Datenschutz und Verarbeitung personenbezogener Daten

1) Gültigkeitsbereich
Diese Erklärung zum Datenschutz und zur Verarbeitung personenbezogener Daten bezieht sich auf alle personenbezogenen Daten die Rail Partner Deutschland GmbH von ihren Mitarbeitern, Kunden, Lieferanten, Geschäftspartnern, Subunternehmern, Schwesterunternehmen und anderen Interessenten bezieht. Wenn Sie mit Rail Partner Deutschland GmbH eine Geschäftsbeziehung als Mitarbeiter, Kunde, Lieferant oder Partner eingehen, oder der Firma aus anderen Gründen personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit ausdrücklich einverstanden, dass Ihre personenbezogenen Daten nach den Grundsätzen dieser Datenschutzerklärung verarbeitet werden.

In Deutschland unterliegt diese Datenschutzerklärung der Datenschutz-Grundverordnung (DSGVO). (Englisch: General Data Protection Regulation – GDPR).

2) Die zuständige Datenschutzbehörde
Für alle geschäftlichen Tätigkeiten mit Rail Partner Deutschland GmbH ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in Bonn die zuständige Datenschutzbehörde.

3) Zugang und Änderungen
Diese Datenschutzerklärung wird auf unserer Webseite veröffentlicht und über unsere Personalabteilung zur Verfügung gestellt. Neue Mitarbeiter werden im Zuge ihrer Bewerbung auf die Datenschutzerklärung hingewiesen. Neukunden werden im Zuge der Vertragsverhandlungen auf die Datenschutzerklärung hingewiesen. Diese Datenschutzerklärung kann geändert werden. Änderungen werden auf der Webseite veröffentlicht. Wir empfehlen Ihnen, die Datenschutzerklärung regelmäßig durchzulesen.

4) Kontaktdaten
Firmenname: Rail Partner Deutschland GmbH
Anschrift: Industriepark 312, 78244 Gottmadingen, Deutschland

Telefonnummer: +49 (0)32 211121842
Fax: +49 (0)32 211121843
E-Mail-Adresse: support@railpartnerdeutschland.de

5) Datenschutzbeauftragter (DSB)
Das Kerngeschäft von Rail Partner Deutschland GmbH ist die Reduzierung von Rollgeräuschen und Kurvenquietschen in der Schieneninfrastruktur.
Wir sind keine Regierungsbehörde oder Organisation des öffentlichen Rechts.
Die Verarbeitung von besonderen personenbezogenen Daten in großem Umfang ist nicht unser Kerngeschäft.

Rail Partner Deutschland GmbH unterliegt nicht der gesetzlichen Pflicht zur Anstellung eines Datenschutzbeauftragten.
Rail Partner Deutschland GmbH hat den Betriebssicherheitsmanager mit dem Datenschutz laut DSGVO beauftragt.

6) Kontaktdaten des Datenschutzbeauftragten (DSB) Titel: Betriebssicherheitsmanager
E-Mail-Adresse: kvgm@railpartnerdeutschland.de

Der Datenschutzbeauftragte hat unter anderen die nachfolgenden Aufgaben und Verantwortung:

  • Beaufsichtigt bei Rail Partner Deutschland GmbH die Einhaltung der DSGVO.
  • Vertraulichkeitsverpflichtung
  • Führung und Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten
  • Überwachung technischer und organisatorischer Maßnahmen
  • Bearbeitung von Beschwerden über die Nutzung personenbezogener Daten
  • Ansprechpartner für die Verarbeitung personenbezogener Daten
  • Aufklärung und Information der Mitarbeiter über die Verarbeitung personenbezogener Daten

Siehe Stellenbeschreibung DSB.
Siehe Organigramm.

7) Grundsätze DSGVO
Rail Partner Deutschland GmbH entspricht mindestens einer der 6 gesetzlichen Grundsätze, um („normale“) personenbezogene Daten verarbeiten zu dürfen:

  1. Zustimmung der jeweiligen Person.
  2. Die Datenverarbeitung ist unerlässlich für die Ausführung eines Vertrages.
  3. Die Datenverarbeitung ist unerlässlich für die Erfüllung einer gesetzlichen Verpflichtung.
  4. Die Datenverarbeitung ist unerlässlich zum Schutz lebenswichtiger Interessen.
  5. Die Datenverarbeitung ist für die Ausführung einer Aufgabe öffentlichen Interesses oder der Ausübung behördlicher Weisungsbefugnis unerlässlich.
  6. Die Datenverarbeitung ist zwecks Vertretung eines rechtmäßigen Interesses unerlässlich.

Rail Partner Deutschland GmbH hat im Verzeichnis der Verarbeitungstätigkeiten angegeben, auf welchen Grundsatz sich die jeweilige Verarbeitungstätigkeit personenbezogener Daten bezieht.

8) Speichern strafrechtlicher Personendaten
Rail Partner Deutschland GmbH speichert keine strafrechtlichen personenbezogenen Daten.

9) Screening und polizeiliches Führungszeugnis
Rail Partner Deutschland GmbH erkennt die Notwendigkeit, zuverlässige Mitarbeiter einzustellen und zu beschäftigen. Darum führen wir bereits in der Bewerbungsphase ein Screening unserer Bewerber durch. Hierüber wird der Bewerber vorab informiert und Ergebnisse werden hinterher mitgeteilt. Der Lebenslauf wird geprüft und mit Einverständnis des Bewerbers auch die Referenzen.

10) Besondere personenbezogene Daten
Die nachfolgenden Daten werden in der DSGVO als besondere personenbezogene Daten klassifiziert:

  • Personenbezogene Daten zu Rasse oder ethnischer Herkunft:
  • Personenbezogene Daten die politische Überzeugungen enthalten;
  • Personenbezogene Daten die religiöse oder ideologische Zugehörigkeit enthüllen;
  • Personenbezogene Daten zur Mitgliedschaft einer Gewerkschaft;
  • Personenbezogene Daten zur Gesundheit;
  • Personenbezogene Daten zu sexuellem Verhalten oder Sexualorientierung;
  • Genetische Informationen;
  • Biometrische Angaben im Hinblick auf die Identifizierung einer Person.

Die DSGVO verbietet die Verarbeitung besonderer personenbezogener Daten.

Im Hinblick auf einen der Grundsätze für die Verarbeitung von „normalen“ personenbezogenen Daten und die nachfolgenden Ausnahmen kann es vorkommen, dass Rail Partner Deutschland GmbH die nachfolgenden besonderen personenbezogenen Daten speichert:

  • Daten über Ihre Gesundheit: Dies tun wir zum Beispiel im Rahmen eines Wiedereingliederungsplanes, um beurteilen zu können, ob die Arbeiten in angepasster Form wieder aufgenommen werden können. Oder zum Beispiel, um beurteilen zu können, ob der Arbeitsplatz angepasst werden muss.
  • Religiöse oder ideologische Zugehörigkeit: Dies ist für uns wichtig zu wissen, wenn Sie zum Beispiel an Sonntagen oder an bestimmten Feiertagen nicht arbeiten können oder dürfen.

Zudem ist die Verarbeitung personenbezogener Daten im Verzeichnis aller Verarbeitungstätigkeiten zu finden

11) Bewusstseinsbildung
Rail Partner Deutschland GmbH hat ein DSGVO-Team gegründet, dem der Betriebssicherheitsmanager, der Geschäftsführer und ein externer Berater angehören.
Das DSGVO-Team bewertet die Auswirkungen der neuen Datenschutzverordnung auf unsere aktuellen Prozesse, Dienstleistungen und Waren, und untersucht, welche Maßnahmen notwendig sind, um den Anforderungen der DSGVO zu entsprechen.
Der Betriebsrat hat ein Vetorecht im Hinblick auf die internen Richtlinien zur Verarbeitung personenbezogener Daten von Mitarbeitern.
Rail Partner Deutschland GmbH hat keinen Betriebsrat. Die Einführung von Maßnahmen aufgrund der DSGVO ist jedoch mit den Führungskräften besprochen. Mitarbeiter, Kunden und Dritte wurden über die Webseite informiert.

12) Schutz personenbezogener Daten gemäß DSGVO
Wenn wir Ihre persönlichen Daten speichern, haben Sie die nachfolgenden Rechte:

  • Das Recht der Datenübertragbarkeit. Das ist das Recht, personenbezogene Daten zu übertragen.
  • Das Recht auf Löschung. Das Recht auf Vergessenwerden.
  • Das Auskunftsrecht. Das ist das Recht auf Auskunft darüber, welche auf Sie bezogenen Daten gespeichert werden.
  • Das Recht auf Berichtigung und Ergänzung. Das ist das Recht, auf Sie bezogene Daten zu ändern.
  • Das Recht auf Einschränkung der Datenverarbeitung: Das Recht, weniger Daten verarbeiten zu lassen.
  • Das Recht im Bezug auf automatisierte Entscheidungsfindung und Profilierung. Oder auch: das Recht auf ein menschliches Augenmaß bei der Entscheidungsfindung.
  • Das Recht, Widerspruch gegen die Datenverarbeitung einzulegen.
  • Das Recht auf deutliche Informationen darüber, was wir mit Ihren persönlichen Daten tun.

Bitte wenden Sie sich an unsere Personalabteilung, um Ihre personenbezogenen Daten einzusehen, zu erhalten, zu übertragen, zu ändern, einzuschränken oder zu löschen. Rail Partner Deutschland GmbH wird Ihr Anliegen bearbeiten und Sie in jedem Fall innerhalb eines Monats nach Antragseingang informieren, welche Schritte unternommen wurden. Eine Ablehnung werden wir in allen Fällen ausführlich begründen.

Sollten Sie Einspruch gegen die (weitere) Verarbeitung Ihrer personenbezogenen Daten einlegen wollen, dann können Sie sich auch mit unserem Betriebssicherheitsmanager in Verbindung setzen. Rail Partner Deutschland GmbH wird den Einspruch sofort, auf jeden Fall innerhalb eines Monats, bearbeiten, und die betreffenden personenbezogenen Daten löschen, es sei denn, wir unterliegen einer gesetzlichen Aufbewahrungspflicht.

13) Beschwerderecht
Für eventuelle Beschwerden über die Art und Weise, wie wir Ihre personenbezogenen Daten speichern oder Ihre Anträge bearbeiten, setzen Sie sich bitte mit unserem Datenschutzverantwortlichen in Verbindung. Sollte dies nicht zu einer passenden Lösung führen, dann haben Sie natürlich jederzeit das Recht, eine Beschwerde bei der jeweiligen Aufsichtsbehörde einzureichen.

Für eventuelle Fragen oder Bemerkungen zum Datenschutz oder zu dieser Datenschutzerklärung wenden Sie sich bitte an unseren Betriebssicherheitsmanager.

14) Entscheidungsfindung
Rail Partner Deutschland GmbH bedient sich keiner Systeme zur automatisierten Entscheidungsfindung und Profilierung. Entscheidungen werden in unserem Unternehmen ausschließlich von Menschen getroffen.
Zum Beispiel über die Einstellung neuer Mitarbeiter und die Führung der Personalakten.

15) Sicherheit
Zum Schutz personenbezogener Daten hat Rail Partner Deutschland GmbH passende technische und organisatorische Maßnahmen getroffen. Hiermit werden personenbezogene Daten vor unerlaubter oder rechtswidriger Verarbeitung, sowie gegen unbeabsichtigten Verlust, Vernichtung oder Beschädigung geschützt.

Die von Rail Partner Deutschland GmbH getroffenen Maßnahmen werden im Verzeichnis der Verarbeitungstätigkeiten festgehalten.

16) Speicherung personenbezogener Daten über eine Webseite (HTTPS)
Rail Partner Deutschland GmbH schützt ihre Webseite mit HTTPS.
Damit ist die Verarbeitung personenbezogener Daten gesichert.

17) Auftragsverarbeiter
Rail Partner Deutschland GmbH hat mit allen Auftragsverarbeitern (Dienstleister des öffentlichen Rechts und Lieferanten) eine Vereinbarung getroffen die Parteien verpflichtet, die Datenschutz-Grundverordnung (DSGVO) einzuhalten. Eine Liste aller Verarbeiter ist bei unserem Datenschutzbeauftragten erhältlich.

Siehe Verzeichnis der Verarbeitungstätigkeiten

18) Verzeichnis der Verarbeitungstätigkeiten
Rail Partner Deutschland GmbH führt ein Verzeichnis aller Verarbeitungstätigkeiten. In diesem Verzeichnis ist unter anderem zu finden:

  • Welche personenbezogenen Daten wir verarbeiten.
  • Auf welchen Grundsatz der DSGVO diese Datenverarbeitung sich bezieht.
  • Mit welchem Ziel wir diese Daten verarbeiten.
  • Mit wem wir die personenbezogenen Daten teilen (auch Empfänger oder Auftragsverarbeiter genannt).
  • Die Aufbewahrungsfrist dieser Daten.
  • Wenn die Daten von einer anderen Organisation bezogen wurden: die Datenquelle.
  • Eventueller Austausch mit Ländern außerhalb der EU.
  • Sicherheitsmaßnahmen
  • Ein Verzeichnis möglicher Datenlecks.

Dieses Verzeichnis ist bei unserem Betriebssicherheitsmanager einzusehen.

Siehe Verzeichnis der Verarbeitungstätigkeiten

19) Aufbewahrungsfristen

Rail Partner Deutschland GmbH verarbeitet und speichert Ihre personenbezogenen Daten für die Dauer Ihres Arbeitsverhältnisses bis spätestens ein Jahr nach Ende des Arbeitsverhältnisses. Unmittelbar nach Ablauf dieser Aufbewahrungsfrist werden personenbezogene Daten vernichtet und/oder anonymisiert, soweit keine gesetzliche Verpflichtung (zum Beispiel aus dem Steuerrecht) besteht, bestimmte personenbezogenen Daten länger aufzubewahren. In diesem Fall werden ausschließlich diese speziellen personenbezogenen Daten für den Zeitraum der gesetzlich vorgeschriebenen Aufbewahrungspflicht gespeichert.

Sind Sie unser Kunde oder Lieferant oder anderer Dritter, dann speichern wir Ihre personenbezogenen Daten für die Dauer der Vereinbarung bzw. des Vertrages und bis spätestens ein Jahr nach Vertragsende, es sei denn, es gelten andere gesetzlichen Vorschriften.

Siehe Verzeichnis der Verarbeitungstätigkeiten

20) Verarbeitung großer Datenvolumen
Die Verarbeitung von großen Datenvolumen wie zum Beispiel bei

  • der Nachverfolgung von Einzelpersonen, oder
  • der Verarbeitung besonderer personenbezogener Daten von Einzelpersonen ist kein Bestandteil des Hauptgeschäftes von Rail Partner Deutschland GmbH

21) Kriterien für die Verarbeitung großer Datenvolumen

  • Die Zahl der Betroffenen (der Menschen, deren Daten verarbeitet werden).
  • Das Volumen der Daten die wir verarbeiten.
  • Die Dauer der Datenverarbeitung.
  • Der geografische Geltungsbereich der Verarbeitung

Aus den oben genannten Kriterien ergibt sich, dass Rail Partner Deutschland GmbH nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und eine Datenschutz-Folgenabschätzung zu erstellen.

22) Datenschutz-Folgenabschätzung
Aus der Art ihres Geschäftsbetriebes ergibt sich, dass Rail Partner Deutschland GmbH nicht verpflichtet ist ein DPIA (Data Protection Impact Assessment) zu erstellen.

23) Privacy by Design
Rail Partner Deutschland GmbH achtet bereits beim Entwurf von Produkten und Dienstleistungen auf den Schutz personenbezogener Daten.
Zudem speichern wir nur die Daten, die für die Zielsetzung der jeweiligen Verarbeitung notwendig sind und bewahren wir diese nicht länger als notwendig auf.

24) Privacy by Default
Rail Partner Deutschland GmbH ergreift technische und organisatorische Maßnahmen, die dafür sorgen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, die für unser jeweiliges Ziel unbedingt notwendig sind.

25) Meldepflicht Datenlecks
Im Falle eines Datenlecks tritt unser Protokoll für Datenlecks in Kraft.
Alle Datenlecks werden von Rail Partner Deutschland GmbH über das Meldeformular Datenleck erfasst und im Verzeichnis für Datenlecks registriert.
Dies gibt der zuständigen Datenschutzbehörde (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) die Möglichkeit zu kontrollieren, ob wird uns an die Meldepflicht gehalten haben. Zur Meldung eines (möglichen) Datenlecks wenden Sie sich bitte an Ihre(n)Vorgesetzte(n) oder den Datenschutzbeauftragten.

Siehe Anlage Protokoll für Datenlecks
Siehe Anlage Meldeformular Datenleck
Siehe Verzeichnis der Verarbeitungstätigkeiten (Blatt Datenleck-Verzeichnis)

26) Verantwortlichkeitspflicht
Rail Partner Deutschland GmbH kommt ihrer Verantwortlichkeitspflicht nach und liefert damit einen wichtigen Beitrag zum Grundrecht der Menschen auf ihre Privatsphäre.
Mit der vorliegenden Datenschutzerklärung weisen wir nach, dass unsere Datenverarbeitung den Vorschriften der zuständigen Datenschutzbehörde entspricht.

Die Datenverarbeitung entspricht den wichtigsten Grundsätzen der Verarbeitung, wie

  • Rechtsgültigkeit
  • Transparenz
  • Zweckbindung
  • Genauigkeit

27) DSGVO-Anlagen
DSGVO Anlage 1 Verzeichnis der Verarbeitungstätigkeiten

  1. Datenschutzverantwortlicher
  2. Auftragsverarbeiter
  3. Verarbeitungstätigkeiten Mitarbeiter
  4. Verarbeitungstätigkeiten Kunden
  5. Sicherheitsmaßnahmen
  6. Verzeichnis von Datenlecks

DSGVO Anlage 2 Stellenbeschreibung Datenschutzverantwortlicher (DSGVO-Verantwortlicher)
DSGVO Anlage 6 Genehmigungsformular Beteiligter
DSGVO Anlage 7 Protokoll für Datenlecks
DSGVO Anlage 8 Meldeformular Datenleck

Die DSGVO-Anlagen sind bei unserem Datenschutzveranwortlichen (Betriebssicherheitsmanager) einzusehen.