In dieser Datenschutzerklärung erläutert Red Harvest B.V., wie das Unternehmen tagtäglich mit personenbezogenen Daten und Datenschutz umgeht und was gesetzlich erlaubt bzw. nicht erlaubt ist.
Datenschutz spielt eine wichtige Rolle in der Beziehung zwischen dem Kunden und Red Harvest B.V und wird somit großgeschrieben. Red Harvest B.V. ist für personenbezogene Daten und den Datenaustausch in allen Bereichen, in denen das Unternehmen tätig ist, verantwortlich. Red Harvest B.V. ist verpflichtet, sorgfältig und sicher, verhältnismäßig und vertraulich mit der Erhebung, Speicherung und Verwaltung von personenbezogenen Daten von Kunden, Mitarbeitern und (Lieferketten-)Partnern umzugehen. Ein richtiger und sorgfältiger Umgang mit personenbezogenen Daten ist eine tägliche Aufgabe von Red Harvest B.V. Der Datenschutz ist eine komplexe Angelegenheit und wird durch technologische Entwicklungen, große Herausforderungen auf dem Gebiet der Sicherheit und neue europäische Gesetze immer komplexer. Deshalb ist es uns wichtig, transparent über unseren Umgang mit personenbezogenen Daten und die Gewährleistung des Datenschutzes zu sein.
1. Gesetzgebung und Definitionen
Derzeit hat jeder Mitgliedstaat der Europäischen Union ein eigenes Datenschutzgesetz, das auf der EU-Richtlinie von 1995 basiert. In den Niederlanden regelt das „Wet bescherming persoonsgegevens“ (Wbp) den rechtlichen Rahmen für den Umgang mit personenbezogenen Daten. Am 25. Mai 2018 wird das Wbp aufgehoben und die europäische Datenschutz-Grundverordnung (DSGVO) tritt gemeinsam mit dem Durchführungsgesetz in Kraft. Die DSGVO stellt eine Verbesserung des Wbp dar und sorgt unter anderem für die Stärkung und den Ausbau der Datenschutzrechte mit mehr Verantwortung für Unternehmen.
Die folgenden Begriffe werden in der DSGVO verwendet (Artikel 4 der DSGVO):
- Betroffene Person: Dies ist die Person, von der die personenbezogenen Daten stammen. Die betroffene Person ist jene Person, deren Daten verarbeitet werden.
- Auftragsverarbeiter: Dies ist die Person oder das Unternehmen, die/das die personenbezogenen Daten im Auftrag einer anderen Person oder eines anderen Unternehmens verarbeitet.
- Personenbezogene Daten: Dies sind alle Informationen, die sich auf Personen beziehen und die auf eine identifizierbare Person zurückgeführt werden können. Es handelt sich dabei nicht nur um vertrauliche Daten wie über die Gesundheit, sondern um alle Daten, die auf eine bestimmte Person zurückzuführen sind (z. B. Name, Adresse, Geburtsdatum). Neben normalen personenbezogenen Daten gibt es in der Verordnung auch besondere Kategorien von personenbezogenen Daten. Dabei handelt es sich um Daten, die sich auf sensible Aspekte wie ethnische Herkunft oder politische Meinung beziehen, oder um die niederländische Burgerservicenummer (BSN).
- Datenschutz-Folgenabschätzung: Mit einer Datenschutz-Folgenabschätzung werden die Auswirkungen und Risiken neuer oder bestehender Verarbeitungsvorgänge in Bezug auf den Datenschutz beurteilt. Hierfür wird manchmal auch die englische Bezeichnung „Privacy Impact Assessment“ (PIA) verwendet.
- Verantwortlicher: Dies ist eine Person oder Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Verarbeitung: Eine Verarbeitung ist alles, was man mit personenbezogenen Daten macht, wie das Erheben, das Erfassen, die Speicherung, die Verknüpfung, die Übermittlung an andere und die Vernichtung.
2. Geltungsbereich
Die DSGVO gilt für alle Verarbeitungsvorgänge personenbezogener Daten in allen Bereichen und durch alle Personen bei Red Harvest B.V. oder den von Red Harvest B.V. beauftragten Dritten. Anders gesagt: für alle Verarbeitungsvorgänge, die bei oder im Namen von Red Harvest B.V. stattfinden.
3. Verantwortlich
Alle Bereiche bei Red Harvest B.V. sind für die Verarbeitungsvorgänge verantwortlich, die von Red Harvest B.V. selbst oder in dessen Auftrag durchgeführt werden. Zu den Bereichen von Red Harvest B.V. zählen unter anderem Wirtschaftsprüfer, Steuerexperten, Juristen, Wirtschaftswissenschaftler, Berater und Personalabteilungen.
4. Bearbeitung (Artikel 4, DSGVO)
Eine Verarbeitung personenbezogener Daten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe in Zusammenhang mit personenbezogenen Daten. In der DSGVO gehört zur Verarbeitung:
- Erheben, Erfassen und Ordnen
- Speicherung, Anpassung und Veränderung
- Auslesen, Abfragen und Verwendung
- Offenlegung durch Übermittlung
- Verbreitung oder eine andere Form der Bereitstellung
- Abgleich oder Verknüpfung
- Einschränkung, Löschen oder Vernichtung
Diese Aufzählung zeigt, dass alles, was man mit personenbezogenen Daten macht, eine Verarbeitung ist.
Zwecke (Artikel 5 DSGVO)
Laut DSGVO dürfen personenbezogene Daten nur erhoben werden, wenn es dafür einen bestimmten Zweck gibt. Der Zweck muss ausdrücklich beschrieben und rechtmäßig sein (bei Red Harvest B.V. erfüllen wir dies durch das Verarbeitungsverzeichnis). Die Daten dürfen nicht für andere Zwecke verarbeitet werden.
Zulässige Rechtsgrundlage (Artikel 6 DSGVO)
Die DSGVO besagt, dass für jede Verarbeitung personenbezogener Daten eine laut DSGVO zulässige Rechtsgrundlage vorhanden sein muss. Dies bedeutet, dass eine Verarbeitung nur in den folgenden Fällen stattfinden darf:
- um eine rechtliche Verpflichtung zu erfüllen,
- für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
- um lebenswichtige Interessen der betroffenen Person zu schützen,
- zur Wahrnehmung der Aufgaben von Red Harvest B.V.,
- wenn die betroffene Person ihre Einwilligung zu der spezifischen Verarbeitung gegeben hat.
Formen der Verarbeitung
Die Grundregel für die Verarbeitung personenbezogener Daten ist, dass die Verarbeitung nur in Übereinstimmung mit der Verordnung und auf sorgfältige Weise erlaubt ist. Personenbezogene Daten werden möglichst bei der betroffenen Person selbst erhoben. Die Verordnung geht vom Subsidiaritätsprinzip aus. Dies bedeutet, dass eine Verarbeitung nur erlaubt ist, wenn der Zweck nicht auf eine andere Weise erreicht werden kann. In der Verordnung wird auch von Verhältnismäßigkeit gesprochen. Dies bedeutet, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn dies im Hinblick auf den Zweck verhältnismäßig ist. Wenn mit keinen oder weniger (belastenden) personenbezogenen Daten derselbe Zweck erreicht werden kann, muss immer diese Option gewählt werden.
Red Harvest B.V. sorgt dafür, dass die personenbezogenen Daten richtig und vollständig sind, bevor sie verarbeitet werden. Diese Daten werden nur von Personen verarbeitet, die einer Geheimhaltungspflicht unterliegen. Zudem gewährleistet Red Harvest B.V. die Sicherheit aller personenbezogenen Daten. Dies soll verhindern, dass die personenbezogenen Daten von einer unbefugten Person abgerufen oder verändert werden können. Wie Red Harvest B.V. dies macht, steht in der Datensicherheitserklärung von Red Harvest B.V.
Datenübermittlung (Artikel 44 bis 50 DSGVO)
Option 1: Datenübermittlung
Red Harvest B.V. übermittelt keine personenbezogenen Daten an Länder außerhalb des Europäischen Wirtschaftsraums (EWR) oder an internationale Unternehmen.
Option 2: Datenübermittlung
Red Harvest B.V. übermittelt nur aufgrund von genehmigten Vereinbarungen der Europäischen Kommission personenbezogene Daten an Länder außerhalb des Europäischen Wirtschaftsraums (EWR) oder an internationale Unternehmen.
5. Transparenz und Kommunikation
Informationspflicht (Artikel 13, 14 DSGVO)
Red Harvest B.V. informiert betroffene Personen über die Verarbeitung personenbezogener Daten. Wenn betroffene Personen Red Harvest B.V. Daten übermitteln, werden sie darüber informiert, wie Red Harvest B.V. mit personenbezogenen Daten umgeht. Die betroffene Person wird nicht nochmals informiert, wenn sie bereits weiß, dass Red Harvest B.V. personenbezogene Daten erhebt und verarbeitet sowie warum und für welchen Zweck dies passiert.
Löschung
Red Harvest B.V. speichert die personenbezogenen Daten nicht länger, als es für die Erfüllung der Aufgaben oder rechtlichen Verpflichtungen wie der Speicherfristen nötig ist. Sollten noch personenbezogene Daten gespeichert sein, die nicht mehr für das Erreichen des Zwecks benötigt werden, werden sie so schnell wie möglich gelöscht. Dies bedeutet, dass diese Daten vernichtet oder so geändert werden, dass diese Informationen nicht mehr dazu verwendet werden können, jemanden zu identifizieren.
Rechte betroffener Personen (Artikel 13 bis 20 DSGVO)
Die DSGVO definiert nicht nur die Pflichten jener, die personenbezogene Daten verarbeiten, sondern auch die Rechte der Personen, deren Daten verarbeitet werden. Diese Rechte werden auch „Rechte betroffener Personen“ genannt und es handelt sich um das Folgende:
- Recht auf Unterrichtung: Betroffene Personen haben das Recht, Red Harvest B.V. zu fragen, ob ihre personenbezogenen Daten verarbeitet werden.
- Auskunftsrecht: Betroffene Personen haben das Recht, zu kontrollieren, ob und auf welche Weise ihre Daten verarbeitet werden.
- Recht auf Berichtigung: Wenn klar wird, dass die Daten nicht stimmen, kann die betroffene Person von Red Harvest B.V. verlangen, diese zu berichtigen.
- Recht auf Einschränkung der Verarbeitung: Betroffene Personen haben das Recht, von Red Harvest B.V. zu verlangen, ihre personenbezogenen Daten nicht mehr zu verwenden.
- Recht auf Vergessenwerden: In Fällen, in denen betroffene Personen ihre Einwilligung in die Datenverarbeitung gegeben haben, haben sie das Recht, die personenbezogenen Daten löschen zu lassen.
- Widerspruchsrecht: Betroffene Personen haben das Recht, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen. Red Harvest B.V. wird dies erfüllen, sofern nicht zulässige Rechtsgrundlagen für die Verarbeitung vorliegen.
Antrag einbringen
Um diese Rechte auszuüben, kann die betroffene Person einen Antrag einbringen. Dieser Antrag kann sowohl mündlich als auch schriftlich und per E-Mail eingebracht werden. Red Harvest B.V. hat nach Erhalt des Antrags vier Wochen Zeit, um zu beurteilen, ob der Antrag gerechtfertigt ist. Innerhalb von vier Wochen wird Red Harvest B.V. mitteilen, was mit dem Antrag passiert. Aufgrund eines Antrags kann Red Harvest B.V. ergänzende Informationen anfordern, um die Identität der betroffenen Person festzustellen.
6. Automatisierte Bearbeitung
Profiling (Artikel 22 DSGVO)
nicht zutreffend
Big Data und Tracking
nicht zutreffend
7. Pflichten der Red Harvest B.V.
Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO)
Red Harvest B.V. muss ein Verzeichnis aller Verarbeitungstätigkeiten, für die Red Harvest B.V. der Verantwortliche ist, führen. Jedes Verzeichnis enthält eine Beschreibung dessen, was während einer Verarbeitung passiert und welche Daten dafür verwendet werden, nämlich:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des
- gemeinsam mit ihm Verantwortlichen,
- die Zwecke der Verarbeitung,
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- die Kategorien von Empfängern der personenbezogenen Daten,
- eine Beschreibung der Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
- eine allgemeine Beschreibung der Sicherheitsmaßnahmen.
Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)
Mit einer Datenschutz-Folgenabschätzung werden die Auswirkungen und Risiken neuer oder bestehender Verarbeitungsvorgänge in Bezug auf den Datenschutz beurteilt. Red Harvest B.V. führt diese durch, wenn eine automatisierte oder umfangreiche Verarbeitung erfolgt. Dies gilt im Besonderen bei Verarbeitungsvorgängen, für die neue Technologien verwendet werden.
Benennung eines Datenschutzbeauftragten (Artikel 37 bis 39 DSGVO)
Red Harvest B.V. ist gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Allerdings gibt es eine DSGVO-Kerngruppe, die als Ansprechpartner für Red Harvest B.V. dient.
Datenlecks (Artikel 33, 34 DSGVO)
Wir sprechen von einem Datenleck, wenn personenbezogene Daten in die Hände Dritter gelangen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind. Wenn ein Datenleck stattgefunden hat, meldet Red Harvest B.V. dies unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde (Autoriteit Persoonsgegevens). Erfolgt diese Meldung nicht binnen 72 Stunden, wird ihr eine Begründung für die Verzögerung beigefügt. Es kann sein, dass eine Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. In diesem Fall benachrichtigt Red Harvest B.V. die betroffene Person unverzüglich und in klar verständlicher Sprache von der Verletzung. Um zukünftige Datenlecks zu verhindern, werden bestehende Datenlecks evaluiert und nötigenfalls wird etwas unternommen, um eine solche Situation in Zukunft zu vermeiden.