Bové Montero
Bové Montero Cerrar

Datenschutzrichtlinie

  1. Start
  2. Datenschutzrichtlinie

Einleitung

Das Ziel dieser Richtlinie ist es, die Leitlinien festzulegen, die auf allen Ebenen des Unternehmens in Bezug auf den Schutz personenbezogener Daten befolgt werden müssen.

Diese Richtlinie enthält eine Beschreibung der Schlüsselelemente – sowohl personeller als auch organisatorischer, technologischer und dokumentarischer Art –, die das Unternehmen anwendet, um personenbezogene Daten zu schützen und Verstöße gegen die Rechte und Freiheiten der betroffenen Personen zu verhindern.

Auf allen Ebenen des Unternehmens wird sichergestellt, dass die in dieser Richtlinie festgelegten Leitlinien zum Datenschutz tatsächlich und effektiv angewendet werden, sodass dieses Selbstregulierungssystem dazu beiträgt, Verhaltensweisen zu eliminieren, die ein Risiko für die vom Unternehmen verarbeiteten personenbezogenen Daten darstellen könnten.

1. Anwendungsbereich

  • Gesellschaftlicher Bereich. – Diese Richtlinie gilt für BOVÉ MONTERO Y ASOCIADOS, S.L. (im Folgenden „die Einheit“).
  • Personeller Bereich. – Diese Richtlinie gilt für alle Ebenen der Einheit, einschließlich der Verwaltungsorgane, der leitenden Angestellten, der Kontrollorgane und des gesamten Personals.
  • Beziehungsbereich. – Der Anwendungsbereich dieser Richtlinie erstreckt sich, soweit möglich, auf Lieferanten, Berater, Kunden und andere Dritte des Unternehmens.
  • Geografischer Bereich. – Diese Richtlinie gilt für die öffentlichen und privaten Beziehungen, die das Unternehmen in jedem geografischen Bereich eingeht.

2. Anwendbare Vorschriften

Diese Richtlinie ist an die folgenden Vorschriften angepasst:

  • Allgemeine Datenschutzverordnung der EU (DSGVO)
  • Organgesetz 3/2018 vom 5. Dezember zum Schutz personenbezogener Daten und zur Gewährleistung digitaler Rechte
  • Gesetz 34/2002 vom 11. Juli über Dienstleistungen der Informationsgesellschaft und den elektronischen Geschäftsverkehr
  • Organgesetz 1/1982 vom 5. Mai über den zivilrechtlichen Schutz des Rechts auf Ehre, persönliche und familiäre Privatsphäre sowie auf das eigene Bild

Diese Richtlinie wird an die gesetzlichen Änderungen angepasst, die sich ergeben, sowie an die in folgenden Dokumenten festgelegten Kriterien:

  • Leitlinien, Berichte und Beschlüsse der spanischen Datenschutzbehörde
  • Leitlinien, Berichte und Beschlüsse der Aufsichtsbehörden der übrigen Mitgliedstaaten der Europäischen Union
  • Die Arbeitsgruppe nach Artikel 29
  • Urteile des Europäischen Gerichtshofs
  • Urteile der spanischen Audiencia Nacional, des Obersten Gerichtshofs und des Verfassungsgerichts

3. Geschäftsrisiken im Bereich des Datenschutzes

Das Unternehmen übt seine Haupttätigkeit als Dienstleister in den Bereichen Wirtschaftsprüfung, Beratung, Buchhaltungs-, Rechts-, Steuer- und Arbeitsrechtsberatung aus.

Die besondere Natur personenbezogener Daten, die Komplexität der geltenden Vorschriften und die Höhe der in diesen festgelegten Sanktionen bergen Risiken wie unbefugten Zugriff, unbefugte Kopie, Weitergabe oder Übermittlung an Dritte sowie andere Verstöße, die in der DSGVO und den lokalen Vorschriften vorgesehen sind.

Die Risiken, die sich aus der Nichteinhaltung der gesetzlichen Verpflichtungen im Bereich des Datenschutzes ergeben, sind folgende:

  • Verwaltungssanktionen
  • Straftaten gegen die Privatsphäre
  • Schadensersatzansprüche
  • Reputationsschäden

Der Schutz personenbezogener Daten ist einer der zentralen Werte der Einheit und ein vorrangiges Ziel des Unternehmens. Er erfordert eine Reihe von juristischen, technischen und organisatorischen Maßnahmen, die in dieser Richtlinie zusammengefasst und in den internen Vorschriften und Verfahren der Einheit detailliert beschrieben sind.

4. Ziele des Datenschutzes

Die Datenschutzziele des Unternehmens sind mit den Geschäftszielen abgestimmt, wobei die Einhaltung der gesetzlichen Verpflichtungen, die für die ausgeübte Tätigkeit gelten, oberste Priorität hat.

Der Datenschutz wird als wettbewerbsfähiger Vorteil angesehen, da er das Unternehmen von seinen Wettbewerbern unterscheidet, die die Privatsphäre ihrer Kunden und Partner nicht respektieren oder deren Daten unangemessen verarbeiten und damit das Risiko erheblicher Geldstrafen mit schwerwiegenden Reputationsfolgen eingehen.

Ein vorrangiges Ziel des Datenschutzes ist die Einhaltung der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) sowie des Organgesetzes zum Schutz personenbezogener Daten und zur Gewährleistung digitaler Rechte.

Auf allen Ebenen des Unternehmens besteht die Verpflichtung, die festgelegten Datenschutzziele sowie die in dieser Richtlinie enthaltenen Grundsätze und Pflichten einzuhalten.

Das Unternehmen kann Vorschriften und Verfahren ausarbeiten, die diese Richtlinie weiterentwickeln, konkretisieren und detailliert beschreiben.

5. Grundsätze des Datenschutzes

Die Datenschutzstrategie des Unternehmens wird die folgenden Grundsätze einhalten:

  • Grundsatz der Rechtmäßigkeit: Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn sie auf der Einwilligung der betroffenen Person oder einer anderen in der Gesetzgebung festgelegten Rechtsgrundlage beruht.
  • Grundsatz der Transparenz: Die betroffene Person muss über alle Aspekte der Datenverarbeitung informiert werden.
  • Grundsatz der Fairness: Personenbezogene Daten dürfen nicht unter anderen als den angegebenen Bedingungen verarbeitet werden.
  • Grundsatz der Zweckbindung: Personenbezogene Daten werden zu festgelegten, eindeutigen und legitimen Zwecken erhoben und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.
  • Grundsatz der Datenminimierung: Personenbezogene Daten müssen angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dieser Grundsatz sowie der vorherige werden in den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit weiter ausgeführt, die bei Datenschutz-Folgenabschätzungen angewendet werden.
  • Grundsatz der Richtigkeit: Personenbezogene Daten müssen richtig und, falls erforderlich, auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen.
  • Grundsatz der Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist, um die Identifizierung der betroffenen Personen zu ermöglichen.
  • Grundsatz der Integrität und Vertraulichkeit: Personenbezogene Daten müssen so verarbeitet werden, dass ein angemessenes Sicherheitsniveau gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen. Die Daten dürfen nur von autorisierten Nutzern eingesehen und nicht ohne entsprechende Genehmigung an Dritte weitergegeben werden.
  • Grundsatz der Rechenschaftspflicht: Das Unternehmen ist für die Einhaltung der Datenschutzvorschriften verantwortlich und muss in der Lage sein, diese Einhaltung nachzuweisen.
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: Vor der Einführung neuer Verarbeitungen, Projekte, Dienstleistungen und Produkte wird eine vorherige Bewertung der Auswirkungen auf den Datenschutz durchgeführt.

6. Rollen und Verantwortlichkeiten

Alle Rollen und Verantwortlichkeiten werden klar voneinander abgegrenzt und, soweit möglich, individuell in der Stellenbeschreibung zugewiesen. Zusätzlich zu dieser individuellen Zuweisung sind alle Personen des Unternehmens, unabhängig von ihrer Hierarchieebene, verpflichtet, die festgelegten Normen, Verfahren und Kontrollen im Bereich der Informationssicherheit einzuhalten.

Die oberste Verantwortung für die Kontrolle im Bereich des Datenschutzes liegt beim Ausschuss für Datenschutz und Informationssicherheit.

Das Unternehmen verfügt über Normen und Verfahren, in denen die Verpflichtungen des Personals im Bereich des Datenschutzes festgelegt sind.

Das Unternehmen wird die erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass das Personal seine Verpflichtungen im Bereich des Datenschutzes in verständlicher Weise kennt und versteht, sowie die Konsequenzen eines Verstoßes dagegen.

7. Verzeichnis der Verarbeitungstätigkeiten

Das Unternehmen wird ein Verzeichnis der Verarbeitungstätigkeiten führen, in dem die Details der als Verantwortlicher für die Verarbeitung genehmigten Verarbeitungen erfasst werden, sowie ein weiteres Verzeichnis für die als Auftragsverarbeiter durchgeführten Verarbeitungen.

Gemäß dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sowie der Tatsache, dass die Kontrollorgane nicht alle Aktivitäten im Zusammenhang mit personenbezogenen Daten in jeder Abteilung im Detail kennen können, muss jede neue Verarbeitung oder jede Änderung der ihr zugewiesenen Merkmale und Attribute im Verzeichnis der Verarbeitungstätigkeiten dem Datenschutzbeauftragten gemeldet werden. Dieser wird die Verarbeitung bewerten und genehmigen, sofern sie kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

Darüber hinaus wird das Unternehmen alle betroffenen Personen über die Verarbeitung personenbezogener Daten durch Informations- und Einwilligungsklauseln gemäß Artikel 13 und 14 der DSGVO informieren.

8. Risikoanalyse

Alle unter diese Sicherheitsrichtlinie fallenden Verarbeitungen müssen einer Risikoanalyse unterzogen werden, um die bestehenden Bedrohungen und Risiken zu bewerten. Diese Analyse wird regelmäßig wiederholt.

Das Unternehmen wird regelmäßig eine Analyse der Risiken und Bedrohungen durchführen, die sich auf den Datenschutz auswirken können.

Die Risikoanalyse erfolgt anhand einer Karte der inhärenten Risiken, in der die bestehenden Risiken vor der Implementierung von Präventions-, Erkennungs- und Minderungsmaßnahmen bewertet werden. Anschließend wird eine Karte der Restrisiken erstellt, in der die verbleibenden Risiken nach Anwendung der Kontrollmaßnahmen automatisiert bewertet werden.

9. Richtlinien zur Risikominimierung

Zur Verwaltung und Minimierung von Risiken wird die Einheit Sicherheitsmaßnahmen in den Bereichen physische Sicherheit, Personal, Verwaltung und Netzwerk anwenden, darunter:

  • Sicherheit des logischen Zugangs: Das Unternehmen setzt Sicherheitsmaßnahmen zum Schutz logischer Zugänge ein.
  • Logischer Zugang zu IT-Systemen: Die Einheit wird ein Zwei-Faktor-Authentifizierungssystem implementieren. Einerseits wird der Benutzer vom Systemadministrator zugewiesen und legt sein eigenes Passwort fest. Andererseits erhält der Benutzer einen Code zur Validierung dieser Authentifizierung.

Das Passwort wird immer unlesbar sein, selbst für den Administrator. Falls erforderlich (z. B. wenn der Benutzer sein Passwort vergessen hat), kann der Systemadministrator einen erzwungenen Passwortwechsel durch den Benutzer initiieren, ohne das vorherige Passwort zu kennen.

  • Zugangskontrolle zu Daten und Ressourcen:

Das Unternehmen wird Vorschriften und Verfahren ausarbeiten, die die in diesem Abschnitt genannten Kontrollmaßnahmen weiterentwickeln, konkretisieren und detailliert beschreiben.

  • Betriebssysteme: Alle in den IT-Systemen des Unternehmens verwendeten Betriebssysteme erfordern eine Validierung und Authentifizierung für den Zugriff und die Nutzung.
  • Virenschutz und Malware: Alle Unternehmenscomputer werden mit Antiviren- und Antimalware-Software ausgestattet, die regelmäßig aktualisiert wird. Darüber hinaus werden Firewalls eingesetzt, um den Netzwerkverkehr zu kontrollieren und nicht autorisierte Eindringlinge zu erkennen.

Die Benutzer werden regelmäßig über grundlegende Maßnahmen zur Vermeidung von Viren- und Malware-Befall informiert.

  • Benutzerverwaltung: Die Liste aller Benutzer mit autorisiertem Zugriff auf das Informationssystem muss regelmäßig aktualisiert werden, wobei ihre Zugriffsrechte so definiert werden, dass Vertraulichkeit und Integrität gewährleistet sind. Darüber hinaus wird das Unternehmen Zugriffs- und Überwachungsmaßnahmen für IT-Systeme durchführen, die den Mitarbeitern zur Verfügung gestellt werden, um die Informationen zu schützen.
  • Zugriffsbegrenzung: Um auf IT-Ressourcen zugreifen zu können, muss zuvor ein Benutzerkonto zugewiesen und in den Domänenservern registriert sein. Die Zugriffserlaubnis bestimmt das notwendige Profil, mit dem die Funktionen und Berechtigungen der Anwendungen entsprechend den Zuständigkeiten jedes Benutzers konfiguriert werden. Es wird eine Minimalberechtigungsstrategie angewendet. Außerdem wird die Zwei-Faktor-Authentifizierung für den Zugang zu den Domänenservern verwendet.
  • Wi-Fi- und drahtlose Netzwerksicherheit: Das Unternehmen wird angemessene Maßnahmen ergreifen, um unbefugten Zugriff auf das Wi-Fi-Netzwerk der Einheit zu verhindern.
  • Server und physische Speichermedien: Alle vertraulichen Informationen sowie personenbezogene Daten werden auf externen Servern von Anbietern gespeichert, die ein angemessenes Datenschutzniveau und Sicherheitsmaßnahmen gewährleisten.
  • Datensicherungen: Alle von Drittanbietern durchgeführten Backups enthalten alle notwendigen Informationen zur Wiederherstellung des Dienstes im Falle einer Datenkorruption oder eines Informationsverlusts (Daten, Programme, Konfigurationsdateien und sogar Server-Images). Die Backup-Protokolle und -Verfahren für die Datenwiederherstellung sind ebenfalls vorhanden.
  • Für alle relevanten Systeme werden Sicherheitsstandards festgelegt, die mindestens folgende Informationen enthalten: Häufigkeit der Backups, Aufbewahrungsfristen, Speicherorte, Wiederherstellungsprozesse und Verfahren zur Überprüfung der Integrität der gespeicherten Informationen.
  • Authentifizierung: Benutzer-IDs und Passwörter sind persönlich und nicht übertragbar. Der Benutzer ist allein verantwortlich für die Folgen eines Missbrauchs, einer Offenlegung oder eines Verlusts der Zugangsdaten.

Sicherheit am Arbeitsplatz: Die Mitarbeiter werden über die von der Einheit festgelegten Regeln zur Sicherheit am Arbeitsplatz informiert, darunter:

  • Automatische Sperrung von Geräten nach einer bestimmten Inaktivitätszeit mit Passwortreaktivierung.
  • Anwendung einer „papierlosen“ Politik an den Arbeitsplätzen.

Mobile Geräte: Das Unternehmen wird geeignete Sicherheitsmaßnahmen für firmeneigene mobile Geräte festlegen.

Alle Benutzer, die mobile Firmenendgeräte zugewiesen bekommen, sind verpflichtet, die spezifischen Nutzungsrichtlinien einzuhalten und die entsprechenden Sicherheitsmaßnahmen zu implementieren.

10. Vertragliche Verpflichtungen

Zusätzlich zu den gesetzlichen Anforderungen im Bereich des Datenschutzes ist das Unternehmen verpflichtet, auch die spezifischen Datenschutzanforderungen seiner Kunden und Lieferanten einzuhalten, wenn es im Rahmen seiner vertraglichen Beziehungen auf personenbezogene Daten zugreift.

Das Unternehmen wird besonderes Augenmerk auf die vertraglichen Verpflichtungen legen, die sich aus der Verarbeitung personenbezogener Daten ergeben.

Das Unternehmen wird ein Verzeichnis führen und regelmäßig aktualisieren, in dem es die Verpflichtungen im Zusammenhang mit dem Schutz personenbezogener Daten, auf die es zugreift oder die es verarbeitet, identifiziert und priorisiert.

Das Unternehmen wird regelmäßig überprüfen, ob die vertraglich übernommenen Datenschutzpflichten auf allen Ebenen des Unternehmens bekannt sind und eingehalten werden.

11. Kontrolle der Lieferanten aus Datenschutzsicht

Das Unternehmen wird ein Verzeichnis aller Lieferanten führen, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten oder direkten bzw. indirekten Zugang zu von der Einheit verwalteten personenbezogenen Daten haben.

Falls ein neuer Dienst erforderlich ist, der eine Verarbeitung personenbezogener Daten beinhaltet, wird das Unternehmen eine Auswahl der Lieferanten treffen und einen Bewertungsprozess durchführen, bei dem die in den Datenschutzgesetzen festgelegten Garantien berücksichtigt werden.

Bei dieser Bewertung wird den Lieferanten mit höheren Datenschutzgarantien Vorrang eingeräumt.

Die Beziehung zu Lieferanten, die personenbezogene Daten verarbeiten oder Zugang dazu haben, wird stets durch einen Vertrag geregelt. Dieser wird eine spezielle Klausel zu den Verpflichtungen des Lieferanten enthalten. Diese Verpflichtungen umfassen mindestens die in Artikel 28 der DSGVO festgelegten Anforderungen.

12. Aufbewahrungsfristen für Daten

Das Unternehmen wird personenbezogene Daten nur so lange speichern, wie es für die Zwecke der Verarbeitung erforderlich ist, sodass die Identifizierung der betroffenen Personen nur während des notwendigen Zeitraums möglich bleibt. Daher wird das Unternehmen eine Tabelle zur Aufbewahrungsfrist der zu speichernden oder als notwendig erachteten Daten erstellen und regelmäßig aktualisieren.

Bei der Erstellung dieser Tabelle werden die Verjährungsfristen für Verstöße sowie die Beschränkungen gemäß der DSGVO und dem spanischen Datenschutzgesetz (LOPDGDD) berücksichtigt. Ebenso werden gesetzliche, branchenspezifische und vertragliche Verpflichtungen beachtet, die eine längere Aufbewahrungsfrist erfordern können.

Das Unternehmen wird auch die Fristen berücksichtigen, die den betroffenen Personen bei der Information über ihre Rechte mitgeteilt werden.

Die Löschung der Dokumentation muss auf eine Weise erfolgen, die die Vertraulichkeit während des gesamten Prozesses gewährleistet.

13. Verwaltung von Sicherheitsverletzungen und Vorfällen

Das gesamte Personal der Einheit ist verpflichtet, die Datenschutzrichtlinie zu kennen und einzuhalten. Daher wird das Unternehmen eine kontinuierliche Schulungs- und Sensibilisierungsmaßnahme auf allen Ebenen des Unternehmens im Bereich Datenschutz fördern.

Die Schulung kann in Form von Präsenzsitzungen oder E-Learning-Kursen erfolgen.

Die Sensibilisierung kann auf jeder Art von Materialien und Kommunikations- sowie Schulungsinstrumenten basieren, die das Bewusstsein für das Risiko von Datenschutzverstößen auf allen Unternehmensebenen fördern.

Jeder Mitarbeiter ist dafür verantwortlich, diese Richtlinie und die daraus resultierenden Protokolle entsprechend seiner Position einzuhalten sowie erkannte Sicherheitsvorfälle zu melden.

14. Schulung und Sensibilisierung

Alle Mitarbeiter der Einheit sind verpflichtet, die Datenschutzrichtlinie zu kennen und einzuhalten. Daher wird das Unternehmen eine kontinuierliche Schulungs- und Sensibilisierungsmaßnahme auf allen Ebenen des Unternehmens in Bezug auf den Datenschutz fördern.

Die Schulung kann durch Präsenzveranstaltungen oder E-Learning-Kurse erfolgen.

Die Sensibilisierung kann auf unterschiedlichen Materialien und Kommunikationsinstrumenten basieren, die dazu dienen, auf allen Ebenen des Unternehmens ein Bewusstsein für Datenschutzverletzungen und deren Risiken zu schaffen.

Jeder Mitarbeiter ist dafür verantwortlich, diese Richtlinie und die daraus resultierenden Protokolle gemäß seiner Position einzuhalten sowie erkannte Sicherheitsvorfälle zu melden.

15. Vermeidung von Verstößen

Das Hauptziel des Unternehmens mit dieser Richtlinie und ihren Normen, Verfahren und Kontrollen besteht darin, Verstöße gegen die Rechte und Freiheiten der betroffenen Personen zu verhindern und die Datenschutzvorschriften einzuhalten.

Der zentrale Referenzrahmen für die Erfüllung dieses Ziels ist die DSGVO, die zwei Gruppen von Verstößen unterscheidet: schwere und sehr schwere.

Bei schweren Verstößen können Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. In diese Gruppe würden beispielsweise unzureichende technische oder organisatorische Maßnahmen, die Beauftragung von Auftragsverarbeitern ohne ausreichende Garantien oder die fehlende Meldung einer Datenschutzverletzung fallen.

Bei sehr schweren Verstößen können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. In diese Kategorie würden unter anderem unrechtmäßige Datenverarbeitung, unzulässige Einwilligung oder die Verletzung der Vertraulichkeitspflicht fallen.

16. Aktualisierung und Verbesserung dieser Richtlinie

Diese Richtlinie wird regelmäßig aktualisiert, um Änderungen und Verbesserungen im Bereich Datenschutz widerzuspiegeln. BOVE MONTERO Y ASOCIADOS, S.L. wird regelmäßig die Umsetzung der Präventions- und Kontrollmaßnahmen überprüfen und gegebenenfalls notwendige Anpassungen vornehmen, falls wesentliche Verstöße gegen diese Richtlinie, bedeutende Änderungen oder neue IT-Systeme innerhalb der Einheit festgestellt werden.