, Datensicherheitsverletzungen, Vorfallmanagement oder Passwörter) innerhalb des Unternehmens Oncomfort können bei Bedarf zusätzliche Richtlinien, Verfahren oder Vorgehensweisen eingeführt werden, um bestimmte Verarbeitungsvorgänge oder Bereiche anzusprechen.

2.2 Funktioneller Geltungsbereich

Diese Datenschutzerklärung gilt für alle Arten von Verarbeitung, unabhängig von deren spezifischem Zweck. Aufgrund seiner hauptsächlichen Geschäftstätigkeit gibt es drei verschiedene Bereiche, in denen Oncomfort tätig ist:

  • Als Arbeitgeber ist das Unternehmen Datenverantwortlicher;
  • Als Entwickler und Vertreiber von Medizingeräten tritt es als Datenverantwortlicher auf;
  • Als Anbieter von Dienstleistungen ist es Datenverarbeiter.

Arbeitgeber

Oncomfort ist der Arbeitgeber verschiedener Arbeitnehmer. In seiner Rolle als Arbeitgeber verarbeitet das Unternehmen auf jeden Fall personenbezogene Daten bezüglich seiner verschiedenen Arbeitnehmer.

Entwickler und Vertreiber von Medizingeräten

Die hauptsächliche Geschäftstätigkeit der Firma Oncomfort besteht in der Entwicklung und dem Vertrieb von Medizingeräten. Zahlreiche professionelle Gesundheitsdienstleister verlassen sich bei ihren täglichen Vorgängen auf die Unterstützung durch Oncomfort-Geräte. In diesem Zusammenhang tritt Oncomfort als Datenverantwortlicher auf. Diese Datenschutzerklärung gilt für alle personenbezogenen Daten, sowohl für solche des Gesundheitsdienstleisters als auch für diejenigen seiner Patienten.

Dienstleister

Nachdem die professionellen Gesundheitsdienstleister die Einleitung zu der Anwendung oder der Dienstleistung erhalten haben, bietet Oncomfort auf der Grundlage eines Supportvertrages Unterstützung an. Folglich ist es möglich, dass Datensätze von dem professionellen Gesundheitsdienstleister an Oncomfort übertragen werden. Diese Datenschutzerklärung gilt weiterhin für alle personenbezogenen Daten, die an Oncomfort übermittelt werden. In einigen Situationen wird den Oncomfort-Mitarbeitern zur Erbringung dieser Dienstleistungen Zugang zu lokalen EDV-Umgebungen von Kunden gewährt.

2.3 Räumlicher Geltungsbereich

Diese Datenschutzerklärung gilt für die gesamte Verarbeitung personenbezogener Daten durch Oncomfort selbst oder durch seitens Oncomfort dazu beauftragter Stellen, ungeachtet des Ortes, an dem die Verarbeitung stattfindet. Wenn die Verarbeitung außerhalb des Europäischen Wirtschaftsraums erfolgt, findet diese Datenschutzerklärung ebenfalls Anwendung. Oncomfort wird geeignete Maßnahmen ergreifen, um die Einhaltung dieser Datenschutzerklärung zu überwachen und zu gewährleisten.

 

3. ZIELE DER DATENSCHUTZERKLÄRUNG

Die Datenschutz-Grundverordnung legt einen Rahmen von Rechten und Pflichten fest, die dem Schutz personenbezogener Daten dienen. Sie wägt die legitimen Bedürfnisse von Organisationen, personenbezogene Daten für geschäftliche Zwecke zu erheben und zu nutzen, gegen das Recht des Einzelnen ab, die Kontrolle über seine personenbezogenen Daten zu behalten. Oncomfort verpflichtet sich, sowohl in seiner Rolle als Datenverantwortlicher als auch als Datenverarbeiter (falls zutreffend), zur Einhaltung der folgenden Datenschutzgrundsätze:

  1. Oncomfort handelt gegenüber den betroffenen Personen, den Kunden und den verschiedenen Aufsichtsbehörden hinsichtlich der von Oncomfort verarbeiteten personenbezogenen Daten und des Zwecks der Verarbeitung transparent. Die Kommunikation wird in präziser, transparenter, verständlicher und leicht erfassbarer Form, in klaren Worten und mit einfachem Stil erfolgen. Das Prinzip der Transparenz wird auf jeder Ebene des Unternehmens Oncomfort angewendet.
     
  2. Die Verarbeitung personenbezogener Daten ist rechtmäßig. Dies bedeutet, dass jede Verarbeitung auf einer entsprechenden legitimen Grundlage erfolgen muss.
     
  3. Oncomfort verarbeitet personenbezogene Daten nur zu zu festgelegten, eindeutigen und rechtmäßigen Zwecken. Eine weitere Verarbeitung ist nur zulässig, wenn dieser Zweck dieser Verarbeitung mit den ursprünglichen Zwecken vereinbar ist.
     
  4. Insbesondere dort, wo Oncomfort als Datenverarbeiter tätig ist, sollte die Verarbeitung in Bezug auf die Zwecke, für welche die Daten verarbeitet werden, angemessen, sachdienlich und auf das notwendige Maß beschränkt sein. Oncomfort verpflichtet sich, dafür zu sorgen, dass der Zeitraum, für den die personenbezogenen Daten gespeichert werden, auf ein striktes Minimum beschränkt wird.
     
  5. Als Datenverantwortlicher hat Oncomfort darauf zu achten, dass personenbezogene Daten sachlich richtig sind und gegebenenfalls auf dem neuesten Stand gehalten werden.
     
  6. Personenbezogene Daten müssen in einer Form aufbewahrt werden, welche die Identifizierung der betroffenen Personen nicht länger ermöglicht, als es für die Zwecke, für welche die personenbezogenen Daten verarbeitet werden, erforderlich ist.
     
  7. Oncomfort verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Integrität der personenbezogenen Daten während des gesamten Verarbeitungszyklus zu gewährleisten. Diese Maßnahmen dienen dem Schutz vor einer unbefugten oder unrechtmäßigen Verarbeitung von personenbezogenen Daten sowie vor Verlust, Vernichtung oder Beschädigung von personenbezogenen Daten aufgrund eines Versehens. Diese Maßnahmen gelten für den gesamten Lebenszyklus der Daten.
     
  8. Diese Maßnahmen dienen dazu, das Risiko einer Datensicherheitsverletzung zu begrenzen. Sollte der bedauerliche Fall eintreten, dass es doch zu einer Datensicherheitsverletzung kommt, wird dies intern dokumentiert und in Übereinstimmung mit den einschlägigen Gesetzen und Empfehlungen gemeldet. Diese Maßnahmen gelten für den gesamten Verarbeitungszyklus.
     
  9. Oncomfort hat geeignete Maßnahmen eingeführt, durch die Anfragen der betroffenen Personen bezüglich ihrer Rechte zeitnah beantwortet werden können. Diese Rechte umfassen unter anderem das Auskunftsrecht, das Recht auf Berichtigung und das Recht auf Datenübertragbarkeit.
     
  10. Oncomfort wird personenbezogene Daten hauptsächlich innerhalb des Europäischen Wirtschaftsraums verarbeiten. Falls personenbezogene Daten in Drittländer übermittelt werden, wird Oncomfort geeignete Maßnahmen ergreifen, um sicherzustellen, dass diese Länder in Bezug auf die Verarbeitung personenbezogener Daten über ein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen verfügen. Oncomfort wird gegebenenfalls vorhandene Verhaltenskodizes innerhalb solcher Sektoren überwachen und die Anwendung dieser Kodizes durchsetzen.
     
  11. Oncomfort verpflichtet sich, geeignete technische und organisatorische Maßnahmen einzuführen, durch die Datenschutz standardmäßig gewährleistet wird. Es werden nur personenbezogene Daten verarbeitet, die für den jeweiligen spezifischen Zweck der Verarbeitung erforderlich sind. Eine übermäßige Verarbeitung ist nicht erlaubt. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, das Ausmaß ihrer Verarbeitung, den Zeitraum ihrer Speicherung und ihre Zugänglichkeit.
     
  12. Oncomfort verpflichtet sich, unabhängig von der konkreten Verarbeitung, geeignete technische und organisatorische Maßnahmen zur Durchsetzung des Datenschutzes durch Technikgestaltung einzuführen. Oncomfort ergreift interne Maßnahmen, um zu gewährleisten, dass der Schutz von Privatsphäre und personenbezogenen Daten vom Beginn des Verfahrens an berücksichtigt wird und dieser Schutz während des gesamten Lebenszyklus des Systems oder der Prozessentwicklung seine große Bedeutung behält.
     
  13. Oncomfort ist für die Durchsetzung dieser oben genannten Grundsätze verantwortlich und kann deren Einhaltung im Einklang mit dem Verantwortlichkeitsprinzip nachweisen. Diese Einhaltung wird durch die Durchführung interner Audits gewährleistet.

 

4. DIE ORGANISATION DER INFORMATIONSSICHERHEIT

4.1 Beteiligte Akteure

Zuständigkeit

In Bezug auf die Eigenschaft als Datenverantwortlicher liegt die Zuständigkeit für diese Datenschutzerklärung beim Vorstand des Unternehmens Oncomfort. Der Vorstand ist verantwortlich für die Formulierung, Festlegung und Überwachung der Einhaltung der Grundsätze dieser Datenschutzerklärung innerhalb von Oncomfort.

Verantwortlich für die Umsetzung

Der Vorstand übernimmt die Rolle der offiziellen Entscheidungsinstanz in Bezug auf den Datenschutz. Der Vorstand ist berechtigt, Entscheidungen zu treffen, die sich auf die folgenden Aspekte beziehen:

  • die Risikoanalyse und die damit verbundene Methodik;
  • die Erstellung der Datenschutzerklärung und der sie begleitenden Richtlinien;
  • die Umsetzung von Sicherheitsmaßnahmen (z. B. Inhalt des Sicherheitsplans);
  • die strukturelle Antwort auf Datenschutzfragen und Beratung (innerhalb von drei Monaten).

Der Vorstand wird Mitarbeiter in Schlüsselpositionen in die Formulierung von Datenschutzrichtlinien einbeziehen und mit ihnen zusammenarbeiten, um die Einführung in der gesamten Organisation zu erreichen.

Datenschutzbeauftragter

Die inhaltliche Weiterverfolgung der vorliegenden Datenschutzerklärung obliegt dem Datenschutzbeauftragten (DSB). Er nimmt diese Aufgaben in Übereinstimmung mit den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) wahr. Oncomfort meldet seine Identität als Unternehmen (und etwaige Änderungen) der Datenschutzaufsichtsbehörde (in Belgien: Datenschutzbehörde). Der DSB ist dem Vorstand von Oncomfort NV unterstellt.

Mitarbeiter

Jeder (Angestellter oder im Auftrag arbeitender Selbstständiger), der Daten verarbeitet (z. B. Einsichtnahme, Aufzeichnung, Änderung usw.) muss dies entsprechend den Richtlinien dieser Datenschutzerklärung tun. Mitarbeiter verarbeiten Daten gemäß ihrem Ermessensspielraum und sind für Folgendes verantwortlich:

  • die Daten von Kunden und Patienten, die sie verarbeiten;
  • Befolgung von Sicherheitsrichtlinien während ihres Verarbeitungsauftrags;
  • ausschließliche Verarbeitung von Daten, die mit ihrer Aufgabe zusammenhängen;
  • sorgsamer Umgang mit den Daten;
  • Meldung von Verstößen.
  • Gemäß Artikel 458 des belgischen Strafgesetzbuches und Artikel 17 des belgischen Gesetzes über die Arbeitsverträge (‚Arbeidsovereenkomstenwet‘ / ‚Loi relative aux contrats de travail‘) sind Mitarbeiter zur Wahrung des Berufsgeheimnisses verpflichtet.

Dritte

Für Dritte gelten die gleichen Pflichten wie für berechtigte Benutzer. Zusätzlich sind sie für Folgendes verantwortlich:

  • Hinweise auf Sicherheitsrisiken bei den gelieferten Anwendungen;
  • Unterrichtung des Lieferanten über die verbleibenden Sicherheitsaufgaben;
  • Verfolgung einer transparenten Datenschutzpolitik gegenüber dem Lieferanten durch Benachrichtigung über das eigene aktuelle Sicherheitsniveau und den Umgang mit Sicherheitsvorfällen.

4.2 Datenschutzbeauftragter

4.2.1 Ernennung des Datenschutzbeauftragten

Die Datenschutz-Grundverordnung führt die Rolle des Datenschutzbeauftragten ein. Aufgrund der Tatsache, dass Oncomfort in verschiedenen Bereichen medizinische Geräte für den Gesundheitssektor entwickelt und vertreibt, besteht die Kerntätigkeit des Unternehmens Oncomfort in der Verarbeitung großer Mengen personenbezogener Daten in Bezug auf die Gesundheit. Daher ist Oncomfort verpflichtet, einen Datenschutzbeauftragten einzusetzen.

Die Rechtsgrundlage für den Datenschutzbeauftragten ist in Artikel 37 ff. der Datenschutz-Grundverordnung festgelegt.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und seines Fachwissens über Datenschutzgesetze und -praktiken ernannt. Die Artikel-29-Datenschutzgruppe (WP29) nennt für den Datenschutzbeauftragten relevante Fähigkeiten und Fachkenntnisse:

  • Erfahrung sowohl in der nationalen als auch in der europäischen Gesetzgebung und Praxis auf dem Gebiet des Datenschutzes;
  • Vertiefte Kenntnisse und Verständnis in Bezug auf die Datenschutz-Grundverordnung;
  • Fachwissen in Bezug auf Oncomfort und den Gesundheitssektor im Allgemeinen;
  • Soft Skills wie Integrität, diplomatisches Geschick und hohe Berufsethik;
  • Ein gutes Verständnis von Informationssicherheit.

Oncomfort veröffentlicht die Kontaktdaten seines Datenschutzbeauftragten und teilt sie der Aufsichtsbehörde mit. Der Datenschutzbeauftragte hat dafür zu sorgen, dass er leicht kontaktierbar ist. Künftig auftretende Änderungen werden ordnungsgemäß mitgeteilt.

4.2.2 Stellung des Datenschutzbeauftragten

Oncomfort verpflichtet sich, zu gewährleisten, dass der Datenschutzbeauftragte ordnungsgemäß und rechtzeitig in alle Fragen, die den Schutz personenbezogener Daten betreffen, einbezogen wird.

Oncomfort unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem das Unternehmen die für die Erfüllung dieser Aufgaben und die Einsicht in personenbezogene Daten und Verarbeitungsvorgänge sowie zur Aufrechterhaltung seines Fachwissens erforderlichen Ressourcen bereitstellt.

Es ist absolut unerlässlich, dass der Datenschutzbeauftragte jederzeit unabhängig bleibt. Daher muss Oncomfort sicherstellen, dass der Datenschutzbeauftragte keinerlei Anweisungen bezüglich der Ausübung seiner Aufgaben erhält. Er darf aufgrund der Erfüllung seiner Aufgaben weder entlassen noch bestraft werden. Er ist der höchsten Führungsebene des Unternehmens Oncomfort unmittelbar unterstellt.

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an Geheimhaltung bzw. Vertraulichkeit gebunden.

4.2.3 Aufgaben des Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten lassen sich in drei verschiedene Gruppen unterteilen, die sich auf die drei verschiedenen Funktionsbereiche beziehen, in denen Oncomfort geschäftlich tätig ist.

A. Oncomfort als Datenverantwortlicher

Dort, wo Oncomfort in seiner Eigenschaft als Datenverantwortlicher auftritt, hat der Datenschutzbeauftragte die folgenden Aufgaben:

  • Information und Beratung von Oncomfort und seinen Mitarbeitern in Bezug auf Datenschutz;
  • Überwachung der Einhaltung sowohl der eigentlichen Verordnung als auch von Oncomforts Richtlinien, einschließlich der Zuweisung von Verantwortlichkeiten, der Sensibilisierung und Schulung des an den Verarbeitungsvorgängen beteiligten Personals und der damit verbundenen Audits;
  • Auf Anfrage Beratung in Bezug auf die Datenschutzfolgenabschätzung sowie die Überwachung ihrer Durchführung;
  • Zusammenarbeit mit der Aufsichtsbehörde, in Belgien der Datenschutzbehörde (bzw. Gegevensbeschermingsautoriteit), sowie gegebenenfalls mit jeder anderen nationalen Datenschutzaufsichtsbehörde.
  • Funktion als Kontaktstelle für die Aufsichtsbehörde bezüglich Fragen im Zusammenhang mit der Verarbeitung.

B. Oncomfort als Softwareentwickler

Dort, wo Oncomfort in seiner Eigenschaft als Entwickler und Vertriebshändler auftritt, hat der Datenschutzbeauftragte die folgenden Aufgaben:

  • Unterstützung der Geräteentwickler bei den praktischen Auswirkungen des Datenschutzes durch Technikgestaltung und des standardmäßigen Datenschutzes;
  • Unterstützung der Geräteentwickler bei der Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines bestimmten Sicherheitsniveaus.

C. Oncomfort als Dienstleister

Dort, wo Oncomfort in seiner Eigenschaft als Dienstleister auftritt, hat der Datenschutzbeauftragte die folgenden Aufgaben:

  • Benachrichtigung des Datenverantwortlichen, sobald er von einer Verletzung der personenbezogenen Daten Kenntnis erlangt hat. Er unterstützt den Datenverantwortlichen im höchstmöglichen Maße bei den folgenden Aufgaben:
    • Beschreibung der Art der Verletzung der personenbezogenen Daten;
    • Beschreibung der wahrscheinlichen Folgen der Verletzung der personenbezogenen Daten;
    • Unterbreiten von Vorschlägen für Gegenmaßnahmen zur Begrenzung der Folgen;
    • Mithilfe bei der Dokumentation von Verletzungen personenbezogener Daten;
  • Auf Anfrage Beratung in Bezug auf Datenschutzfolgenabschätzungen sowie die Überwachung ihrer Durchführung;

Allgemein betrachtet übernimmt der Datenschutzbeauftragte innerhalb des Unternehmens Oncomfort eine dokumentierende, anregende, beratende und kontrollierende Rolle.

4.3 Vorstand

Der Vorstand übernimmt die Rolle des Entscheidungsgremiums für den Datenschutz. Der Datenschutzbeauftragte erstattet dem Vorstand monatlich Bericht.

Der Vorstand entscheidet über alle Aufgaben, die mit der Organisation des Datenschutzes zusammenhängen:

  • Abänderung der Datenschutzerklärung;
  • Ernennung eines Datenschutzbeauftragten;
  • Überwachung der Unabhängigkeit des Datenschutzbeauftragten;
  • Überwachung der in dieser Datenschutzerklärung beschriebenen geschäftlichen Prozesse in Bezug auf den Datenschutz;
  • Formulierung von Beratungsanfragen an den Datenschutzbeauftragten;
  • Abänderung der Datenschutzerklärung und ihre Umsetzung auf Anraten des Datenschutzbeauftragten;
  • Entscheidungen zum Risikomanagement bei der Verarbeitung personenbezogener Daten. Die dem Mitarbeiter zugewiesene Zeit gehört zu diesem Risikomanagement.
  • Genehmigung der Einstufungsschemata, die z. B. festlegen, wann eine Datenschutzfolgenabschätzung stattfinden soll, sowie der Einstufungsschemata für die Meldung von Verstößen;
  • Die Ausgestaltung und Unterhaltung der in dieser Datenschutzerklärung beschriebenen geschäftlichen Prozesse
  • Zuweisung von Zuständigkeiten für die Ausführung von Geschäftsprozessen;
  • Entscheidungen über alle Erwägungen im Rahmen der DSGVO 2016/679, einschließlich solcher, die auf berechtigten Interessen beruhen, solcher, die sich auf Kinder beziehen, sowie Entscheidungen über die Vereinbarkeit der Zwecke bei einer weiteren Verarbeitung personenbezogener Daten;
  • Erstellung der erforderlichen Dokumentation für alle Entscheidungen bzw. die Vorschläge zu solchen;
  • Formalisierung der Beschlüsse des Vorstands;
  • Anwendung von Sanktionen bei Verstößen;
  • Berichterstattung zur Datenschutzerklärung und den entsprechenden zugrunde liegenden Richtlinien;
  • Empfehlungen zum Datenschutz durch Technikgestaltung und zum standardmäßigen Datenschutz;
  • Festlegung der Einkaufspolitik in Bezug auf die Datenverarbeiter.

 

5. INTERAKTION ZWISCHEN DATENSCHUTZ UND INFORMATIONSSICHERHEIT

5.1 Datenschutz vs. Informationssicherheit

Datenschutz bemüht sich, die personenbezogenen Daten einer betroffenen Person zu schützen. Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei kann es sich um einen individuellen Namen, eine Sozialversicherungsnummer, aber auch um Gesundheitsinformationen oder Angaben zu religiösen Überzeugungen handeln. Darüber hinaus legt der Datenschutz Nachdruck z. B. auf Rechtmäßigkeit, Zweck, Beschränkung der Datenerhebung, Datenminimierung, Auskunftsrecht und Rechenschaftspflicht, aber auch auf die Informationssicherheit als Ganzes.

Informationssicherheit hingegen kann definiert werden als der Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Unterbrechung, Änderung oder Zerstörung, mit dem Ziel, Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Dieser Begriff bezieht sich auf die technischen und betrieblichen Maßnahmen, die eine Organisation ergreifen muss, um sicherzustellen, dass die in ihrem Besitz befindlichen Daten sicher und geschützt sind; dies ist nicht auf personenbezogene Daten beschränkt.

5.2 Gleicher Zweck

Zwar überschneiden sich die Bereiche Datenschutz und Informationssicherheit in gewisser Weise und dienen demselben übergreifenden Zweck, doch sind diese Begriffe nicht miteinander verflochten und sie unterscheiden sich deutlich voneinander. Die Anforderungen hinsichtlich Datenschutz und die Anforderungen bezüglich Informationssicherheit sollten gleichzeitig umgesetzt werden, um die in der Datenschutz-Grundverordnung und dieser Datenschutzerklärung festgelegten Verpflichtungen zu erfüllen.