Datenschutzkonzept
Datenschutzkonzept
der Lebenshilfe e.V. Düren
Zweck und Ziel
Das Datenschutzkonzept für die Lebenshilfe e.V. Düren“ soll sicherstellen, dass alle personenbezogenen Daten der Bewohner, Klienten, Kindern der Kitas, Klienten im Bereich Teilhabe und Bildung, Mitarbeiter und Besucher gemäß der Datenschutz-Grundverordnung (DSGVO) und anderen relevanten Datenschutzgesetzen geschützt werden.
Verantwortlichkeiten
Lebenshilfe für Menschen mit Behinderung e.V.
Kreisvereinigung Düren
Arnoldsweilerstr. 16a
52351 Düren
Telefon: 02421 – 277 04 20
Vertreten durch den Vorstand:
Michael Schulze
Ein Datenschutzbeauftragter wurde nach §4 f BDSG ordnungsgemäß und schriftlich bestellt, sowie der Beauftragten für Datenschutz und Informationsfreiheit NRW gemeldet. Er überwacht die Einhaltung des Datenschutzes und ist Ansprechpartner für alle datenschutzrelevanten Fragen.
ITU
Innovative Technologie und Unternehmensberatung GmbH & Co. KG
Herr Michael Errens
Zechenring 10
41836 Hückelhoven
Telefon 0 24 33 – 80 50 20
E-Mail: info@itu-beratung.de
Mitarbeiterschulung
Unter anderem werden bei der Einstellung die Mitarbeiter auf die Sicherheitsanforderungen belehrt und verpflichtet.
Zusätzlich werden alle Mitarbeiter jährlich zum Datenschutz geschult.
Erfassung und Verarbeitung personenbezogener Daten
Erhebung
- Bewohner: Name, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Adresse, Kontaktdaten der gesetzlichen Betreuer, Gesundheitsinformationen, Notfallkontakte
- Kinder der Kita: Name, Geburtsdatum, Adresse, Kontaktdaten der Eltern, Gesundheitsinformationen, Notfallkontakte
- Klienten Teilhabe und Bildung: Name, Geburtsdatum, Adresse, Kontaktdaten der Eltern, Gesundheitsinformationen, Notfallkontakte
- Klienten: Name, Geburtsdatum, Adresse, Kontaktdaten der Eltern, Gesundheitsinformationen, Notfallkontakte
- Mitarbeiter: Vor- Nachname, Adresse, Geburtsdatum, Bankverbindung, Steuer ID, Steuerklasse, Familienstand, Religionszugehörigkeit, Krankenkassenzugehörigkeit, Sozialversicherungsnummer, Gesundheitsdaten, Behinderungen
- Besucher: Name, Kontaktdaten, Zweck des Besuchs
Verarbeitung
- Zwecke: Verwaltung, Betreuung, medizinische Versorgung, Kommunikation mit Angehörigen. Teilhabe in der Kita, Weiterbildungen, Reisen und in der Schule.
- Rechtsgrundlage:
Die Daten des Menschen mit Behinderung werden im Rahmes des PerSEH/BEI_NRW durch Einwilligung auf Grundlage §§ 67b Abs. 1 Nr 1 2. Alt., 118 SGB IX i.V.m. Art. 9 Abs. 2a) DSGVO verarbeitet
- Art. 6 Abs. 1 lit a) DSGVO: Rechtmäßigkeit der Verarbeitung mit Einholung der Zustimmung
- Art 6 Abs. 1 lit c) DSGVO i.V. m. §21 StVG: Rechtspflicht
- Art. 6 Abs.1 lit f) DSGVO: berechtigtes Interesse
Datenminimierung und Speicherbegrenzung
Datenminimierung
Es werden nur die Daten erhoben und verarbeitet, die für die jeweiligen Zwecke erforderlich sind.
Speicherbegrenzung
- Bewohnerdaten: gemäß den gesetzlichen Bestimmungen
- Klientendaten: gemäß den gesetzlichen Bestimmungen
- Klienten Teilhabe und Bildung: gemäß den gesetzlichen Bestimmungen
- Mitarbeiterdaten: gemäß den gesetzlichen Bestimmungen
- Besucherdaten: 3 Monate nach dem Besuch.
Sofern keine spezielle Speicherdauer genannt wurde, speichern wir die personenbezogenen Daten so lange bei uns, bis der Zweck für die Verarbeitung entfällt. Sollten ein berechtigtes Löschen der Daten eingefordert werden, oder eine Einwilligung widerrufen werden, werden die Daten gelöscht, sofern keine anderen rechtlich zulässigen Gründe für die Speicherung der personenbezogenen Daten vorliegen.
Sicherheit der Verarbeitung
Technische Maßnahmen:
- Die lokalen Arbeitsplätze werden durch aktuelle Anti-Viren-Software geschützt
- Die verwendeten Arbeitsplatzsysteme befinden sich hinter einer Firewall
- Der E-Mail-Server wird durch ein mehrstufiges Antiviren-System geschützt, welches laufend aktualisiert wird
- Die Vernichtung von Datenträgern und Papierdokumenten erfolgt nach DIN 66399 durch einen externen Dienstleister
- Datenübermittlungen erfolgen, wo es notwendig ist, ausschließlich verschlüsselt (VPN; SSL), bzw. werden Dokumente mit einem Kennwort geschützt
- Die Betriebssysteme sowie die verwendete Software werden durch die IT regelmäßig aktualisiert
- Die Daten liegen in der Cloud, die Cloud liegt innerhalb der EU
- Mit den Auftragsverarbeitern liegen Auftragsverarbeitungsvereinbarungen vor
Organisatorische Maßnahmen:
- Papierdaten werden in verschlossenen Schränken aufbewahrt
- Es liegt eine Individualrechtevergabe zur Nutzung der Daten vor
- Richtlinien für den Umgang mit personenbezogenen Daten wurden aufgestellt und den Mitarbeitern vermittelt.
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen
Rechte der Betroffenen
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.
Beschwerdestelle:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Postfach 20 04 44
40102 Düsseldorf
Tel.: 0211/38424-0
E-Mail: poststelle@ldi.nrw.de
www.ldi.nrw.de
Recht auf Datenübertragbarkeit
Betroffene haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangt wird, erfolgt dies nur, soweit es technisch machbar ist.
Auftragsverarbeitung
Bei der Auswahl eines Dienstleisters vergewissern wir uns, dass dieser hinreichenden technischen und organisatorischen Maßnahmen zur Datensicherheit getroffen hat. Wird kein oder nur ein unzureichender Nachweis der technischen und organisatorischen Maßnahmen zur Datensicherheit erbracht, führt dies zum Ausschluss des Dienstleisters.
Mit den externen Auftragsdatenverarbeitern sind bzw. werden entsprechende Auftragsdatenvereinbarungen geschlossen, die den Anforderungen der DSGVO entsprechen.
Prävention von Datenschutzverletzungen
Um Datenschutzverletzungen zu verhindern, haben wir folgende Verfahren etabliert:
- Sorgfältige Personalauswahl bei der Einstellung
- Sensibilisierung und Schulung unserer Mitarbeiter
- Verwendung starker Passwörter
- regelmäßige Aktualisierung von Software und die Identifizierung von Phishing-Versuchen.
- Zugriffsrechte auf personenbezogene Daten sind nur an autorisierte Personen vergeben
- Mehrfach Authentifizierung
- regelmäßige Überprüfungen der Zugriffsrechte
- Datensicherung und Verschlüsselung
- Regelmäßige Backups
- Software und Systeme werden auf dem neuesten Stand gehalten
- Sicherheitspatches und Updates werden regelmäßig installiert
Meldung von Datenschutzverletzungen
Interne Meldepflicht
Es gibt einen dokumentierten Meldeweg für Datenschutzvorfälle.
Bei der Identifizierung eines o.g. Ereignisses sind unsere Mitarbeiter/-innen dazu verpflichtet eine sofortige Meldung gemäß des Ablaufplans vorzunehmen. Dementsprechend wird das Ereignis sofort hinsichtlich seiner Auswirkung überprüft und die entsprechenden Maßnahmen für die Beseitigung des Vorfalls ergriffen.
Externe Meldepflicht
Im Falle einer Datenschutzverletzung wird durch unseren Datenschutzbeauftragten:
- Die Datenschutzverletzung dokumentiert
- Eine Datenschutzfolgeabschätzung durchgeführt
- Ggf. innerhalb von 72 Stunden die Aufsichtsbehörde informiert
- Die Betroffenen informiert
- Die Ursache der Verletzung analysiert und Maßnahmen zur Vorbeugung getroffen
Dokumentation und Nachweis
Ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten wird geführt.
Verpflichtung auf das Datengeheimnis
Unsere Mitarbeiter/-innen verpflichten sich, im Zuge des Onboarding Prozesses das Datengeheimnis zu wahren. Die Verpflichtung auf das Datengeheimnis wird von jedem Mitarbeiter/-in unterschrieben und bestätigt damit, dass er/sie die Verpflichtung zur Kenntnis genommen und verstanden hat und sich zur Einhaltung verpflichtet.
Er/Sie wurde darauf hingewiesen, dass Verstöße gegen das Datengeheimnis entsprechende Sanktionen durch die Geschäftsleitung zur Folge haben wird.
Nutzung von Internet, E-Mail und dienstlichem Telefon
Die private Nutzung von Internet, E-Mail und Telefon und Mobiltelefon ist nicht gestattet.
Mobile Endgeräte
Alle Mitarbeiter, die ein mobiles Endgerät ausgehändigt bekommen, verpflichten sich zur Einhaltung der Richtlinie zur Handhabung und Nutzung mobiler Endgeräte und wurden darauf hingewiesen, dass bei Zuwiderhandlungen der Vorstand entsprechende Sanktionen auferlegt.
Die Nutzung von externen Datenträgern, wie Festplatten, USB-Sticks, DVD´s oder CD´s, sind untersagt.
Alternierende Telearbeit
Mitarbeiter / -innen welche die Möglichkeit haben, ihren Arbeitsplatz nach Hause zu verlegen, verpflichten sich zur Einhaltung der Richtlinie „Alternierende Telearbeit“ und wurden darauf hingewiesen, dass bei Zuwiderhandlungen entsprechende Sanktionen durch den Vorstand auferlegt werden können.
Dazu werden sämtliche elektronischen Arbeitsmittel, die für die Arbeitsleistung bei der alternierenden Telearbeit benötigt werden, von der Lebenshilfe e.V. Düren zur Verfügung gestellt.
Zugriffberechtigungen IT
Die Zugriffsberechtigungen der einzelnen Mitarbeiter werden grundsätzlich vom Vorstand festgelegt und über den EDV Administrator ausgeführt.
Neubeantragungen oder Änderungen von Berechtigungen müssen beim Vorstand beantragt und genehmigt werden.
Die Überprüfung der vergebenen Berechtigungen erfolgt regelmäßig.
Kontinuierliche Verbesserung
Das Datenschutzkonzept wird mindestens jährlich überprüft und bei Bedarf angepasst.
Kommunikation und Transparenz
Information der Betroffenen
Bewohner, Klienten, Mitarbeiter und Besucher werden bei der Datenerhebung über Zweck und Umfang der Datenverarbeitung informiert.
Veröffentlichung
Das Datenschutzkonzept und die Datenschutzerklärung werden auf der Webseite der Lebenshilfe und in gedruckter Form in den Einrichtungen veröffentlicht.
Das Datenschutzkonzept definiert alle Maßnahmen, die von uns im Zuge der Datensicherheit und des Datenschutzes festgelegt und ergriffen wurden.
Sie werden durch den Datenschutzbeauftragten regelmäßig überprüft.