Datenschutz in der Unternehmenspraxis
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BROSCHÜRE Datenschutz in der Unternehmenspraxis
DATENSCHUTZ
IMPRESSUM
Text und Redaktion
Dipl.-Ing. Kerstin Ehret
Grafische Gestaltung und Satz
TRAGWEITE | Büro für Gestaltung
www.tragweite-design.de
Bildquellen
Fotolia:
©Dark Vectorangel · ©Alex White ·
©Bilan 3D · ©momius · ©anyaberkut ·
©giomatmicro · ©Gina Sanders ·
©Natalia Merzlyakova · ©fotomek ·
©Orlando Florin Rosu · ©pressmaster
Herausgeber
eBusiness Lotse Thüringen
c/o Handwerkskammer Erfurt
Fischmarkt 13
99084 Erfurt
Tel +49 361 6707267
Fax +49 361 6707272
erfurt@ebusiness-lotse-thueringen.de
www.ebusiness-lotse-thueringen.de
Stand · August 2014
02
DATENSCHUTZ
Sehr geehrte
Damen und Herren,
„IT Sicherheit ist Chefsache“ ist eine oft gehörte Parole, wenn man
sich näher mit den Themen Datenschutz und Informationssicherheit
beschäftigt. Aber warum ist das so?
Der Grund hierfür ist, dass der Gesetzgeber mit dem Bundesdaten-
schutzgesetz ein mächtiges Instrument zum Schutz personenbezogener
Daten geschaffen hat. Oft ist man sich nicht bewusst, wie weitreichend
das Gesetz hier eingreift. Bei Verstößen haftet zumeist die Geschäfts-
führung mit Geldbußen von bis zu 300.000 €.
Das Informationsbüro für Unternehmen Erfurt ist auf „Informationssicher-
heit und Datenschutz“ spezialisiert und unterstützt kleine und mittlere
Unternehmen in Thüringen. Dies geschieht in den Unternehmen vor Ort,
aber auch durch Veranstaltungen zu verschiedenen Themen in ganz
Thüringen. Dabei fiel uns auf, dass die datenschutzrechtlichen Schwer-
punkte vielen Unternehmen gar nicht so bewusst sind. Gemeinsam mit
dem TÜV Thüringen haben wir einen kurzen Abriss zum Datenschutz
nach BDSG für Unternehmen erarbeitet. Um alles verständlicher zu
machen, haben wir Fallbeispiele zusammengestellt und mit entsprechen-
den Hinweisen versehen. Wir erheben aber keinen Anspruch auf Vollstän-
digkeit.
03
04
DATENSCHUTZ
Inhaltsverzeichnis
1.0 Fallbeispiele 07
1.1 E-Mail Versand 07
1.2 Videoüberwachung 08
1.3 Aktenordner 09
1.4 Webseite 10
1.5 Gesundheitsdaten 11
1.6 Festplatte 12
1.7 Onlineshop Kundendaten 13
1.8 Navigationsgerät 14
1.9 „Gefällt mir“ Button 15
2.0 Einige Begriffe aus dem Bundesdatenschutzgesetz 16
kurz erklärt
2.1 Was ist Datenschutz nach Bundesdatenschutzgesetz (BDSG)? 16
2.2 Meldepflicht gegenüber Datenaufsichtsbehörden nach § 4d BDSG 17
2.3 Verfahrensverzeichnis nach Meldepflicht (§ 4e BDSG) 17
2.4 Technische und organisatorische Maßnahmen nach § 9 BDSG 18
2.5 Vorabkontrolle (§ 4d Abs. 5 BDSG) 19
2.6 Bestellung eines betrieblichen Datenschutzbeauftragten (BDSB) 20
2.7 Auftragsdatenverarbeitung oder Funktionsübertragung 21
3.0 Weiterführende Links 22
4.0 Die Autoren 23
5.0 Quellenverzeichnis 23
05
DATENSCHUTZ
Datenschutz im
Unternehmen Datenschutz-
beauftragter
Auftragsdaten-
verarbeitung oder
Funktionsübertragung?
Verfahrensverzeichnis
Meldepflicht
Pflicht zur
Vorabkontrolle
06
1.0 FALLBEISPIELE DATENSCHUTZ
1.1 E-Mail
Versand
Ein Außendienstmitarbeiter eines
Bauunternehmens ist oft in Sachen HINWEISE
Vertrieb unterwegs. Damit sich die
Kunden stets gut betreut fühlen Zunächst verstößt der Mitarbeiter gegen
schreibt er sie regelmäßig per den Datenschutz, da er ohne Einwilligung
E-Mail an und erfragt die Zufrieden- der Adressaten deren E-Mailadresse, die
heit mit erbrachten Leistungen. Da für jeden Empfänger sichtbar ist, weiter-
er sich das Leben etwas einfacher gegeben hat. Des Weiteren ist das Ver-
macht, hat er eine Muster-E-Mail binden mit öffentlichen, unverschlüsselten
erstellt und versendet diese an alle WLAN-Hotspots nicht empfehlenswert,
ihm bekannten E-Mail-Adressen da der gesamte Datenverkehr einfach
der Kunden, in dem er diese in das „abgehört“ werden kann. Dies betrifft auch
„CC“-Feld kopiert. Meist geschieht Anmeldenamen und Passwörter.
dies, wenn er mal in einem Hotel ist
und endlich wieder Internetzugriff
über das freie Hotel-WLAN hat.
07
DATENSCHUTZ
1.2
Videoüberwachung
Martin König macht sich an einem siert. Die ersten Kameras, die er
sonnigen Montag auf die Suche sieht, scheinen sehr neu zu sein
nach einem neuen Auto. Da er ein und sind auf den Zaun gerichtet.
Mann der Tat ist, wählt er nicht das „Richtig so“, freut sich Herr König,
Internet für seine Suche, sondern „da haben die Einbrecher keine
fährt in das nächstgelegene Auto- Chance“. Auch die Kameras in der
haus seiner Wunschmarke. Ein Werkstatt sind ganz offensichtlich
Schild an der Einfahrt zum Firmen- sehr modern. Da muss sich Herr
gelände weist ihn ordnungsgemäß König keine Sorgen um sein Auto
darauf hin, dass das Autohaus machen, wenn es hier mal zur
kameraüberwacht sei. „Was soll’s“, Reparatur steht. Freudig betritt
denkt sich Herr König, „ich habe er den Geschäftsraum und fragt
ja nichts zu verbergen“. Aus dem sogleich den hinzueilenden
Auto steigend sieht er sich dann Verkäufer über die Technik der
auch gleich nach den Kameras um, Kameras aus.
denn er ist technisch sehr interes-
HINWEISE
Videoüberwachung ist nur zulässig, soweit es zur Wahrnehmung
des Hausrechts oder berechtigter Interessen erforderlich ist und die
schutzwürdigen Interessen der betroffenen Personen nicht über-
wiegen. Mit der Videoüberwachung einher geht die Pflicht, Hinweis-
schilder anzubringen.
Über die Grenzen des eigenen Firmengeländes hinaus in den
öffentlichen Raum zu überwachen, ist kritisch. Auch die Überwachung
der Werkstatt ist heikel, wenn sich dort im Kamerabereich Mitarbeiter
und Kunden aufhalten. Die dauerhafte Überwachung von Mitarbeitern
und Kunden ist (mit wenigen Ausnahmen) nicht erlaubt und sollte
deshalb vermieden werden. Anders sieht es im Kassenbereich eines
Geschäftes aus. Hier überwiegt das Interesse des Arbeitgebers,
Straftaten durch Kunden zu verhindern.
Im Übrigen greift bei der Kameraüberwachung das BDSG, nachdem
unabhängig von der Anzahl der Mitarbeiter, die automatisiert
personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter
zu bestellen ist, wenn es sich um besondere personenbezogene
Daten handelt (s. Kapitel 2.6).
08
DATENSCHUTZ
1.3
Aktenordner
HINWEISE
Frau Knöpfli ist als Angestellte über die
Verschwiegenheitspflicht und die Einhalt-
ung des BDSG zu belehren. Zudem dür-
fen personenbezogene Daten nicht offen
Brunhilde Knöpfli arbeitet seit 20 zugänglich sein. Siehe auch technische
Jahren im Tischlereiunternehmen und organisatorische Maßnahmen nach
ihres Mannes als Bürokraft. Das § 9 BDSG (Zugangskontrolle). Empfohlen
Büro liegt über der Werkstatt und wird, die Ordner in einem verschließbaren
Frau Knöpfli achtet immer darauf, Schrank aufzubewahren.
dass es verschlossen ist, wenn
sie es verlässt. Denn man weiß
ja nie. Als Hermann Knöpfli
Freitagnachmittag das Büro betritt,
staunt er nicht schlecht. Seine
Frau hatte die Woche nämlich
genutzt, um einmal Ordnung in
das Aktenchaos zu bringen. Alle
Aktenordner wurden von ihr mit
neuen Etiketten versehen, die
auf den Jahrgang und den Inhalt
hinweisen. Außerdem hat sie die
Ordner noch fein säuberlich in die
hohen Regale nach Jahreszahlen
einsortiert. Jede Etage ein Jahr-
gang. Das gefällt Herrn Knöpfli
außerordentlich, denn nun ist es
eine Leichtigkeit, eine Rechnung
aus einem bestimmten Jahr zu
finden. Er möchte nun, dass Frau
Knöpfli die Rechnungen im PC
genauso sortiert.
09DATENSCHUTZ
HINWEISE
Das Tracken (sinngemäß Ver- Wichtig bei Nutzung von
folgen) von Besuchern auf der „Google Analytics“ ist:
Webseite ist generell sinnvoll,
jedoch müssen auch hier die · der Abschluss eines Vertrages
Besucher die Möglichkeit haben, zur Auftragsdatenverarbeitung
sich davor zu schützen, wenn Sie (s. Kapitel 2.7)
es nicht wollen oder zumindest · nur verkürzte IP-Adressen
dem Tracking zustimmen Der speichern (Funktion
Besucher muss auf sein Wider- anonymizeIP)
spruchsrecht hingewiesen werden. · bisherige „Google Analytics“-
Daten löschen
1.4
Webseite
Um größere Bekanntheit zu erlangen und eine erste Anlaufstelle für
potentielle Kunden zu haben, hat eine Holzhandelsfirma eine Webseite
registriert. Dort werden die verschiedenen Produkte auf unterschiedlichen
Seiten dargestellt. Um herauszufinden, welche Produkte besonders oft
aufgerufen werden und woher die Besucher stammen, verwendet die
Firma „Google Analytics“. Natürlich hat die Firma ein dem Telemedien-
gesetz entsprechendes Impressum eingerichtet, auf den Hinweis der
Verfolgung und Auswertung von Besuchern hat man jedoch verzichtet.
10DATENSCHUTZ
1.5 Gesundheitsdaten
Hermann Meier ist Zahntechniker-Meister und Inhaber eines Zahntech-
niklabors. Er hat neben einem Zahntechniker noch eine Bürohilfe, Frau
Kunze, eingestellt, damit er den Kopf frei von allen Bürotätigkeiten hat.
Natürlich hat er Frau Kunze belehrt, dass alle betrieblichen Vorgänge
vertraulich zu behandeln sind, denn es handelt sich ja dabei um sensible
Daten, die keinesfalls verbreitet werden dürfen. Frau Kunze ist der
Meinung, es sollte ein Datenschutzbeauftragter bestellt werden. Doch
Herr Meier weiß, dass dies erst notwendig ist bei mehr als 9 Mitarbeitern,
die automatisiert personenbezogene Daten verarbeiten. Diese Information
hat er bei einem Datenschutzseminar erhalten.
HINWEIS WICHTIG HIERBEI
Herr Meier hat diese Information Wer darf auf Grund von möglichen
sicher so gehört. Wenn aber das Interessenkonflikten nicht als
Dentallabor z.B. Rechnungen an Datenschutzbeauftragter bestellt
die Ärzte sendet, die Patientenda- werden?
ten und Gesundheitsdaten enthal-
ten, handelt es sich um besondere Herr Meier als Firmeninhaber darf
personenbezogene Daten im Sinne nicht als Datenschutzbeauftragter
des BDSG. Somit ist die Bestellung bestellt werden. Folgende
eines Datenschutzbeauftragten Personen sind ausgeschloßen:
nach den Vorgaben des BDSG Geschäftsführer, Vorstände,
sowie die Vorabkontrolle notwen- Personalleiter oder Leiter, die
dig - unabhängig von der Zahl der auf besonders sensitive Daten
Mitarbeiter. zugreifen, sowie der IT-Leiter.
11DATENSCHUTZ
1.6
Festplatte
Um nebenbei etwas Geld zu
erwirtschaften, verkauft ein Metall-
warenhandel seine IT‑Gerät-
schaften nach der fristgemäßen
Abschreibungszeit an einen
örtlichen Second-Hand Anbieter
von PCs und sonstigen IT-Geräten.
Dabei werden Daten auf den
Festplatten (ausschließlich von
Servern, PCs und Laptops) sicher
nach den Vorgaben des BSI
gelöscht, also dreimal überschrie-
ben und mit zufälligen Daten
wiederbeschrieben. So findet auch
das ausgediente Kopiergerät sei-
nen Weg zum Second-Hand Shop.
HINWEIS
Die Löschung der Festplatten ist korrekt. Jedoch sollte beachtet
vollkommen richtig. Hier sollte aber, werden, dass auch Kopiergeräte
wie auch bei anderen „Entsorgern“ eingebaute Festplatten besitzen.
oder Leasinggebern, ein Vertrag Wurden damit Unterlagen mit per-
für die Auftragsdatenverarbeitung sonenbezogenen Daten kopiert
(ADV) geschlossen werden (Mus- und diese weiterverkauft ohne
tervertrag s. Webseite des Bundes- vorher die Festplatte zu löschen,
ministeriums des Innern bzw ist das sehr heikel. Auch sollte man
§ 11 BDSG). Der Auftragnehmer ist bedenken, dass diese Festplatte
damit aufgrund § 3 Abs. 8 BDSG sehr viele vertrauliche Informatio-
nicht Dritter und somit ist keine nen über ein Unternehmen beher-
Zustimmung der Betroffenen (Kun- bergt.
den, Mitarbeiter etc.) nötig. Das
vorausgesetzt, handelt die Firma
12DATENSCHUTZ
1.7
Onlineshop Kundendaten
Seit nunmehr zwei Jahren betreibt Herr Meier einen Elektro-Online-Shop,
der sehr gut angenommen wird. Sein Webdesigner informiert ihn darüber,
dass auf die Datenbank auf dem Server zugegriffen wurde und möchte
wissen, ob Herr Meier diesen Zugriff von einem anderen Ort aus getätigt
hat. Herr Meier weiß aber gar nicht, wie er so etwas machen könnte.
Beide beschließen aus Sicherheitsgründen, den Shop für einen Tag zu
schließen, die Sicherheitsvorkehrungen durch einen Fachmann erneuern
zu lassen und eine Datensicherung der Kundendaten vom Vortag
einzuspielen, damit auch gewährleistet ist, dass alle Daten stimmen.
Nach zwei Tagen geht der Shop wieder online.
HINWEIS
Mit Bekanntwerden der Sicheheitlücke und
unberechtigtem Zugriff auf die Daten ist
das Unternehmen verpflichtet, die Aufsichts-
behörde sowie betroffene Kunden zu
informieren. Schwierig ist die Einschätzung,
ob personenbezogene Daten kompromit-
tiert wurden.
13DATENSCHUTZ
1.8
Navigationsgerät
Um Geld zu sparen, hat eine kleine Firma einen Rahmenvertrag mit dem
ansässigen Autovermieter vereinbart. Das bedeutet, dass man einen
Mietwagen das ganze Jahr über gemietet hat, den die Mitarbeiter nutzen
können. In einem Fahrtenbuch wird dokumentiert, wer das Fahrzeug wann
zu welchem Zweck genutzt hat (wo ist der Zielort des Fahrzeugs usw.).
Bei der routinemäßigen Kontrolle der Tankkosten stellt sich heraus, dass
ein größerer Fehlbetrag existiert, also das Fahrzeug mindestens 2.000 km
weiter bewegt worden ist als notwendig. Um zu ermitteln, wer oder was
dahinter steckt, wertet der Controller die letzten eingegeben Fahrziele
des Navigationsgeräts des Autos aus und macht dabei die Entdeckung,
dass regelmäßig durch einen bestimmten Mitarbeiter ein bekannter
Rotlichtbezirk angesteuert wurde.
HINWEIS
Die Auswertung der Daten des für Kunden. Die Mitarbeiter sind
Navigationsgeräts darf nur in in diesen Fällen über Zweck,
Abstimmung mit dem Datenschutz- Verarbeitung und Nutzung der
beauftragten erfolgen. Es ist sicher GPS-Daten zu unterrichten.
zu stellen, dass der Mietwagen nur
dienstlich genutzt werden darf. Die Daten müssen nach ange-
messener Dauer (sofort bis 90
Enthält das Navigationsgerät auch Tage nach der Erfassung) gelöscht
einen Sender, der den Aufenthalts- werden. Für die Optimierung der
ort an die Zentrale meldet (Tracker, Arbeitseinsätze darf die GPS-
GPS-Ortung), muss beachtet wer- Ortung nur anonymisiert erfolgen.
den, dass dies nur in Ausnahmefäl- Ein Nachweis für das Finanzamt
len für bestimmte Zwecke erlaubt oder gar der Zweck der Verhaltens-
ist, wie z.B. für die Koordination der kontrolle rechtfertigen nicht
Diensteinsätze oder den Nachweis die GPS-Ortung.
14DATENSCHUTZ
1.9
„Gefällt mir“ Button
Ein Autohaus hat seit Jahren eine sehr gut gestaltete Webseite. Der
Geschäftsführer erfährt von Bekannten, dass sie regelmäßig bei Facebook
nach Gebrauchtwagen schauen und sich wundern, warum sein Autohaus
dort nicht zu finden sei. Daraufhin beschließt der Geschäftsführer, auch
für sein Autohaus eine Facebook-Seite anzulegen und den „Gefällt mir“-
Button auf seiner Webseite einzubinden. Gesagt, getan. Bereits am
nächsten Tag ist alles umgesetzt und die Besucher der Webseite können
mit einem Klick zeigen, dass Ihnen die Website gefällt.
HINWEIS
Die Einbindung des „Gefällt mir“-
Buttons ist aus Gründen des
Datenschutzes umstritten. Der
von Facebook generierte Code
zum Einbinden in eine Webseite,
sendet bereits beim Besuch der
Website die IP und andere Daten
des Besuchers der Webseite an
Facebook. Deshalb sollte eine
Einbindung nur so erfolgen, dass
der Link erst inaktiv ist und nur
bei einem Klick darauf aktiv wird.
Damit würden die IP und andere
Daten gesendet. Mit dem zweiten
Klick wird dann „Gefällt mir“
gesendet. Diese Zwei-Klick-Lösung
ist also auch für das Autohaus
ratsam.
15DATENSCHUTZ
2.0 Einige Begriffe aus dem Bundesdatenschutzgesetz kurz erklärt:
2.1 Was ist Datenschutz nach
Bundesdatenschutzgesetz
(BDSG)?
Die Basis ist das Recht auf informelle Selbstbestimmung. Jeder Mensch
kann selbst entscheiden, wem wann welche personenbezogenen
Daten zugänglich sein sollen.
Dabei sind personenbezogene Daten nach § 3 Abs. 1 BDSG Einzel-
angaben über persönliche oder sachliche Verhältnisse einer bestimm-
ten oder bestimmbaren natürlichen Person (Betroffener). Bestimmbar ist
eine Person, wenn durch Zusatzinformationen der Bezug zu einer Person
herstellbar ist. Diese Daten unterliegen dem Schutz nach BDSG.
Der Grundsatz im deutschen Datenschutz ist das Verbotsprinzip mit
Erlaubnisvorbehalt. Dessen sollten sich die Unternehmen im Umgang
mit Kunden- und Mitarbeiterdaten u.ä. bewusst sein. Die Erhebung,
Verarbeitung und Nutzung personenbezogener Daten ist nach § 4 Abs.
1 BDSG nur dann zulässig, wenn die Einwilligung des Betroffenen
vorliegt oder es eine gesetzliche Erlaubnis/Anordnung gibt. Zusätzlich
gibt es einige Pflichten, derer sich viele Unternehmen nicht klar sind,
deren Einhaltung aber durch die Aufsichtsbehörde geprüft wird. Eine
Nichterfüllung wird als Ordnungswidrigkeit eingestuft. Die Unkenntnis
schützt dann nicht. Einige dieser Pflichten sind die Bestellung eines
Datenschutzbeauftragten unter bestimmten Bedingungen, die Melde-
pflicht oder aber auch die Pflicht der Erstellung eines Verfahrensver-
zeichnisses, dessen erster Teil öffentlich einsehbar sein muss.
Besondere personenbezogene Daten wie z.B. ethnische Herkunft,
politische Meinungen, religiöse oder philosophische Überzeugungen,
Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (BDSG § 3
Abs. 9) bedürfen nochmals erweiterter Schutzmaßnahmen. Hier ist auch
zwingend eine Vorabkontrolle nötig.
16DATENSCHUTZ
2.2 Meldepflicht gegenüber
Datenaufsichtsbehörden
nach § 4d BDSG
Der Meldepflicht unterliegen grundsätzlich alle Verfahren, die personen-
bezogene Daten automatisiert verarbeiten. Die Meldung hat bereits vor
der Inbetriebnahme der meldepflichtigen Datenverarbeitung zu erfolgen.
Die Meldepflicht entfällt, sobald die verantwortlichen Stellen einen
Datenschutzbeauftragten bestellt haben.
2.3 Verfahrensverzeichnis
nach Meldepflicht
(§ 4e BDSG)
Bei Meldepflicht sind folgende Angaben zu machen:
öffentlich:
1. Name oder Firma der verantwortlichen Stelle
2. Inhaber, Vorstände, Geschäftsführer
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. Beschreibung der betroffenen Personengruppen und der diesbezüg-
lichen Daten oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten
mitgeteilt werden können,
7. Regelfristen für die Löschung der Daten,
8. eine geplante Datenübermittlung in Drittstaaten
9. Technische und organisatorische Maßnahmen entsprechend
§ 9 BDSG, die die Datensicherheit gewährleisten.
intern:
1. allgemeine Beschreibung, die erkennen lässt, ob die Maßnahmen
für die Sicherheit angemessen sind
2. zugriffsberechtigte Personen
3. Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen
Tätigkeit
17DATENSCHUTZ
2.4 Technische und
organisatorische Maßnahmen
(TOM) nach § 9 BDSG
Im internen Verfahrensverzeichnis sind alle Maßnahmen aufzulisten, die
dem Schutz der Daten dienen. Diese unterteilen sich in technische und
organisatorische Schutzmaßnahmen zu jedem Punkt. Um den Rahmen
nicht zu sprengen führen wir nur jeweils ein Beispiel an.
TOM
1. Zutrittskontrolle
Unbefugten wird der Zutritt zu Räumlichkeiten verwehrt, in denen
personenbezogene Daten verarbeitet werden.
Beispiele: Sicherung der Gebäude und Räume durch verschließbare
Türen, Einzäunung
2. Zugangskontrolle
Verhinderung der Nutzung der Datenverarbeitungsanlage durch
Unbefugte. Beispiele: Authentisierung durch Benutzername und
Passwort
3. Zugriffskontrolle
Nutzer dürfen nur auf Daten zugreifen, für die sie eine Berechtigung
haben. Beispiele: Benutzerrechte auf den verschiedenen
Zugriffsebenen
4. Weitergabekontrolle
Gewährleistung der Datenintegrität während des Transportes
oder Speicherung sowie Schutz vor unberechtigtem Lesens der
personenbezogen Daten. Beispiele: Verschlüsselung
5. Eingabekontrolle
Sicherstellung der Kontrolle, wer welche Daten eingegeben, verändert
oder entfernt hat. Beispiele: Protokollierung der Zugriffe auf das System
18DATENSCHUTZ
6. Auftragskontrolle
Verarbeitung von personenbezogenen Daten nur entsprechend
Weisung des Auftraggebers Vertragsgestaltung nach § 11 BDSG
(Auftragsdatenverarbeitung)
7. Verfügbarkeitskontrolle
Schutz der Daten vor Zerstörung oder Verlust
Beispiele: regelmäßige Datensicherung
8. Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen
Zwecken erhoben wurden.
Beispiele: Trennung Kundendaten, betriebsinterne Daten
Checkliste TOM:
www.audatis.de/wp-content/uploads/Checkliste_Datenschutz_
TOM_nach_9_BDSG.pdf
2.5 Vorabkontrolle
(§ 4d Abs. 5 BDSG)
Die Prüfung vor Beginn der automatisierten Verarbeitung (Vorabkontrolle)
ist bei „besonderen Risiken“ für Betroffene vorgeschrieben, insbesondere
wenn
· besondere personenbezogene Daten verarbeitet werden
· die Verarbeitung zur Bewertung der Persönlichkeit des Betroffenen
bestimmt ist
Wer zur Vorabkontrolle verpflichtet ist, muss einen
Datenschutzbeauftragten (DSB) bestellen, unabhängig von der Anzahl
der Beschäftigten.
19DATENSCHUTZ
2.6 Bestellung eines
betrieblichen Datenschutz-
beauftragten (BDSB)
Die Bestellung eines betrieblichen Datenschutzbeauftragten ist auf jeden
Fall nötig, wenn personenbezogene Daten für eigene Geschäftszwecke
erhoben werden und
· automatisiert von mindestens zehn Mitarbeitern verarbeitet werden
· nicht automatisiert von mindestens 20 Mitarbeitern verarbeitet werden
· eine Vorabkontrolle für das Unternehmen nach § 4d Abs. 5 BDSG
vorgeschrieben ist (unabhängig von der Anzahl der Mitarbeiter) z.B.:
bei Videoüberwachung oder aber Verarbeitung von Gesundheitsdaten
Werden personenbezogene Daten zum Zwecke der Übermittlung
(Funktionsübertragung) erhoben, ist ein Datenschutzbeauftragter, unab-
hängig von der Anzahl der damit beschäftigten Mitarbeiter zu bestellen.
Checkliste zur Vereinfachung der Entscheidung, ob ein Datenschutz-
beauftragter bestellt werden muss: www.tlfdi.de/imperia/md/content/
datenschutz/themen/unternehmen/checkliste_bdsb.pdf
22DATENSCHUTZ
2.7 Auftragsdatenverarbeitung
oder Funktionsübertragung
Die Abgrenzung zwischen Auftragsdatenverarbeitung (ADV) und
Funktionsübertragung ist nicht eindeutig zu ziehen. In der Regel kann
man sagen, dass die Daten verarbeitende Stelle eine Funktion übernimmt,
wenn sie eine „rechtliche Funktion” übernimmt. Häufig findet man das
bei Hauptbetrieben mit Filialen vor. In diesem Fall führt der Hauptbetrieb
zentral die Personalverwaltung der Filialen durch.
a) Auftragsdatenverarbeitung (ADV)
ADV ist die Erhebung, Verarbeitung oder Nutzung pbD im Auftrag
durch Dienstleister. Der Auftragnehmer ist aufgrund § 3 Abs. 8
BDSG nicht Dritter. Der Vertragsinhalt ist in § 11 BDSG geregelt.
Beispiele:
· Entsorger Informationstechnik wie auch Papier
(s. Fallbeispiel 1.7)
· Dienstleister mit „Remote-Zugriff“/Fernwartung
· Webhoster und Cloudanbieter, auf deren Servern personenbezogene
Daten liegen.
Der Auftraggeber hat die Pflicht, die Einhaltung des Datenschutzes
(s.TOM) beim Auftragnehmer zu kontrollieren. Mustervertrag:
www.gdd.de/aktuelles/arbeitshilfen/Mustervereinbarung%20a7%2011%20
BDSG_final1.doc
b) Funktionsübertragung
Der Funktionsnehmer erfüllt nicht nur Hilfsfunktionen, sondern
benötigt die übergebenen Daten zur Erfüllung eigener Aufgaben oder
Funktionen. Der Funktionsnehmer gilt hier als Dritter und es
erfolgt eine Datenübermittlung im Sinne des BDSG.
Hinweis: Zustimmung notwendig, sonst Bußgeld!
Beispiele: Inkasso, externe Personalverwaltung.
21DATENSCHUTZ
3.0 Weiterführende Links
Datenschutz
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
· www.bfdi.bund.de - Gesellschaft für Datenschutz und Datensicherung
· www.gdd.de - Verfahrensverzeichnis nach § 4 BDSG
· www.bfdi.bund.de/bfdi_wiki/index.php/Verfahrensverzeichnisse_
und_Meldepflichten - Datenschutz-Wiki
Technische und organisatorische Maßnahmen:
Thüringer Landesbauftragter für den Datenschutz und Informationsfreiheit
· www.tlfdi.de/tlfdi/themen/technischer_datenschutz/
Auftragsdatenverarbeitung nach §11 BDSG
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
· www.bfdi.bund.de/bfdi_wiki/index.php/Auftragsdatenverarbeitung
Videoüberwachung
Thüringer Landesbauftragter für den Datenschutz und Informationsfreiheit
· www.tlfdi.de/imperia/md/content/datenschutz/themen/
videoueberwachung/oh-v__-durch-nicht-__ffentliche-stellen.pdf
Informationssicherheit
Bundesamt für Sicherheit in der Informationstechnik
· www.bsi.de - Bundesverband IT-Mittelstand e.V.
· www.bitmi.de
· www.bitkom.org - Bitkom
22DATENSCHUTZ
4.0 Die Autoren · Ansprechpartner
Dipl. Ing. Kerstin Ehret
Kerstin Ehret arbeitete über 20 Jahre als Netzwerk- und IT-
Administratorin sowie Programmiererin. Sie ist seit November 2012
in der Handwerkskammer Erfurt als eBusines-Lotse Thüringen
tätig. Ihre Schwerpunkte liegen im Bereich der Informations- und
Kommunikationssicherheit.
Handwerkskammer Erfurt
Fischmarkt 13 · 99084 Erfurt
Tel.: 0361 6707-267
E-Mail: kehret@hwk-erfurt.de
Diplom Wirtschaftsinformatiker (FH) Tim Reichert
Tim Reichert ist seit 2004 beim TÜV Thüringen als Lead Auditor ISO
27001 und IT-Grundschutz-Experte tätig. Er entwickelte unter anderem
die mittelständischee IT-Security-Zertifizierung (MITsec) nach der sich
Mittelständler zertifizieren lassen können.
Zertifizierungsstelle für Systeme und Personal des TÜV Thüringen e. V.
Service-Center Ostthüringen
Ernst-Ruska-Ring 6 · 07745 Jena
Tel.: 03641 3997-40
E-Mail: zertifizierung@tuev-thueringen.de
5.0 Quellenverzeichnis
·
·
·
·
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Bundesdatenschutzgesetz BDSG
Thüringer Landesdatenschutz
Audatis - Datenschutz und Informationssicherheit
23Kiel
Lübeck
Hamburg Schwerin
Neubrandenburg
Bremen
Lingen Brandenburg a. d.H. Berlin
Hannover Potsdam
Osnabrück Frankfurt
(Oder)
Magdeburg
Münster
Cottbus
Paderborn
Dortmund
Iserlohn
Leipzig
Dresden
Köln
Aachen Chemnitz
Ilmenau
Gießen
Koblenz Hof
Darmstadt Würzburg
Saarbrücken Kaiserslautern Nürnberg
Regensburg
Stuttgart
Augsburg
Weingarten Freilassing
eBusiness-Lotsen
Das eKompetenz-Netzwerk für Unternehmen
Das „eKompetenz-Netzwerk für Unternehmen“ ist eine Förderinitiative des Bundesministeriums
für Wirtschaft und Energie. 38 regionale eBusiness-Lotsen haben die Aufgabe, insbesondere mittel-
ständischen Unternehmen deutschlandweit anbieterneutrale und praxisnahe Informationen für die
Nutzung moderner Informations- und Kommunikationstechnologien (IKT) und möglichst effiziente
eBusiness-Prozesse zur Verfügung zu stellen.
Die Förderinitiative ist Teil des Förderschwerpunkts „Mittelstand-Digital – IKT Anwendungen in der
Wirtschaft“. Zu „Mittelstand-Digital“ gehören ferner die Förderinitiativen „eStandards: Geschäftsprozesse
standardisieren, Erfolg sichern“ und „Einfach intuitiv – Usability für den Mittelstand“.
Unter www.mittelstand-digital.de können Unternehmen sich über die Aktivitäten der eBusiness-Lotsen
informieren, auf die Kontaktadressen der regionalen Ansprechpartner sowie aktuelle
Veranstaltungstermine zugreifen oder auch Publikationen einsehen und für sich herunterladen.Sie können auch lesen
