Datenschutz und Verarbeitung personenbezogener Daten

 

 

Inhalt

1)    Gültigkeitsbereich. 3

2)    Die zuständige Datenschutzbehörde. 3

3)    Zugang und Änderungen. 3

4)    Kontaktdaten. 3

5)    Datenschutzbeauftragter (DSB)3

6)    Kontaktdaten des Datenschutzbeauftragten (DSB)3

7)    Grundsätze DSG.. 4

8)    Speichern strafrechtlicher Personendaten. 4

9)    Screening und polizeiliches Führungszeugnis. 4

10)      Besondere personenbezogene Daten. 4

11)      Bewusstseinsbildung. 5

12)      Schutz personenbezogener Daten gemäß DSG.. 5

13)      Beschwerderecht5

14)      Entscheidungsfindung. 5

15)      Sicherheit6

16)      Speicherung personenbezogener Daten über eine Webseite (HTTPS)6

17)      Auftragsverarbeiter6

18)      Verzeichnis der Verarbeitungstätigkeiten. 6

19)      Aufbewahrungsfristen. 6

20)      Verarbeitung großer Datenvolumen. 7

21)      Kriterien für die Verarbeitung großer Datenvolumen. 7

22)      Datenschutz-Folgenabschätzung. 7

23)      Privacy by Design. 7

24)      Privacy by Default7

25)      Meldepflicht Datenlecks. 7

26)      Verantwortlichkeitspflicht7

27)      DSG-Anlagen. 8

 


1)     Gültigkeitsbereich

Diese Erklärung zum Datenschutz und zur Verarbeitung personenbezogener Daten bezieht sich auf alle personenbezogenen Daten die Rail Partner Gruppe AG von ihren Mitarbeitern, Kunden, Lieferanten, Geschäftspartnern, Subunternehmern, Schwesterunternehmen und anderen Interessenten bezieht. 

Wenn Sie mit Rail Partner Gruppe AG eine Geschäftsbeziehung als Mitarbeiter, Kunde, Lieferant oder Partner eingehen, oder der Firma aus anderen Gründen personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit ausdrücklich einverstanden, dass Ihre personenbezogenen Daten nach den Grundsätzen dieser Datenschutzerklärung verarbeitet werden. 

 

In der Schweiz unterliegt diese Datenschutzerklärung dem Bundesgesetz über den Datenschutz (DSG). (Englisch: General Data Protection Regulation – GDPR).

 

2)     Die zuständige Datenschutzbehörde

Für alle geschäftlichen Tätigkeiten mit Rail Partner Gruppe AG ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in Bern die zuständige Datenschutzbehörde.

 

3)     Zugang und Änderungen

Diese Datenschutzerklärung wird auf unserer Webseite veröffentlicht und über unsere Personalabteilung zur Verfügung gestellt. 

Neue Mitarbeiter werden im Zuge ihrer Bewerbung auf die Datenschutzerklärung hingewiesen.

Neukunden werden im Zuge der Vertragsverhandlungen auf die Datenschutzerklärung hingewiesen. 

Diese Datenschutzerklärung kann geändert werden. Änderungen werden auf der Webseite veröffentlicht. Wir empfehlen Ihnen, die Datenschutzerklärung regelmäßig durchzulesen.

 

4)     Kontaktdaten

Firmenname:                 Rail Partner Gruppe AG

Anschrift:                       Laugweg 9, 8240 Thayngen, Schweiz

 

Telefonnummer:           +41 (0)52 6812611

Fax:                                 +41 (0)52 6812766

E-Mail-Adresse:             info@railpartnerschweiz.ch

            

5)     Datenschutzbeauftragter (DSB)

Das Kerngeschäft von Rail Partner Gruppe AG ist die Reduzierung von Rollgeräuschen und Kurvenquietschen in der Schieneninfrastruktur. Wir sind keine Regierungsbehörde oder Organisation des öffentlichen Rechts. Die Verarbeitung von besonderen personenbezogenen Daten in großem Umfang ist nicht unser Kerngeschäft. Rail Partner Gruppe AG unterliegt nicht der gesetzlichen Pflicht zur Anstellung eines Datenschutzbeauftragten. 

Rail Partner Gruppe AG hat den Betriebssicherheitsmanager mit dem Datenschutz laut DSG beauftragt. 

 

6)     Kontaktdaten des Datenschutzbeauftragten (DSB)

Titel: Betriebssicherheitsmanager

E-Mail-Adresse: kvgm@railpartnerschweiz.ch

 

Der Datenschutzbeauftragte hat unter anderen die nachfolgenden Aufgaben und Verantwortung:

ü  Beaufsichtigt bei Rail Partner Gruppe AG die Einhaltung des DSG.

ü  Vertraulichkeitsverpflichtung

ü  Führung und Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten

ü  Überwachung technischer und organisatorischer Maßnahmen

ü  Bearbeitung von Beschwerden über die Nutzung personenbezogener Daten

ü  Ansprechpartner für die Verarbeitung personenbezogener Daten

ü  Aufklärung und Information der Mitarbeiter über die Verarbeitung personenbezogener Daten

 

Siehe Stellenbeschreibung DSB.

Siehe Organigramm.

 

7)     Grundsätze DSG

Rail Partner Gruppe AG entspricht mindestens einer der 6 gesetzlichen Grundsätze, um („normale“) personenbezogene Daten verarbeiten zu dürfen:

Zustimmung der jeweiligen Person. 

  • Die Datenverarbeitung ist unerlässlich für die Ausführung eines Vertrages
  • Die Datenverarbeitung ist unerlässlich für die Erfüllung einer gesetzlichen Verpflichtung
  • Die Datenverarbeitung ist unerlässlich zum Schutz lebenswichtiger Interessen.
  • Die Datenverarbeitung ist für die Ausführung einer Aufgabe öffentlichen Interesses oder der Ausübung behördlicher Weisungsbefugnis unerlässlich. 
  • Die Datenverarbeitung ist zwecks Vertretung eines rechtmäßigen Interesses unerlässlich. 

 

Rail Partner Gruppe AG hat im Verzeichnis der Verarbeitungstätigkeiten angegeben, auf welchen Grundsatz sich die jeweilige Verarbeitungstätigkeit personenbezogener Daten bezieht. 

 

8)     Speichern strafrechtlicher Personendaten


 Rail Partner Gruppe AG speichert keine strafrechtlichen personenbezogenen Daten. 

 

9)     Screening und polizeiliches Führungszeugnis

Rail Partner Gruppe AG erkennt die Notwendigkeit, zuverlässige Mitarbeiter einzustellen und zu beschäftigen. Darum führen wir bereits in der Bewerbungsphase ein Screening unserer Bewerber durch. Hierüber wird der Bewerber vorab informiert und Ergebnisse werden hinterher mitgeteilt. Der Lebenslauf wird geprüft und mit Einverständnis des Bewerbers auch die Referenzen. 

 

10)  Besondere personenbezogene Daten

Die nachfolgenden Daten werden im DSG als besondere personenbezogene Daten klassifiziert: 

 

  • Personenbezogene Daten zu Rasse oder ethnischer Herkunft:
  • Personenbezogene Daten die politischen Überzeugungen enthalten;
  • Personenbezogene Daten die religiöse oder ideologische Zugehörigkeit enthüllen;
  • Personenbezogene Daten zur Mitgliedschaft einer Gewerkschaft;
  • Personenbezogene Daten zur Gesundheit;
  • Personenbezogene Daten zu sexuellem Verhalten oder Sexualorientierung;
  • Genetische Informationen;
  • Biometrische Angaben im Hinblick auf die Identifizierung einer Person. 

 

 

Das DSG verbietet die Verarbeitung besonderer personenbezogener Daten. 

 

Im Hinblick auf einen der Grundsätze für die Verarbeitung von „normalen“ personenbezogenen Daten und die nachfolgenden Ausnahmen kann es vorkommen, dass Rail Partner Gruppe AG die nachfolgenden besonderen personenbezogenen Daten speichert:

  • Daten über Ihre Gesundheit: Dies tun wir zum Beispiel im Rahmen eines Wiedereingliederungsplanes, um beurteilen zu können, ob die Arbeiten in angepasster Form wieder aufgenommen werden können. Oder zum Beispiel, um beurteilen zu können, ob der Arbeitsplatz angepasst werden muss.  
  • Religiöse oder ideologische Zugehörigkeit: Dies ist für uns wichtig zu wissen, wenn Sie zum Beispiel an Sonntagen oder an bestimmten Feiertagen nicht arbeiten können oder dürfen. 

 

Zudem ist die Verarbeitung personenbezogener Daten im Verzeichnis aller Verarbeitungstätigkeiten zu finden. 

 

11)  Bewusstseinsbildung


Rail Partner Gruppe AG hat ein DSG-Team gegründet, dem der Betriebssicherheitsmanager, der Geschäftsführer und ein externer Berater angehören. 

Das DSG-Team bewertet die Auswirkungen der neuen Datenschutzverordnung auf unsere aktuellen Prozesse, Dienstleistungen und Waren, und untersucht, welche Maßnahmen notwendig sind, um den Anforderungen des DSG zu entsprechen. 

Der Betriebsrat hat ein Vetorecht im Hinblick auf die internen Richtlinien zur Verarbeitung personenbezogener Daten von Mitarbeitern. 

Rail Partner Gruppe AG hat keinen Betriebsrat. Die Einführung von Maßnahmen aufgrund des DSG ist jedoch mit den Führungskräften besprochen. Mitarbeiter, Kunden und Dritte wurden über die Webseite informiert. 

 

12)  Schutz personenbezogener Daten gemäß DSG

Wenn wir Ihre persönlichen Daten speichern, haben Sie die nachfolgenden Rechte:

  • Das Recht der Datenübertragbarkeit. Das ist das Recht, personenbezogene Daten zu übertragen. 
  • Das Recht auf Löschung. Das Recht auf Vergessenwerden.
  • Das Auskunftsrecht. Das ist das Recht auf Auskunft darüber, welche auf Sie bezogenen Daten gespeichert werden.  
  • Das Recht auf Berichtigung und Ergänzung. Das ist das Recht, auf Sie bezogene Daten zu ändern. 
  • Das Recht auf Einschränkung der Datenverarbeitung: Das Recht, weniger Daten verarbeiten zu lassen. 
  • Das Recht im Bezug auf automatisierte Entscheidungsfindung und Profilierung. Oder auch: das Recht auf ein menschliches Augenmaß bei der Entscheidungsfindung
  • Das Recht, Widerspruch gegen die Datenverarbeitung einzulegen. 
  • Das Recht auf deutliche Informationen darüber, was wir mit Ihren persönlichen Daten tun. 

 

Bitte wenden Sie sich an unsere Personalabteilung, um Ihre personenbezogenen Daten einzusehen, zu erhalten, zu übertragen, zu ändern, einzuschränken oder zu löschen. Rail Partner Gruppe AG wird Ihr Anliegen bearbeiten und Sie in jedem Fall innerhalb eines Monats nach Antragseingang informieren, welche Schritte unternommen wurden. Eine Ablehnung werden wir in allen Fällen ausführlich begründen.  

 

Sollten Sie Einspruch gegen die (weitere) Verarbeitung Ihrer personenbezogenen Daten einlegen wollen, dann können Sie sich auch mit unserem Betriebssicherheitsmanager in Verbindung setzen. Rail Partner Gruppe AG wird den Einspruch sofort, auf jeden Fall innerhalb eines Monats, bearbeiten, und die betreffenden personenbezogenen Daten löschen, es sei denn, wir unterliegen einer gesetzlichen Aufbewahrungspflicht. 


13)  Beschwerderecht 

Für eventuelle Beschwerden über die Art und Weise, wie wir Ihre personenbezogenen Daten speichern oder Ihre Anträge bearbeiten, setzen Sie sich bitte mit unserem Datenschutzverantwortlichen in Verbindung. Sollte dies nicht zu einer passenden Lösung führen, dann haben Sie natürlich jederzeit das Recht, eine Beschwerde bei der jeweiligen Aufsichtsbehörde einzureichen. 

 

Für eventuelle Fragen oder Bemerkungen zum Datenschutz oder zu dieser Datenschutzerklärung wenden Sie sich bitte an unseren Betriebssicherheitsmanager. 

 

14)  Entscheidungsfindung

Rail Partner Gruppe AG bedient sich keiner Systeme zur automatisierten Entscheidungsfindung und Profilierung. Entscheidungen werden in unserem Unternehmen ausschließlich von Menschen getroffen. 

Zum Beispiel über die Einstellung neuer Mitarbeiter und die Führung der Personalakten.

 

15)  Sicherheit

Zum Schutz personenbezogener Daten hat Rail Partner Gruppe AG passende technische und organisatorische Maßnahmen getroffen. Hiermit werden personenbezogene Daten vor unerlaubter oder rechtswidriger Verarbeitung, sowie gegen unbeabsichtigten Verlust, Vernichtung oder Beschädigung geschützt. 

 

Die von Rail Partner Gruppe AG getroffenen Maßnahmen werden im Verzeichnis der Verarbeitungstätigkeiten festgehalten. 

 

16)  Speicherung personenbezogener Daten über eine Webseite (HTTPS) 

Rail Partner Gruppe AG schützt ihre Webseite mit HTTPS.

Damit ist die Verarbeitung personenbezogener Daten gesichert.

 

17)  Auftragsverarbeiter

 

Rail Partner Gruppe AG hat mit allen Auftragsverarbeitern (Dienstleister des öffentlichen Rechts und Lieferanten) eine Vereinbarung getroffen die Parteien verpflichtet, das Bundesgesetz über den Datenschutz (DSG) einzuhalten. Eine Liste aller Verarbeiter ist bei unserem Datenschutzbeauftragten erhältlich. 

 

Siehe Verzeichnis der Verarbeitungstätigkeiten

18)  Verzeichnis der Verarbeitungstätigkeiten

Rail Partner Gruppe AG führt ein Verzeichnis aller Verarbeitungstätigkeiten. In diesem Verzeichnis ist unter anderem zu finden:

  • Welche personenbezogenen Daten wir verarbeiten.
  • Auf welchen Grundsatz des DSG diese Datenverarbeitung sich bezieht.
  • Mit welchem Ziel wir diese Daten verarbeiten.
  • Mit wem wir die personenbezogenen Daten teilen (auch Empfänger oder Auftragsverarbeiter genannt).
  • Die Aufbewahrungsfrist dieser Daten.
  • Wenn die Daten von einer anderen Organisation bezogen wurden: die Datenquelle.
  • Eventueller Austausch mit Ländern außerhalb der EU.
  • Sicherheitsmaßnahmen.
  • Ein Verzeichnis möglicher Datenlecks.

 

Dieses Verzeichnis ist bei unserem Betriebssicherheitsmanager einzusehen. 

 

Siehe Verzeichnis der Verarbeitungstätigkeiten.

 

19)  Aufbewahrungsfristen

Rail Partner Gruppe AG verarbeitet und speichert Ihre personenbezogenen Daten für die Dauer Ihres Arbeitsverhältnisses bis spätestens ein Jahr nach Ende des Arbeitsverhältnisses. Unmittelbar nach Ablauf dieser Aufbewahrungsfrist werden personenbezogene Daten vernichtet und/oder anonymisiert, soweit keine gesetzliche Verpflichtung (zum Beispiel aus dem Steuerrecht) besteht, bestimmte personenbezogenen Daten länger aufzubewahren. In diesem Fall werden ausschließlich diese speziellen personenbezogenen Daten für den Zeitraum der gesetzlich vorgeschriebenen Aufbewahrungspflicht gespeichert. 

 

Sind Sie unser Kunde oder Lieferant oder anderer Dritter, dann speichern wir Ihre personenbezogenen Daten für die Dauer der Vereinbarung bzw. des Vertrages und bis spätestens ein Jahr nach Vertragsende, es sei denn, es gelten andere gesetzlichen Vorschriften. 

 

Siehe Verzeichnis der Verarbeitungstätigkeiten.

 

20)  Verarbeitung großer Datenvolumen

Die Verarbeitung von großen Datenvolumen wie zum Beispiel bei 

  • der Nachverfolgung von Einzelpersonen, oder
  • der Verarbeitung besonderer personenbezogener Daten von Einzelpersonen ist kein Bestandteil des Hauptgeschäftes von Rail Partner Gruppe AG

 

21)  Kriterien für die Verarbeitung großer Datenvolumen

  • Die Zahl der Betroffenen (der Menschen, deren Daten verarbeitet werden).
  • Das Volumen der Daten die wir verarbeiten.
  • Die Dauer der Datenverarbeitung.
  • Der geografische Geltungsbereich der Verarbeitung

 

Aus den oben genannten Kriterien ergibt sich, dass Rail Partner Gruppe AG nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und eine Datenschutz-Folgenabschätzung zu erstellen.  

 

22)  Datenschutz-Folgenabschätzung 

Aus der Art ihres Geschäftsbetriebes ergibt sich, dass Rail Partner Gruppe AG nicht verpflichtet ist ein DPIA (Data Protection Impact Assessment) zu erstellen. 

 

23)  Privacy by Design

Rail Partner Gruppe AG achtet bereits beim Entwurf von Produkten und Dienstleistungen auf den Schutz personenbezogener Daten. 

Zudem speichern wir nur die Daten, die für die Zielsetzung der jeweiligen Verarbeitung notwendig sind und bewahren wir diese nicht länger als notwendig auf.

 

24)  Privacy by Default

Rail Partner Gruppe AG ergreift technische und organisatorische Maßnahmen, die dafür sorgen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, die für unser jeweiliges Ziel unbedingt notwendig sind. 

 

25)  Meldepflicht Datenlecks

Im Falle eines Datenlecks tritt unser Protokoll für Datenlecks in Kraft.

Alle Datenlecks werden von Rail Partner Gruppe AG über das Meldeformular Datenleck erfasst und im Verzeichnis für Datenlecks registriert.

Dies gibt der zuständigen Datenschutzbehörde (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter – EDÖB – in Bern) die Möglichkeit zu kontrollieren, ob wird uns an die Meldepflicht gehalten haben. Zur Meldung eines (möglichen) Datenlecks wenden Sie sich bitte an Ihre(n)Vorgesetzte(n) oder den Datenschutzbeauftragten. 

 

Siehe Anlage Protokoll für Datenlecks.

Siehe Anlage Meldeformular Datenleck.

Siehe Verzeichnis der Verarbeitungstätigkeiten (Blatt Datenleck-Verzeichnis).

 

 26)  Verantwortlichkeitspflicht

Rail Partner Gruppe AG kommt ihrer Verantwortlichkeitspflicht nach und liefert damit einen wichtigen Beitrag zum Grundrecht der Menschen auf ihre Privatsphäre. 

Mit der vorliegenden Datenschutzerklärung weisen wir nach, dass unsere Datenverarbeitung den Vorschriften der zuständigen Datenschutzbehörde entspricht. 

 

Die Datenverarbeitung entspricht den wichtigsten Grundsätzen der Verarbeitung, wie 

 

  • Rechtsgültigkeit
  • Transparenz
  • Zweckbindung
  • Genauigkeit


27)  DSG-Anlagen

DSG Anlage 1 Verzeichnis der Verarbeitungstätigkeiten

a)     Datenschutzverantwortlicher

b)     Auftragsverarbeiter

c)     Verarbeitungstätigkeiten Mitarbeiter

d)     Verarbeitungstätigkeiten Kunden

e)     Sicherheitsmaßnahmen

f)      Verzeichnis von Datenlecks

DSG Anlage 2 Stellenbeschreibung Datenschutzverantwortlicher (DSG-Verantwortlicher)

DSG Anlage 6 Genehmigungsformular Beteiligter

DSG Anlage 7 Protokoll für Datenlecks

DSG Anlage 8 Meldeformular Datenleck

 

Die DSG-Anlagen sind bei unserem Datenschutzverantwortlichen (Betriebssicherheitsmanager) einzusehen.