Öko-Recherche nimmt seine Verantwortung in Bezug auf den Umgang und die Anforderungen der Datenschutz-Grundverordnung (DSGVO) sehr ernst. Die vorliegende Datenschutzrichtlinie gibt an wie mit dieser Verantwortung grundsätzlich umgegangen wird.
Artikel 5 der DSGVO fordert, dass personenbezogene Daten:
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Diese Datenschutzrichtlinie findet Anwendung auf alle personenbezogenen Daten die wir verarbeiten, unabhängig vom Ort der Datenspeicherung (z.B. auf den persönlichen Endgeräten von Mitarbeiter*innen) und unabhängig von der betroffenen Person. Alle Mitarbeiter*innen und Unterauftragnehmer*innen, die im Auftrag der Öko-Recherche personenbezogene Daten verarbeiten, müssen diese Datenschutzrichtlinie lesen. Nichteinhaltung dieser Datenschutzrichtlinie kann zu Disziplinarmaßnahmen führen.
Allgemeine Vorschriften
- Diese Datenschutzrichtlinie findet Anwendung auf alle personenbezogenen Daten die von Öko-Recherche verarbeitet werden.
- Öko-Recherche übernimmt Verantwortung für die fortlaufende Einhaltung dieser Datenschutzrichtlinie.
- Diese Datenschutzrichtlinie wird mindestens jährlich überprüft.
Spezifische Vorschriften
Jegliche Datenerhebung und -verarbeitung von Öko-Recherche muss auf Basis einer der folgenden Rechtsgrundlagen geschehen: Zustimmung, Vertrag, rechtliche Verpflichtung, wesentliche Interessen, öffentliche Aufgaben oder berechtigte Interessen.
Beruht die Rechtsgrundlage der Datenverarbeitung auf einer Einwilligung, wird der Nachweis einer Einverständniserklärung zusammen mit den personenbezogenen Daten verwahrt.
Werden Nachrichten an Personen nur mit deren Einwilligung versendet, sollte die Möglichkeit des Widerrufs dieser Einwilligung für die Person eindeutig verfügbar sein und Systeme sollten vorhanden sein, die die genaue Hinterlegung eines solchen Widerrufes im System der Öko-Recherche sicherstellen.
Öko-Recherche stellt sicher, dass personenbezogene Daten angemessen, erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.
Mitarbeiter*innen, die jegliche personenbezogenen Daten verarbeiten, müssen den Anforderungen dieser Datenschutzrichtlinie nachkommen. Mitarbeiter*innen müssen sicherstellen, dass:
(a) alle personenbezogenen Daten sicher verwahrt werden;
(b) personenbezogenen Daten weder verbal noch schriftlich, unabsichtlich oder in einer anderen Weise an unbefugte Dritte gelangen;
Zusätzlich zu dieser Datenschutzrichtline können mit Firmen und Industrieverbänden Vertraulichkeitsvereinbarungen zu sensiblen Unternehmensdaten abgeschlossen werden. Mitarbeiter*innen und Unterauftragnehmer*innen, die sensible Unternehmensdaten erheben und/oder verarbeiten, werden über bestehende Vertraulichkeitsvereinbarungen und deren Umfang informiert.