Wir freuen uns über Ihr Interesse an unserer Webseite. Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Nachstehend informieren wir Sie ausführlich über den Umgang mit Ihren Daten.

Besuch der Webseite von mika:timing

Sie können unsere Seite besuchen, ohne Angaben zu Ihrer Person zu machen. Bei einem Zugriff auf eine Seite aus unserem Internet-Angebot und bei jedem Abruf einer Datei werden auf unserem Web-Server  automatisch Daten über diesen Vorgang in einer Protokolldatei gespeichert und verarbeitet. Im Einzelnen werden über jeden Zugriff bzw. Abruf folgende Daten gespeichert:

• IP-Adresse des anfragenden Rechners

• Datum und Uhrzeit der Anfrage

• Aufgerufene Seite/Name der abgerufenen Datei

• Übertragene Datenmenge

• Meldung, ob der Zugriff/Abruf erfolgreich war

• Internet-Adresse, von der aus die Seite bzw. Datei abgerufen bzw. die gewünschte Funktion veranlasst wurde

• Verwendeter Web-Browser 

 

Die oben genannten Daten einschließlich der IP-Adresse werden während des     Kommunikationsvorgangs gespeichert, um die Nutzung unseres Internet-Angebots zu     gewährleisten. Eine kurzzeitige Speicherung der IP-Adresse gewährleistet zudem die IT-Sicherheit, insbesondere den Schutz unserer IT-Systeme vor Missbrauch und zur Abwehr von Angriffen.
Wir behalten uns vor, die Daten in anonymisierter Form für statistische Zwecke und zur Verbesserung unseres Internet-Angebots auszuwerten.

Einsatz von Cookies

Auf verschiedenen Seite verwenden wir Cookies, um den Besuch unserer Webseite für Sie optimal gestalten zu können und um die Nutzung bestimmter Funktionen zu ermöglichen. Hierbei handelt es sich um kleine Textdateien, die auf Ihrem Rechner abgelegt werden. Die (meisten) von uns verwendeten Cookies werden nach Ende der Browser-Sitzung wieder von Ihrer Festplatte gelöscht (sog, Sitzung Cookies). Andere Cookies verbleiben auf Ihrem Rechner und ermöglichen uns, Ihren Rechner bei Ihrem nächsten Besuch wieder zu erkennen (sog. Dauerhafte Cookies). Unseren Veranstaltungs- und Partnerunternehmen ist es nicht gestattet, über unsere Webseite personenbezogene Daten mittels Cookies zu erheben, zu verarbeiten oder zu nutzen.

Google Analytics

Unsere Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. Cookies, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt.
Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren.

Allgemeine Informationen zu Google Analytics und Datenschutz finden Sie unter https://www.google.com/intl/de_DE/analytics/learn/privacy.html

Piwik

Ähnlich Google Analytics verwenden wir Piwik, ein Open-Source-Programm für Webanalytik auf unserer Website. Dabei werden allerdings im Unterschied zu Google Analytics die datenschutzrechtlich sensiblen Logdaten auf unserem eigenen Server gespeichert. Auch Piwik verwendet Cookies, die auf Ihrem Rechner gespeichert werden. Sie haben die Möglichkeit der Web-Analyse mit Piwik zu widersprechen. Der Widerspruch wird in Form eines Opt-Out-Cookies abgelegt, so dass beispielsweise nach einem Löschen aller Cookies das Opt-Out erneut erklärt werden muss.
Wir weisen Sie darauf hin, dass auf dieser Webseite Piwik um das Anonymize-IP Plugin erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten.

Datenschutzleitlinie und Sicherheitskonzept zum Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten

 

Vorwort

mika:timing folgt den Vorgaben des deutschen Bundesdatenschutzgesetzes (BDSG).
Bei Veranstaltungen in der Schweiz weisen wir die Veranstalter auf den Datenschutz hin und ermutigen diese, die Datensammlung dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden.

Der Schutz personenbezogener Daten von Kunden, Mitarbeitern und Kunden der Auftraggeber ist aufgrund der zunehmenden Vernetzung der Informations- und Kommunikationssysteme insbesondere auch bei der Abwicklung von Sportveranstaltungen ein massgebliches Anliegen der mika:timing GmbH. 
Wesentliches Ziel dieser Leitlinie ist es daher, unseren Kunden, den Mitarbeitern und auch den Kunden unserer Auftraggeber einen einheitlichen und hohen Standard im Umgang mit ihren personenbezogenen Daten zu bieten.
Ein sorgsamer Umgang mit diesen Daten entspricht der Erwartung unserer Kunden und Auftraggeber und ist die Basis für eine vertrauensvolle Geschäftsbeziehung.
Bei der Abwicklung von Sportveranstaltungen wird der Veranstalter – als Auftraggeber – und die mika:timing GmbH aus Sicht der Teilnehmer als eine Einheit wahrgenommen. Die Umsetzung der aus der Datenschutzleitlinie folgenden Verpflichtungen und die Einhaltung der nationalen Datenschutzgesetze wird durch die Führungskräfte und Mitarbeiter im Unternehmen sichergestellt und leistet damit einen wesentlichen Beitrag zum gemeinsamen Erfolg. 
Geltungsbereich und Änderung der Leitlinie
Diese Datenschutzleitlinie gilt für die mika:timing GmbH und deren Mitarbeiter. 
Sie gilt für den Umgang mit allen personenbezogenen Daten von natürlichen Personen, insbesondere Daten von Kunden und Kunden der Auftraggeber sowie von Interessenten, Lieferanten und Mitarbeitern.
Eine Änderung dieser Leitlinie findet ausschliesslich durch den Datenschutzbeauftragten in Zusammenarbeit mit den Geschäftsführern der mika:timing GmbH statt.

Anzuwendende Rechtsvorschriften

Diese Datenschutzleitlinie beinhaltet die weltweit akzeptierten Datenschutzprinzipien, ohne dass bestehendes staatliches Recht ersetzt wird. Sie gilt immer, soweit sie nicht im Widerspruch zum jeweiligen staatlichen Recht steht; darüber hinaus ist das staatliche Recht anzuwenden, sofern dieses weitergehende Anforderungen stellt.
Das jeweilige staatliche Recht ist zu beachten, wenn es zwingende Abweichungen von dieser Datenschutzleitlinie enthält oder darüber hinausgeht. Die Inhalte dieser Datenschutzleitlinie sind auch dann zu beachten, wenn es kein entsprechendes staatliches Recht gibt.
Die vorliegende Leitlinie unterliegt im Übrigen dem Recht der Bundesrepublik Deutschland.

Datenschutzziele

Die Grundlage der Tätigkeit der mika:timing GmbH sind die Daten der Kunden und der Kunden der Auftraggeber, für die mika:timing die Daten im Auftrag verarbeitet. Diese Daten sind gegen Gefährdungen eines unzulässigen Zugriffs zu schützen. Neben diesem technischen Schutz erwarten die Kunden und Auftraggeber aber auch generell einen sorgsamen Umgang mit ihren Daten. Ohne eine vertrauensvolle Beziehung zu den Kunden und Auftraggebern sind dauerhafte Geschäftsbeziehungen nicht realisierbar. mika:timing hat diese Herausforderung erkannt und bekennt sich zu ihrer Verantwortung im Umgang mit den anvertrauten Daten. mika:timing gibt sich mit dieser Leitlinie einen Datenschutz- und Datensicherheitsstandard für die Verarbeitung personenbezogener Daten von Kunden und Auftraggebern.
Die Leitlinie unterstützt die Wettbewerbsfähigkeit der mika:timing GmbH und stellt eine Basis für eine dauerhafte und vertrauensvolle Geschäftsbeziehung dar.
Darauf aufbauend hat die mika:timing GmbH ihre Datenschutzziele definiert:

1. Wir behandeln die Daten unserer Kunden und Mitarbeiter fair und mit grösstem Respekt
2. Wir wählen unter Berücksichtigung der technischen und organisatorischen Möglichkeiten die Massnahmen zum Schutz der uns anvertrauten Daten sehr sorgfältig aus und setzen diese konsequent um.
3. Wir schaffen Vertrauen bei den Betroffenen durch Transparenz und Information.

Prinzipien der Datenverarbeitung

Die Prinzipien der Verarbeitung personenbezogener Daten sind unabhängig davon, ob es sich um Daten von Kunden und Mitarbeitern handelt, oder ob die Datenverarbeitung im Auftrag für Veranstalter von Sportveranstaltungen erfolgt. Dabei ist es ebenfalls unerheblich, ob die Datenverarbeitung in den Räumen der mika:timing GmbH oder vor Ort beim Auftraggeber im Rahmen einer Sportveranstaltung durchgeführt wird.

1. Fairness und Rechtmässigkeit
Bei der Verarbeitung personenbezogener Daten müssen die Persönlichkeitsrechte des Betroffenen gewahrt werden. Daten müssen fair und auf rechtmässige Weise verarbeitet werden.

2. Zweckbindung
Die Verarbeitung personenbezogener Daten darf lediglich die Zwecke verfolgen, die vor der Erhebung der Daten festgelegt wurden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich. Diese können aufgrund vertraglicher Vereinbarungen mit dem Betroffenen, einer Einwilligung des Betroffenen oder aufgrund staatlichen Rechts stattfinden.

3. Transparenz
Der Betroffene muss über den Umgang mit seinen Daten in geeigneter Art und Weise informiert werden. Grundsätzlich sind personenbezogene Daten bei dem Betroffenen selbst zu erheben. Bei Erhebung der Daten muss der Betroffene folgendes erkennen können oder entsprechend informiert werden über:

• Die Identität der verantwortlichen Stelle
• Den Zweck der Datenverarbeitung
  Aus der Information sollte hervorgehen, welche Daten warum und zu welchem Zweck wie lange gespeichert und/oder verarbeitet/genutzt werden.
• Dritte oder Kategorien von Dritten, an die die Daten gegebenenfalls übermittelt werden

Diese Informationen müssen dem Betroffenen bei der erstmaligen Erhebung der Daten sowie danach stets bei Bedarf zur Verfügung stehen.
Der Betroffene sollte über die Freiwilligkeit der Angabe von Daten für Zwecke des Marketings unterrichtet werden.

4. Datensparsamkeit
Vor einer Verarbeitung personenbezogener Daten muss geprüft werden ob und in welchem Umfang diese notwendig ist, um den mit der Verarbeitung angestrebten Zweck zu erreichen. Wenn es zur Erreichung des Zwecks möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Zweck steht, sind anonymisierte oder statistische Daten zu verwenden. Statistische Auswertungen oder Untersuchungen, die auf der Basis anonymisierter Daten erfolgen, sind nicht von dieser Leitlinie erfasst.
Personenbezogene Daten dürfen nicht auf Vorrat für potentielle zukünftige Zwecke gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben.
Daten, die nicht mehr benötigt werden, sollen unter Beachtung bestehender Aufbewahrungspflichten gelöscht werden.

5. Sachliche Richtigkeit, Datenaktualität
Personenbezogene Daten sind richtig und auf dem aktuellen Stand zu speichern. Es sind angemessene Massnahmen zu treffen, um sicherzustellen, dass nicht zutreffende oder unvollständige Daten gelöscht, berichtigt oder ergänzt werden.

6. Besonders schutzbedürftige Daten
Besonders schutzbedürftige personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen verarbeitet werden.
Die Verarbeitung muss aufgrund staatlichen Rechts ausdrücklich erlaubt oder vorgeschrieben sein; oder die Verarbeitung ist notwendig, um rechtliche Ansprüche gegenüber dem Betroffenen geltend zu machen, auszuüben oder zu verteidigen. Der Betroffene kann auch ausdrücklich in die Verarbeitung einwilligen.
Vor Beginn einer solchen Erhebung, Verarbeitung oder Nutzung ist der Datenschutzbeauftragte ordnungsgemäss schriftlich zu Rate zu ziehen, sofern dies erforderlich ist. Insbesondere sollten Art, Umfang, Zweck, Erfordernis und die Rechtsgrundlage der Verwendung der Daten berücksichtigt werden.

7. Need-To-Know Prinzip
Vor dem Hintergrund der immer flexibleren Arbeitsorganisation ist darauf zu achten, dass Mitarbeiter Zugang zu personenbezogenen Daten nur nach dem Need-To-Know Prinzip erhalten. Das Need-To-Know Prinzip bedeutet, dass Mitarbeiter nur nach Art und Umfang ihrer jeweiligen Aufgaben Zugang zu personenbezogenen Daten erhalten dürfen. Dies erfordert die sorgfältige Aufteilung und Trennung von Rollen und Zuständigkeiten und deren Umsetzung.

Weitergabe und Übermittlung

Für einige Geschäftsprozesse ist es notwendig, dass personenbezogene Daten von Kunden oder im Rahmen der Auftragsdatenverarbeitung an Dritte übermittelt werden. Wenn dies nicht aufgrund einer rechtlichen Verpflichtung erfolgt, muss jeweils geprüft werden, ob ein schutzwürdiges Interesse des Betroffenen entgegensteht.
Der Empfänger muss vertraglich darauf verpflichtet werden, die Daten nur zu den festgelegten Zwecken zu nutzen.
Eine Übermittlung an staatliche Einrichtungen oder Behörden erfolgt soweit erforderlich aufgrund jeweils einschlägiger Rechtsvorschriften.
Im Falle einer Datenübermittlung von Dritten an mika:timing muss sichergestellt sein, dass die Daten im Rahmen des jeweils geltenden Rechts rechtmässig erhoben wurden und für die vorgesehene Verarbeitungsmöglichkeiten verwendet werden dürfen.
Auf Grundlage der allgemein anerkannten Standards müssen angemessene technische und organisatorische Massnahmen getroffen werden, um die Integrität und Sicherheit der Daten während ihrer Übermittlung an einen Dritten sicherzustellen.

Datenverarbeitung im Auftrag

Bei einer Datenverarbeitung im Auftrag wird ein Dienstleister mit der Durchführung der Datenverarbeitung beauftragt, ohne dass ihm die Verantwortung für den zugehörigen Geschäftsprozess übertragen wird. Im Falle einer Weitergabe personenbezogener Daten im Rahmen einer Datenverarbeitung im Auftrag bleibt der Auftraggeber die für die Verarbeitung verantwortliche Stelle.
Sämtliche Rechte der Betroffenen sind ihm gegenüber geltend zu machen. Darüber hinaus sind bei der Auftragserteilung folgende Massgaben zu befolgen:

1. Bei der Auswahl des Auftragnehmers ist sicherzustellen, dass er die für die Verarbeitung notwendigen technischen und organisatorischen Anforderungen und Sicherheitsmassnahmen gewährleisten kann.
2. Die Durchführung der Auftragsdatenverarbeitung muss in einem schriftlichen Vertrag geregelt werden, in dem die Anforderungen zum Datenschutz und zur Informationssicherheit vereinbart sind. Insbesondere muss festgelegt werden, dass der Auftragnehmer die Daten ausschliesslich nach den Weisungen des Auftraggebers verarbeiten darf.
3. Bei der Vertragsgestaltung muss die Datenschutzleitlinie beachtet werden. Bei der Abwicklung von Sportveranstaltungen ist mika:timing in der Rolle des Auftragnehmers, der die Daten des Veranstalters im Auftrag verarbeitet. Die Verantwortung für die Verarbeitung der personenbezogenen Daten bleibt beim Veranstalter (verantwortliche Stelle).

Rechte des Betroffenen

Jeder Betroffene kann die folgenden Rechte wahrnehmen. Ihre Geltendmachung ist umgehend durch die verantwortliche Stelle zu bearbeiten.

1. Der Betroffene kann Auskunft darüber verlangen, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind.
2. Werden personenbezogene Daten an Dritte übermittelt, muss auch über die Identität des Empfängers oder über die Kategorien von Empfängern Auskunft gegeben werden.
3. Sollten personenbezogene Daten unrichtig oder unvollständig sein, kann der Betroffene ihre Berichtigung oder Ergänzung verlangen.
4. Der Betroffene ist berechtigt die Löschung seiner Daten zu verlangen, wenn die Rechtsgrundlage für die Verarbeitung der Daten fehlt oder weggefallen ist. Gleiches gilt für den Fall, dass der Zweck der Datenverarbeitung durch Zeitablauf oder aus anderen Gründen entfallen ist. Bestehende Aufbewahrungspflichten müssen beachtet werden.
5. Der Betroffene kann der Verarbeitung seiner personenbezogenen Daten zu Zwecken der Direktwerbung oder der Markt- und Meinungsforschung widersprechen. Für diese Zwecke müssen die Daten gesperrt werden.
6. Der Betroffene hat ein grundsätzliches Widerspruchsrecht gegen die Verarbeitung seiner Daten, das zu berücksichtigen ist, wenn sein schutzwürdiges Interesse aufgrund einer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle überwiegt. Dies gilt nicht, wenn eine Rechtsvorschrift zur Durchführung der Verarbeitung verpflichtet.

Im Falle der Datenverarbeitung im Auftrag durch mika:timing trägt der Auftraggeber, der Veranstalter die Verantwortung für die Bearbeitung der Betroffenenrechte. Im Auftrag an mika:timing wird geregelt, in welcher Form mika:timing den Veranstalter bei der Bearbeitung der Rechte des Betroffenen unterstützt.

Datenschutz-Organisation und Datensicherheit / Datenschutzbeauftragter

Bei mika:timing ist ein unabhängiger Datenschutzbeauftragter zu bestellen, dessen Aufgabe es ist, die Beratung der Geschäftsführung und der Mitarbeiter über die gesetzlichen und/oder unternehmensinternen Vorgaben bzw. die Grundsätze des Datenschutzes sicherzustellen.
Der Datenschutzbeauftragte ist bei der Entwicklung neuer Produkte und Dienste frühzeitig zu beteiligen, um sicherzustellen, dass sie mit den in dieser Leitlinie festgelegten Grundsätzen im Einklang sind.
Die Mitarbeiter werden im erforderlichen Umfang vom Datenschutzbeauftragten im Umgang mit personenbezogenen Daten regelmässig geschult.
Bei Datenschutzverletzungen und Beschwerden sind die Mitarbeiter verpflichtet, umgehend den Beauftragten für den Datenschutz zu unterrichten. Daneben kann sich jeder Betroffene jederzeit mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit an den Beauftragten für den Datenschutz wenden. Die Anfragen und Beschwerden werden auf Wunsch vertraulich behandelt. Die Entscheidungen des Beauftragten für den Datenschutz zur Abhilfe der Datenschutzverletzung sind durch die Geschäftsführung zu respektieren.

Vertraulichkeit der Verarbeitung
Personenbezogene Daten von Kunden und Kunden der Auftraggeber werden vertraulich behandelt; eine unbefugte Erhebung, Verarbeitung oder Nutzung dieser Daten ist den Mitarbeitern untersagt. Unbefugt ist jede Verarbeitung, die ein Mitarbeiter vornimmt, ohne damit im Rahmen der Erfüllung seiner Aufgaben betraut und entsprechend berechtigt zu sein.
Insbesondere ist es untersagt, personenbezogene Daten für eigene private oder wirtschaftliche Zwecke zu nutzen, an Unbefugte zu übermitteln oder diesen auf andere Weise zugänglich zu machen.

Technische und organisatorische Massnahmen
Angemessene Geheimhaltungsverpflichtungen sind mit den Mitarbeitern bei der Aufnahme der Tätigkeit bei mika:timing schriftlich zu vereinbaren. Darüber hinaus müssen für die Unternehmensprozesse und IT-Systeme beim Umgang mit personenbezogenen Daten angemessene technische und organisatorische Massnahmen ergriffen werden. Die wirksame Umsetzung dieser gesetzlichen Anforderungen stellt mika:timing auch gegenüber dem jeweiligen Auftraggeber im Falle der Datenverarbeitung im Auftrag sicher. Die technischen und organisatorischen Massnahmen sind Teil eines integrierten Informationssicherheitsmanagements und werden kontinuierlich an die technischen Entwicklungen und an organisatorische Änderungen angepasst.
Zu diesen Massnahmen gehören nach der Anlage zu § 9 Satz 1 BDSG:

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transports oder der Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungsgebot)

Verantwortlichkeiten
Die Geschäftsführer der mika:timing GmbH sind als Verantwortliche für die Datenverarbeitung verpflichtet sicherzustellen, dass die gesetzlichen und die in der Datenschutzleitlinie formulierten Anforderungen des Datenschutzes beachtet werden. Es ist eine Managementaufgabe, durch organisatorische, personelle und technische Massnahmen eine ordnungsgemässe Datenverarbeitung unter Beachtung des Datenschutzes sicherzustellen. Die Einhaltung der Datenschutzleitlinie und der geltenden Datenschutzgesetze wird regelmässig durch den Datenschutzbeauftragten überprüft.

Begriffe und Definitionen

• Anonymisiert sind Daten dann, wenn ein Personenbezug dauerhaft und von niemandem mehr hergestellt werden kann bzw. wenn der Personenbezug nur mit einem unverhältnismässig grossen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden könnte.
• Besonders schutzbedürftige Daten sind Daten über die rassische und ethnische Herkunft, über politische Meinungen, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit oder das Sexualleben des Betroffenen. Aufgrund staatlichen Rechts können weitere Datenkategorien als besonders schutzbedürftig eingestuft oder der Inhalt der Datenkategorien unterschiedlich ausgefüllt sein. Ebenso dürfen Daten, die Straftaten betreffen häufig nur unter besonderen, von staatlichem Recht aufgestellten Voraussetzungen verarbeitet werden.
• Betroffener im Sinne dieser Leitlinie ist jede natürliche Person, über die Daten verarbeitet werden.
• Dritter ist jeder ausserhalb des Betroffenen und der für die Datenverarbeitung verantwortlichen Stelle. Ebenfalls nicht Dritte sind Auftragsverarbeiter, die gesetzlich der verantwortlichen Stelle zugeordnet sind.
• Einwilligung ist eine freiwillige, rechtsverbindliche Einverständniserklärung in eine Datenverarbeitung.
• Erforderlich ist die Verarbeitung personenbezogener Daten, wenn der zulässige Zweck oder das berechtigte Interesse ohne die jeweiligen personenbezogenen Daten nicht oder nur mit unverhältnismässig hohem Aufwand zu erreichen ist.
• Personenbezogene Daten sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Bestimmbar ist eine Person z.B. dann, wenn der Personenbezug durch eine Kombination von Informationen mit auch nur zufällig vorhandenem Zusatzwissen hergestellt werden kann.
• Übermittlung oder Weitergabe ist jede Bekanntgabe von geschützten Daten durch die verantwortliche Stelle an Dritte.
• Verarbeiter von Daten ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet (Datenverarbeitung im Auftrag).
• Verarbeitung personenbezogener Daten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang zur Erhebung, Speicherung, Organisation, Aufbewahrung, Veränderung, Abfrage, Nutzung, Weitergabe, Übermittlung, Verbreitung oder der Kombination und der Abgleich von Daten. Dazu gehört auch das Entsorgen, Löschen und Sperren von Daten und Datenträgern.
• Verantwortliche Stelle ist diejenige juristisch selbständige Gesellschaft, deren Geschäftsaktivität die jeweilige Verarbeitungsmassnahme veranlasst.

Sicherheitskonzept

Vorwort

Das Sicherheitskonzept beschreibt die wesentlichen Elemente des Datenschutzmanagements bei mika:timing GmbH.

Datenschutzmanagementsystem

Das Datenschutzmanagement basiert auf den Anforderungen des Bundesdatenschutzgesetzes (BDSG) in seiner jeweils aktuellen Fassung, weiteren Datenschutz relevanten Regelungen und Richtlinien sowie der aktuellen Rechtsprechung. Darüber hinaus sind der aktuelle Stand der Technik, die anerkannten Expertenmeinungen sowie Erkenntnisse aus dem lang-jährigen Umgang mit kritischen und sensiblen Daten bestimmende Bestandteile der Ausprägung des Datenschutzmanagements bei mika:timing.

Datengeheimnis und Informationen

Alle internen und externen Mitarbeiter werden im Rahmen des Einstellungsprozesses gemäss § 5 BDSG schriftlich auf die Einhaltung des Datengeheimnisses verpflichtet. Die Verpflichtung erstreckt sich über die Beendigung der Tätigkeit hinaus.
mika:timing hat zum 1.1.2012 Frau Rose Müller als externe Datenschutzbeauftragte bestellt. Die in diesem Zusammenhang erforderliche Vermittlung von Grundkenntnissen zum Datenschutz nach § 4g Nummer 2 BDSG erfolgt zunächst in Schriftform durch Übergabe von entsprechendem Informationsmaterial. Sowohl die Übergabe der Informationsbroschüre als auch die Verpflichtung zur Kenntnisnahme der Informationsinhalte werden von den Mitarbeitern durch Unterschrift bestätigt.
Im Rahmen von Mitarbeiterschulungen durch die Datenschutzbeauftragte werden die Grundkenntnisse vertieft und um arbeitsplatzspezifische Aspekte angereichert. Diese Mitarbeiterschulungen finden regelmässig mindestens alle 2 Jahre statt, erstmals im Oktober 2013.

Grundsätze in der Zusammenarbeit mit Kunden

Datenverarbeiter im Auftrag

mika:timing ist Datenverarbeiter im Auftrag und handelt generell auf Basis des § 11 BDSG. Dabei werden die unten aufgeführten angemessenen technischen und organisatorischen Massnahmen getroffen, um die Kontrollanforderungen des § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG zu erfüllen.
Ein Datenschutzkonzept für mika:timing wurde gemeinsam mit der Datenschutzbeauftragten erstellt. Die darin aufgeführten Richtlinien zu verschiedenen Themen (u.a. IT-Sicherheits-, Passwort-, und Zutrittsrichtlinie) werden erarbeitet bzw. angepasst und verbindlich im Unternehmen etabliert. Sie werden regelmässig einmal jährlich überprüft und ggfs. angepasst.
Mit den Kunden und Lieferanten bestehen vertragliche Regelungen zur Datenverarbeitung im Auftrag entsprechend der jeweils gültigen gesetzlichen Regelungen.
Test-und Produktionssysteme sind generell physisch voneinander getrennt.

Kontrollrechte

Der Kunde kann sich in Abstimmung mit mika:timing zu den üblichen Geschäftszeiten und in Begleitung eines fachkundigen Mitarbeiters einen eigenen Eindruck über die Einhaltung der Anforderungen zum Datenschutz machen.

Technische und organisatorische Massnahmen und Kontrollen

Zutrittskontrolle

Der unbefugte Zutritt zu Gebäuden, Räumen und Einrichtungen, in denen personenbezogene Daten bei mika:timing erhoben, verarbeitet oder genutzt werden, ist zu verhindern.
Den gesicherten Zutritt zu den Betriebsgebäuden und -räumen sowie die Legitimation der Berechtigten gewährleistet mika:timing durch:

• persönliche Überwachung
• den Einsatz von elektronischen Zutrittskarten, Türschliesssystemen und technischen Überwachungseinrichtungen
• das Vergeben von zusätzlichen Sicherheitsschlüsseln im Einzelfall

Zugangskontrolle

Generell sind Systeme und Anwendungen, die zur Verarbeitung von personenbezogenen Daten verwendet werden, durch Passwortverfahren gesichert.
Um Zugang zu den technischen Systemen und Anwendungen von mika:timing zu erhalten, muss ein Kennwort geschützter Benutzerstammsatz sowie das persönliche Benutzerkonto technisch eingerichtet werden. Mit diesem authentifiziert sich der Nutzer gegenüber dem System oder der Anwendung.
Die Ausgestaltung, die Nutzung und den persönlichen Umgang mit dem Kennwort hat mika:timing organisatorisch geregelt.

Zugriffskontrolle

Unerlaubte Tätigkeiten in DV-Systemen und mit DV-Anwendungen, die zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten dienen, sind zu verhindern.
Zugriffsberechtigungen werden bei mika:timing nach den Prinzipien "need-to-know" und "need-to-do" erteilt. Daher liegen den Zugriffsberechtigungen bedarfsorientierte Berechtigungen, Benutzerprofile und Funktionsrollen zugrunde.
Eine Zugriffsberechtigung muss beantragt und genehmigt werden.
Die Ausführung der Zugriffe wird technisch überwacht, protokolliert und kontrolliert.

Weitergabekontrolle

Aspekte im Zusammenhang mit der Weitergabe personenbezogener Daten innerhalb und ausserhalb der DV-Systeme und DV-Anwendungen sind zu regeln.
mika:timing stellt die Integrität der personenbezogenen Daten bei der Speicherung und Weitergabe innerhalb der DV-Systeme und DV-Anwendungen durch Plausibilitätsprüfungen und/oder Verifizierungsverfahren sicher.
Die Vertraulichkeit und Weitergabe von personenbezogenen Daten, die außerhalb des Verfügungsbereichs von mika:timing gelangen, werden einerseits durch Plausibilitätsprüfungen und/oder Verifizierungsverfahren, andererseits durch die Verwendung von an die Erfordernisse angepasste und abgestufte Sicherheits- und/oder Verschlüsselungsverfahren sichergestellt.
Firewallsysteme und ständig aktualisierte Virensoftware sichern neben einer Secure Socket Layer (SSL) Verschlüsselung und dem Einsatz von VPN-Technologie die Kommunikation im Internet. Ansonsten werden so genannte "geschlossene" Datennetze verwendet.

Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverarbeitung sind zu gewährleisten.
Eingaben in die Systeme und Anwendungen sowie deren Ausgaben werden von mika:timing generell protokolliert. Die Protokolle werden entsprechend den Inhalten und/oder gesetzlichen Vorgaben archiviert oder nach Zweckerreichung gelöscht bzw. für die weitere Verarbeitung gesperrt.

Auftragskontrolle

Es ist eine auftrags- und weisungsgemässe Auftragsdatenverarbeitung zu gewährleisten.
mika:timing verarbeitet die ihr überlassenen Daten aufgrund und anhand von vertraglich vereinbarten Weisungen des Auftraggebers. Kompetenzen und Kontrollmassnahmen werden in Abstimmung mit dem Auftraggeber definiert und technisch organisatorisch in die Betriebsabläufe eingebunden.

Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Vor und nach einer Veranstaltung sind die überlassenen Daten auf den Servern von mika:timing in das Sicherungs-, Backup- und Notfallmanagement eingebunden und so entsprechend den Anforderungen an die Verfügbarkeit ausreichend geschützt.
Während einer Veranstaltung werden die höheren Anforderungen an die Verfügbarkeit durch geeignete Massnahmen wie erhöhte Backup-Frequenz und Bereitstellung von Ersatzgeräten bei Hardware-Defekten erfüllt.

Trennungsgebot

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Die Trennung der Daten der unterschiedlichen Auftraggeber wird bei mika:timing über eine logische Trennung in getrennte Datenbankschemata gewährleistet. Die jeweiligen Benutzer können immer nur auf genau ein Datenbankschema zugreifen.