Datenschutzkonzept OML – Direktmarketing und Logistik GmbH & Co. KG

Verantwortliche Stelle:
OML – Direktmarketing und Logistik GmbH & Co. KG
Billhorner Deich 126, 20539 Hamburg
Bessemerstraße 51, 12103 Berlin - nachfolgend OML genannt -
Geschäftsführer: Jens Feddersen, Guido Beer

Präambel:
OML ist regelmäßig im Rahmen der Auftragsdatenverarbeitung als Lettershop als datenverarbeitendes Unternehmen tätig. Aufgrund dieses Tätigkeitsfeldes unterliegt OML gemäß Bundesdatenschutzgesetz (BDSG) speziellen Verpflichtungen. OML verpflichtet sich für seine Kunden, Geschäftspartnern und Lieferanten, aber auch für Mitarbeiterinnen und Mitarbeitern ein besonders hohes Maß an Datenschutz zu gewährleisten.

Datenschutzkonzept:

1. Zweckbestimmung der Datenerhebung, - verarbeitung oder – nutzung, Grundsatz der Datenvermeidung und Datensparsamkeit, Schutz der Betroffenen.
OML unterwirft sich dem Grundsatz der Datensparsamkeit und erhebt, verarbeitet oder nutzt so wenig personenbezogene Daten wie möglich. Personenbezogene Daten werden erhoben, um Mitarbeiter, Auftraggeber, Mittler, Lieferanten, Interessenten und Kunden in der EDV zu erfassen um die tägliche Zusammenarbeit so effizient wie möglich zu gestalten. Interessentendaten werden erhoben, um potenzielle Kunden im gesetzlich zugelassenen Rahmen werblich anzusprechen.
Überlassene Adressdaten werden ausschließlich zum Zwecke der Selektion der Adressdaten und zur auftragsgemäßen Durchführung der beauftragten Leistung verwendet. Sofern keine andere Weisung der Adress-Eigentümer vorliegt, werden sämtliche im Kundenauftrag verarbeitete oder genutzte Daten nach einem Zeitraum von drei Monaten gelöscht.
Sofern Werbeempfänger OML um Auskunft über die Herkunft der Datensätze bitten, wird OML im Rahmen seiner Möglichkeiten entsprechende Auskünfte erteilen oder – soweit möglich – den Kontakt zwischen dem Betroffenen und dem Adressen-Eigentümer herstellen. Auftraggeber bzw. sonstige relevante Beteiligte werden darauf hingewiesen, dass Widersprüche von Betroffenen zur Nutzung von personenbezogenen Daten für Werbezwecke zu entsprechen ist.

2. Bestellung eines Datenschutzbeauftragten
Gemäß § 4f BDSG sind Unternehmen, in denen regelmäßig mehr als 20 Personen personenbezogene Daten erheben, verarbeiten oder nutzen zur Bestellung eines Datenschutzbeauftragten verpflichtet. Bei OML sind keine 20 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt, daher benötigt OML keinen Datenschutzbeauftragten.

3. Technische und organisatorische Maßnahmen
Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um den Bestimmungen des BDSG insbesondere dem §9 und der Anlage zu §9 zu entsprechen. OML erfüllt diesen Anspruch durch folgende Maßnahmen:

a. Zutrittskontrolle
Der Auftragnehmer sichert zu, den Zugang zu den Datenverarbeitungsanlagen durch folgende Verfahren abzusichern:
Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:

• Zugang zu den Geschäftsräumen nur durch Schlüssel
• Getrennte Räumlichkeiten für Produktion und EDV
• Anmeldung im Zutrittsbereich
• Innerhalb des Bürobereiches abgetrennter Serverraum mit Datenschrank + Safe
• Betriebsfremde dürfen die Räumlichkeiten nur nach Anmeldung und in Begleitung betreten

b. Zugangskontrolle
Technische (Kennwort-/Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

1. Die Kennwörter entsprechen den verschärften Windows-Richtlinien
   (Sonderzeichen, Mindestlänge 8 Zeichen), regelmäßiger Wechsel der Kennwörter
2. Automatische Sperrung bei Inaktivität (Neueingabe des Kennwortes)
3. Eigenes Benutzerkonto mit eingeschränkten Berechtigungen für jeden Mitarbeiter
4. Virenschutz / Firewall

c. Zugriffskontrolle
Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

1. Differenzierte Berechtigungen (Profile, Rollen) je Benutzer
2. Überprüfung durch Netzwerk- u. Druckerprotokolle
3. Datenschutzerklärung der einzelnen Mitarbeiter

d. Weitergabekontrolle
Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei nachträglicher Überprüfung:

1. Daten können je nach Kundenwunsch per sftp, ftp, mail oder persönlich übergeben werden
2. Eine verschlüsselte Übertragung von Daten ist anzustreben
3. Nach Eingang erfolgt eine Vollständigkeitskontrolle der Daten

e. Eingabekontrolle
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

1. Protokollierung innerhalb des Portooptimierungsprogramms
   (Adresskorrekturprotokolle, Dublettenprotokolle)
2. Löschung von Auftragsdaten nur durch 1 Person
3. Dokumentation der Datenbewegungen

f. Auftragskontrolle
Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer:

1. Klärung ob Veränderungen an den Daten durchgeführt werden dürfen/sollen im Rahmen der Portooptimierung. Bestätigung per mail durch den Auftraggeber.
2. In der Regel eine schriftliche Auftragsbestätigung durch OML.

g. Verfügbarkeitskontrolle
Maßnahmen zur Datensicherung (physikalisch / logisch):

1. Tägliche nächtliche Sicherung des Servers auf Wechseldatenträger
   (Aufbewahrung im Safe)
2. Spiegeln der Festplatte als Raid 0
3. Unterbrechungsfreie Stromversorgung (USV)
4. Getrennte Partitionen für Betriebssystem und Daten

h. Trennungskontrolle
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

1. Daten zu unterschiedlichen Zwecken werden in getrennten Laufwerken abgelegt
2. OML interne Daten befinden sich nur auf einem lokalen Rechner

4. Unterbeauftragung
Sofern sonstige Dienstleister bzw. Unterauftragsnehmer von OML beauftragt werden und die Beauftragung den Umgang mit personenbezogenen Daten erforderlich macht, ist es unerlässlich, dass seitens des beauftragten Unternehmens eine unterzeichnete Datenschutzverpflichtungserklärung nach DDV-Standard bzw. BDSG vorliegt. Sofern die Erteilung solcher Auftragsverhältnisse die Zustimmung eines Dritten erfordert, wird OML diese Zustimmung über den Auftraggeber einholen.

5. Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf die Einhaltung der Datenschutzrechtlichen Bestimmung
Sämtliche Mitarbeiterinnen und Mitarbeiter werden auf Ihre Verpflichtungen zur Wahrung des Datengeheimnisses hingewiesen und bezeugen dies durch ihre Unterschrift. Ihnen wird Merkblatt „Datenschutz“ ausgehändigt. Die Unterweisung erfolgt insbesondere zu den Grundsätzen des Datenschutzes nach BDSG (insbesondere die Voraussetzungen der Auftragsdatenverarbeitung), der Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse, dem sorgfältigen Umgang mit Datenträgern und Dateien.

6. Umgang mit Makulatur
Material, das personenbezogene Daten (Adressen) enthält und das aus verschiedenen Gründen nicht einem Distributor (z.B. Deutsche Post AG, PIN AG o.ä.) übergeben wurde, wird in einem verschlossenen Behälter gesammelt und einem auf den Datenschutz verpflichteten Unternehmen zur Vernichtung übergeben.

Download
Datenschutzkonzept
(PDF 17 KB)