Datenschutz

...

Weitere Managementthemen in diesem Kontext:

 

Überblick

Datenschutzmaßnahmen

  • Schulung der Mitarbeiter
    • >> Verhaltensanweisungen (Telefon, E-Mail, Bei Viren...)
  • Passwortrichtlinien
  • Umgang mit E-Mail Anhängen
  • Softwareinstallation
  • Anschluss externer Peripheriegeräte
  • Datenvernichtung (eventueller Nachweis)
  • Datensicherung

Bedrohung von Daten durch:

  • Mensch
    • Kriminalität, Bequemlichkeit, Unwissenheit,
  • Technik
    • Stromausfall, Überspannung, Defekte
  • Umwelteinflüsse
    • Blitzschlag, Feuer, Explosion, Erdbeben, Staub, Hitze, Flüssigkeiten, Strahlung

Datenintegrität

  • Sicherstellung, dass Daten immer den realen Daten entsprechen
  • Keine ungewollte Veränderung der Daten
    • >> Eine entsprechende Wiederherstellung der Daten bei Verfälschung muss stets gewährleistet sein!!

Datenverfügbarkeit

  • Ausfallsicherheit
  • Zugänglichkeit zu Daten und datenverarbeitenden Systemen
  • Datenverluste und Wiederherstellung
    • Verfügbarkeit = (Gesamtlaufzeit – Ausfallzeit bzw. Störzeit) / Gesamtlaufzeit

Verfahrensverzeichnis

  • Datenverarbeitungsverfahren müssen in einem Verzeichnis gegenüber Datenschutzbehörden identifizierbar und eindeutig geführt werden
  • Das Verzeichnis dient sowohl der Eigenkontrolle, als auch der Kontrolle der Datenschutzbehörden sowie der Informationsgrundlage für Betroffene

Inhalte des Verfahrensverzeichnis

  • Welche personenbezogene Daten verarbeitet werden
  • Welche automatisierten Verfahren stattfinden
  • Welche Datenschutzmaßnahmen getroffen worden
  • Bezeichnung des jeweiligen Verfahrens
  • Definition der jeweiligen Zweckbestimmung und Rechtsgrundlage
  • Beschreibung der Personengruppe, deren Daten verarbeitet werden
  • Art und Umfang der gespeicherten Daten
  • Bei Auftragsdatenverarbeitung:
    der Empfänger bzw. Auftraggeber
  • Zugriffsrechte innerhalb der Daten verarbeitenden Stelle
  • Fristen der Aufbewahrung bzw. Zeitdauer bis zur Löschung der Daten
  • Technische und organisatorische Maßnahmen nach §9 BDSG (plus Anhang)
  • Eingesetzte Hard- & Software
  • Eingesetzte Datenbankmodelle

Handhabung von Mitarbeiterdaten

  • Erforderlichkeit der Zustimmung von Mitarbeitern zur Datenerfassung und Verarbeitung über den Arbeitsvertrag
  • Klauseln in Bezug der Verweigerung der Auskunft, Berichtigung, Löschung oder Sperrung sind unwirksam
  • Schutz der Daten vor Unbefugten
  • Nur Personenkreise mit berechtigtem Interesse dürfen diese Daten einsehen und bearbeiten

Schutzklassen – Einordnung nach:

  • Normale Betriebe
  • Polizei, Feuerwehr, Krankenhäuser
  • Daten müssen Relevants für Leben und Existenz der Betroffenen besitzen
  • Weitere Fälle in Bezug der Meinungsäußerung, Mitgliedschaften, Herkunft des Menschen, Vorstrafen, ...

Datentypen

  • Allgemeine freizugängliche Daten (Adressbücher, Internet, ...)
  • Organisationsbezogene Daten (Datenschutzgeheimnis)
  • Personenbezogene Daten (Folgen im Hinblick des Ansehens bzw. der Wirtschaftlichkeit)

Datenerhebungen

  • Datenspeicherung nur sofern eine Einwilligung der Betroffenen vorliegt, bzw. dies Aufgrund des Vertragsverhältnisses notwendig ist
  • Zulässigkeit der Datenspeicherung ist vor der Erhebung zu klären
  • Datensparsamkeit
    • Nur im erforderlichen Umfang sind Daten zu erheben
  • Zweckgebundene Datenerhebung

Gesetzliche Regelungen

  • Bundesdatenschutzgesetz (BDSG) /Landesdatenschutzgesetz (LDSG)
  • Abgabenverordnung
  • Betriebsverfassungsgesetz
  • Bundesverfassungsschutzgesetz
  • Einkommensteuergesetz
  • Informationsfreiheitsgesetz
  • Sozialgesetzbuch
  • Teledienstgesetz / Teledienstdatenschutzgesetz

Weitere Rechtsbegriffe

  • Einwilligungen Betroffener (z. B. Bilddokumentation)
  • Anzunehmende Einwilligung
  • gesetzlich geregelte Befugnisse bzw. Rechtfertigungsgründe gemäß § 34 StGB
  • gesetzliche Offenbarungspflichten

Struktur der Datenschutzgesetze

  • Europa:
    • European Data Protection Supervisor
  • Bundesrepublik:
    • Bundesbehörden, Privatwirtschaft – BDSG
  • Weitere Strukturen:
    • Sozialgesetzbuch (z.B. Jugendhilfe)
    • Strafgesetzbuch (z.B. ärztliche Schweigepflicht)
    • Dienstvereinbarungen

Durchsetzung des Datenschutzes

  • Rechtlicher Rahmen:
    • Datenschutzgesetze
    • Aufsichtsbehörden
    • Datenschutzbeauftragte als Besonderheit der Selbstregulierung

Anforderungen an Beschäftigte und Stellenleitungen

  • Akzeptanz der Mitarbeiter beachten
  • Klare Anweisungen für die Durchführung von Datenverarbeitungen erteilen
  • Klare Definition von Auskünften an Dritte
  • Regelmäßige Unterweisung der Mitarbeiter sicherstellen
  • Absicherung und Einfachheit der Verfahren beachten

Beschäftigtendatenschutz

  • Nur in begründeten Fällen dürfen medizinische oder psychologische Daten von Beschäftigten verarbeitet und verwendet werden
  • Wird ein Bewerber abgelehnt, so dürfen dessen Daten nur nach dessen Einwilligung gespeichert bleiben
  • Nach Ausscheiden eines Mitarbeiters müssen dessen Daten gelöscht werden. Nur in begründeten Fällen gibt es Ausnahmen
  • Über Datenspeicherungen am Arbeitsplatz dürfen keine Profile des Nutzers abgeleitet werden

Pflichten datenverarbeitender Stellen

  • Bestellung eines betrieblichen DSB Datenschutzbeauftragten
  • Verpflichtung aller Mitarbeiter zur Wahrung des Datenschutzes
  • Erstellung bzw. Meldung einer Verfahrensübersicht
  • Vertragliche Absicherung der Datenverarbeitungen im Auftrag
  • Erweiterte Kontrollpflichten bei automatisierten Abrufverfahren
  • Aufklärungspflichten Betroffener bei Datenerhebungen
  • Benachrichtigungspflichten und Löschpflichten beachten
  • Treffen technischer und organisatorischer Maßnahmen um den betrieblichen Datenschutz zu gewährleisten
  • Klares Impressum nach Außen
  • Nur eine zielgerichtete Verwendung der Daten ist zulässig (für jeweilige Aufgabengebiete notwendige Daten)
  • Eine Weitergabe an andere Stellen muss der Zweckbestimmung dienen
  • Nur eine autorisierte Stelle darf Daten verarbeiten

Verantwortung

  • Die jeweilige Abteilungsleitung und nicht wie oft vermutet der Datenschutzbeauftragte
  • Abteilungsleitung haftet bei Datenschutzverstößen (Datengeheimnisse), sofern diese nicht die Mitarbeiter gemäß den Datenschutzbestimmungen unterwiesen hat
    • Sowohl für Folgen der Nichteinhaltung, als auch für die Unterlassung
  • DSB – keine Weisungsbefugnis

Technischer Datenschutz

  • Zutritts- / Zugangskontrolle (Authentifizierung)
  • Zugriffskontrolle (Zugriff auf Ressourcen)
  • Eingabe-, Weitergabe- und Ausgabekontrolle (z. B. durch Protokollierung)
  • Auftragskontrolle (Datenverarbeitungen)
  • Verfügbarkeitskontrolle
  • Zweckseparierung von anderen Ressourcen

Zugangs-, Zutritts- und Zugriffskontrolle

  • Zugriffsregelungen über die IT >> per schriftlichen Antrag
  • Unberechtigte Eingabe, Bearbeitung, Löschung und Weitergabe von Daten muss wirksam unterbunden werden können
  • Schlüsselverwaltung (Schließrechte / Schließwege müssen klar sein)
  • Videoüberwachung
  • Spezielle Ausweise / Transponder ...

Passwörter

  • Erstellung einer Passwortrichtlinie
  • Einrichtung neuer sicherer Passwörter, sowie deren Übergabe an den Benutzer sicherstellen (z. B. verschlossener Brief)
  • Meldeweg für den Fall, dass ein Passwort einmal zurückgesetzt werden muss definieren

Internetzugänge

  • Jeweils aktueller Stand der Technik entscheidend
  • IP-Adressen geben Auskunft über besuchte Seiten
  • Protokolldateien geben Auskunft über den angemeldeten Rechner (Protokollierung darf nicht unangekündigt stattfinden)
  • Eventuelle Seitenbeschränkung vorsehen

E-Mails

  • Berechtigungen beachten
    • Auch im Vertretungsfall eines Mitarbeiters
  • E-Mail Archivierung
  • Verschlüsselte Übertragungen gewährleisten
  • Definition, welche Daten per E-Mail übertragen werden dürfen
  • E-Mail Anhänge per PDF senden

Online-Banking

  • PIN / TAN Verfahren
  • Regelmäßige Kontrolle der Bankbewegungen
  • Bei Transaktionsverfahren ggf. Mehraugenprinzip anwenden
  • Sicherheitsinformationen der Banken beachten

Betriebliche Datenschutzbeauftragte

  • Nicht weisungsgebunden
  • Direkter Zugang zur Leitung
  • Gewährleistung der Ausübung der Tätigkeit in Form von Sachmitteln und Zeiträumen
  • Regelung der DSB Vertretung
  • Keine Übernahme des DSB für IT-, Personalleiter und Geschäftsführungen
  • Prüfung der Benachrichtigungspflichten und Auskunftspflichten
  • Aufgaben:
    • Überwachung der Einhaltung von Datenschutzbestimmungen
    • Schulung der Mitarbeiter
    • Ausarbeitung des Verfahrensverzeichnisses
    • Beratende Funktion
  • Unterbleibt die Bestellung eines DSB, so stellt dies einen Bußgeldtatbestand dar!!!

Aufgaben des DSB:

  • Schulung und Beratung der Mitarbeiter
  • Überwachung der Datenverarbeitungsvorgänge
  • Hinweispflicht an die jeweilige Abteilungsleitung

Aufsichtsbehörden

  • Übersicht:
    • Europäischer Datenschutzbeauftragter
    • Bundesdatenschutzbeauftragter und Landesdatenschutzbeauftragte für die öffentlichen Stellen von Bund und Ländern
    • Aufsichtsbehörden einzelner Bundesländer für nicht-öffentliche 
    • Stellen der Bundesländer (künftig Zuständigkeit der Landesdatenschutzbeauftragten)
    • Datenschutzbeauftragte der Landeskirchen (und der Bistümer)
    • Datenschutzbeauftragte der Diakonischen Werke und des 
    • Diakonischen Werks Deutschland
    • Datenschutzbeauftragter der EKD für landeskirchen-übergreifende 
    • Werke und Einrichtungen
  • Öffentlicher Dienst:
    • Bundesdatenschutzbeauftragte / Landesdatenschutzbeauftragte
  • Privatwirtschaftlich
    • Die Bundesländer >> Datenschutzbehörden
  • Betroffene können sich jeweils an die direkte Stelle wenden
  • Behörden geben Auskünfte und stellen Informationen zur Verfügung

Datengeheimnis

  • Verpflichtung aller Mitarbeiter vor Aufnahme der Tätigkeit zur Wahrung des Datengeheimnisses
  • Erstreckt sich auf alle Mitarbeiterebenen
    • Hauptamtliche
    • Teilzeitbeschäftigte
    • Ehrenamtliche
    • Praktikanten
    • Azubis
  • Eventuell erweiterte Pflichten:
    • Ärztliche Schweigepflicht
    • Fernmeldegeheimnis
    • Postgeheimnis
    • Steuergeheimnis
  • Schulung per Merkblatt plus zusätzliche Erfordernisse in Bezug des jeweiligen Arbeitsbereiches
  • Mitarbeiter sind dazu zu verflichten
  • Betrifft alle dem Mitarbeiter in Erfahrung gebrachte Daten
  • Besteht auch nach Beendigung des Arbeitsverhältnisses fort

Rechte Betroffener

  • Betroffene haben Recht auf:
    • Auskunft über die Herkunft der Daten
    • Benachrichtigung über die Datenerhebung
    • Auskunft über alle gespeicherte Daten (Akten, IT),
    • Auskunft über den Zweck der Speicherung,
    • Auskunft über Stellen an die Daten übermittelt wurden / werden
    • Berichtigung, Sperrung oder Löschung
    • Widerspruchsrecht
    • Recht auf Löschung
    • Recht auf Berichtigung
    • Recht auf Sperrung
    • Recht auf Geheimhaltung und
    • Recht auf Benachrichtigung
    • Schadensersatz
    • Anrufung der Datenschutzkontrollinstanz
  • Die Auskunftsrechte können nicht durch ein Rechtsgeschäft / Vertrag ausgeschlossen oder beschränkt werden!!
  • Schadensersatz bei:
    • unzulässiger oder unrichtiger Datenverarbeitung
    • staatlichen Stellen ist die Haftung verschuldensunabhängig
  • Höchstbetrag 250.000 Euro - Verletzungen der 
  • Persönlichkeitsrechte plus Haftung nach BGB

Recht am eigenen Wort und Bild

  • Nicht nur das Urheberrecht ist zu beachten!!
  • Erforderlichkeit einer Einverständniserklärung in Bezug der Erstellung von Bild- und Ton-Aufnahmen
  • Erforderlichkeit einer Einverständniserklärung in Bezug der Veröffentlichung der Aufnahmen

Transparenzgebot

  • Offenlegung der datenverarbeitenden Verfahren
    • Interessengruppen
    • Datenspeicherung
    • Datenverarbeitungsverfahren (Telefon, E-Mail, per Software automatisch)
  • Benennung des Datenschutzbeauftragten
    • Intern / Externer DSB

Zweckbindungsgrundsatz

  • Daten dürfen nur für bestimmte Zwecke erhoben, verarbeitet und genutzt werden
  • Keine Vorratsdatenspeicherung
  • Der Zweck ergibt sich aus der Einwilligungserklärung bzw. aus dem Gesetz
  • Zweckbestimmung beachten

Beachtung des organisatorischen und technischen Datenschutzes

  • Definition eindeutiger Vorgaben und Verfahren für:
    • Datenerhebung
    • Datenspeicherung
    • Datenverarbeitung / Datenweitergabe

Interesse der Allgemeinheit

  • Gehen immer vor!
  • Gesetzgeber gibt gesetzliche Vorgabe
  • Was nicht ausdrücklich erlaubt von Gesetz oder der betreffenden Person wurde, ist verboten! – Deshalb immer eine schriftliche Einverständniserklärung einholen

Personenbezogene Daten

  • Jeweils der Bezug der Daten zur Person
  • persönliche und sachliche Verhältnisse einer Person:
    • Daten
    • Meinungsäußerungen
    • Tonträgeraufnahmen
    • Bilder
  • >> Vollumfänglicher Datenschutz

Persönlichkeitsrechte

  • Gemäß Art.1 Abs. 1 Grundgesetz „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist die Verpflichtung aller staatlichen Gewalt“
  • Höchstes schützenswertes Gut
  • Recht jedes Einzelnen zu bestimmen, wie wann und wo Daten erhoben, verarbeitet und weitergegeben werden
  • Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (Artikel 2 Abs. 1 GG)
  • Recht jedes Einzelnen zu bestimmen, wie wann und wo Daten erhoben, verarbeitet und weitergegeben werden
  • Gemäß Art. 2 Abs. 1 GG „Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“

Recht / Verträge / Verpflichtungen / Abläufe

  • Register für:
    • Software
    • Hardware
    • Akten
    • Verfahren
    • Archive
  • Unterweisung der Mitarbeiter (schriftliche Bestätigung einholen)
  • Verpflichtung der Mitarbeiter gemäß jeweils geltender Gesetze
  • Verhaltensregelung (z. B. Pfortenauskünfte, Telefonauskünfte)
    • Verträge mit Subunternehmen (z. B. IT, Elektro, …)
    • Datenschutz externer
    • Verträge zur Fernwartung
    • Verträge zur DS bei Outsourcing
    • Versicherungsverträge (EDV-, Brand-, Wasserschaden, …)
  • Regelungen für:
    • Faxbenutzung
    • Telefonbenutzung
    • Postumgang / Postumlauf
    • Aktenumlauf
    • Reinigungskräfte
    • Auskünft an Betroffene / Dritte
    • Datenübermittlungen an nicht öffentliche Stellen
    • Das Notfallmanagement

EDV-Anforderungen

  • Regelungen für:
    • Zutritte
    • Zugänge
    • Zugriffe
    • Weitergabekontrollen
    • Eingabekontrollen
    • Auftragskontrollen
    • Verfügbarkeitskontrollen
    • Vorabkontrolle mobile DV-Einrichtungen
    • Testabläufe von Soft- und Hardware
    • Hardwareeinführungen und Nutzung
    • Softwareeinführungen und Softwarenutzung
    • Softwaretausch/-änderung
    • Hardwaretausch/-änderung
    • Wartungsarbeiten
    • Verträge zur Fernwartung
    • Hard-/Software-Schulungen
    • Datenerhebungen
    • Datenveränderung
    • Datensperrungen
    • Datenlöschungen
    • Datenweiterleitung intern/extern–Datennutzungen von 
    • personenbezogenen Daten für Forschung
    • Datenträgerlagerung
    • Datenträgerentsorgung
    • Die Erteilung von Einwilligungen der Betroffenen zur DV-Verarbeitung
    • Datenauskünfte an Betroffene
    • Organisationsanweisungen
    • Berechtigungskonzept
    • Stellenbeschreibung mit DS-Aspekten / Stellvertreterregelung
    • Regelungen zur Passwort-Verwendung
    • E-Mail-Nutzung (geschäftlich / privat)
    • Internetnutzungen
    • Externe Schnittstellen
  • Die Beschreibung des Netzwerkaufbaues / der PC´s / der Serverlandschaft

Gebäude

  • Regelungen für:
    • Schließanlage
    • Schlüsselmanagement / externen Schlüsselbesitz
    • Verschiedene Sicherheitsgruppen
    • Überwachungseinrichtungen
    • Personenbezogene Zugangsberechtigungen
    • Räume mit speziellen Zugangsvoraussetzungen
    • Brandabschnitte und personenbezogene Daten
© 2025 WirtschaftsPerformance.com