Datenschutz … geht auch Sie etwas an!

 [ Diese Datenschutz-Präsentation gibt es auch als PDF ]

Das Bundesdatenschutzgesetz (BDSG) stellt den Kern des deutschen Datenschutzrechts dar. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn entweder eine ausdrückliche Einwilligung der betroffenen Personen oder aber eine entsprechende Gesetzesvorschrift vorliegt. Beim Umgang mit personenbezogenen Daten gilt der Grundsatz: Solche Handlungen unterliegen einem „Verbot mit Erlaubnisvorbehalt“.

Unternehmungen, Vereinigungen, Freiberufler,  Selbständige aber auch Privatleute sind als s.g. „Verantwortliche Stelle“ zwangsläufig von den Auflagen des Datenschutzrechts betroffen:

• sobald personenbezogene Daten, z.B. von Mitarbeitern, Kunden, Lieferanten oder sonstigen Dritten automatisiert oder in strukturierten Datensammlungen verarbeitet werden,
  (§1 Abs. 2 Nr. 3 BDSG)
• auch bei anderer Verarbeitung, wenn die personenbezogenen Daten aus einer automatisierten Verarbeitung entnommen wurden, z.B. aus Ausdrucke, von Listen,
  (§27 Abs. 2 BDSG)
• und wenn personenbezogene Daten von Beschäftigen verarbeitet werden.
  (§32 Abs. 1 und 2 BDSG)

Verstöße sind nach den Novellen des Bundesdatenschutzgesetztes keine Bagatelle mehr: Es drohen Ordnungsstrafen von bis zu €50.000, bei schweren Vergehen €300.000, ggf. mit Gewinnabschöpfung, oder Haftstrafen von bis zu 2 Jahren. (§§ 42a, 43 u. 44 BDSG)

In der Folge ergibt sich für die Betroffenen, dass sie von der Verantwortlichen Stelle  direkt oder über zwei bundesweit erscheinende Tageszeitungen über Verstöße informiert werden müssen, Schadenersatzansprüche stellen können und über den zivilen Klageweg oder Verbraucherverbände auf Unterlassung klagen können.

Unter den genannten Bedingungen sind Sie verpflichtet …

• einen (betrieblichen oder externen) Datenschutzbeauftragten zu bestellen ,
  (§§ 4f u. 4g BDSG)
  
• Verfahren zur automatisierten Verarbeitung der zuständigen Aufsichtsbehörde zu melden, wenn kein Datenschutzbeauftragter bestellt wurde und in der Regel mehr als 9 Personen bei der Verarbeitung personenbezogener Daten beschäftigt sind, 
  (§§ 4d Abs. 1 bis 4 u. 4e)
• soweit automatisierte Verarbeitung besondere Risiken der Betroffenen aufweist, ist diese vor deren Einsatz einer Prüfung zu unterwerfen,
  (§4d Abs. 5 u. 6)
• Betroffenen kostenlos vollständige Auskunft über gespeicherte personenbezogene Daten zu erteilen und diese ggf. zu berichtigen, zu löschen oder zu sperren,
  (§§6, 35, 32 u.a. BDSG)
• ein Verfahrensverzeichnis zu erstellen und auf Antrag jedermann in geeigneter Weise verfügbar zu machen,
  (§4g Abs. 2 u. 2a)
• die bei der Datenverarbeitung beschäftigten Personen auf das Datengeheimnis zu verpflichten,
   (§5 BDSG)
• Aufsichtsbehörden unverzüglich erforderliche Auskünfte zu erteilen und ggf. Zutritt zu Grundstücken und Geschäftsräumen zu gewähren.
  (§§22 u. 38 BDSG)

   Ziel: Transparenz für die Beteiligten!

Und hier lauern beispielhaft Risiken?

• Sie versenden Werbung mit der Post, oder  besonders risikoreich, per E-Mail?
• Sie gestatten Mitarbeitern die Internet-Nutzung am Arbeitsplatz sowie E-Mail-Verkehr zu privaten Zwecken? Oder umgekehrt: Sie haben dies ausdrücklich untersagt. Wie bleibt das Verbot wirksam?
• Sie betreiben eine Videokamera oder Web Cam?
• Sie führen Einstellungsgespräche?
• Sie haben Ihre IT-Infrastruktur oder Personalverwaltung teilweise oder vollständig per Outsourcing ausgelagert?
• Sie nutzen WLAN?
• Ihr Unternehmen gehört einem Konzern oder einem Unternehmensverbund an?
• Sie beauftragen externe Dienstleister mit der Wartung Ihrer Anlagen oder Entwicklung von Software?
• Gelegentlich werden Altgeräte Ihrer IT-Infrastruktur verschrottet?
• Sie gehören einer besonderen Berufsgruppe an? (Anwalt, Steuerberater, Arzt)

Dies sind die Aufgaben des Datenschutzbeauftragten (DSB) gemäß §4g BDSG:

• Wirkt auf die Einhaltung des BDSG und anderer Datenschutz-Vorschriften hin.
• Überwacht die ordnungsgemäße Anwendung von DV-Programmen, die personenbezogene Daten verarbeiten. Er ist über Vorhaben zur automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten.
• Schult die bei der Verarbeitung personenbezogener Daten tätigen Personen und macht sie mit Vorschriften vertraut.
• Empfängt von der verantwortlichen Stelle (dem Unternehmen) eine Liste der Verfahren und Namen von Personen mit Zugriff auf personenbezogene Daten.
• Erstellt ein Verfahrensverzeichnis (nach §4e Abs. 1-8 BDSG), das auf Antrag jedermann auszuhändigen ist.
• Wendet sich in Zweifelsfällen an die zuständige behördliche Stelle und kann Beratung in Anspruch nehmen.

Die Vorteile eines externen Datenschutzbeauftragten (DSB):

• Betriebliche Ressourcen werden nicht gebunden, eine zusätzliche Ausbildung eines internen Mitarbeiters ist nicht erforderlich.
• Der finanzielle Aufwand kann begrenzt und der Abruf von Leistungen bei Bedarf erhöht werden, z.B. bei Projekten oder wenn die Einführung neuer Verfahren bevorsteht.
• Zugriff auf stets aktuelles Experten-Wissen.
• Bei Bedarf Zugriff auf Kooperationspartner des externen DSB, wie z.B. Fachanwälte für IT-Recht, IT-Experten für Netzwerke, SAP, Datenbankensysteme.

Unser Programm und Angebot:

• Vertretung des Unternehmens als externer Datenschutzbeauftragter (DSB)
• Ist-Aufnahme aller automatisierten Verfahren und Erstellung eines internen und eines öffentlichen Verfahrensverzeichnisses
• Erstellung eines Datenschutzkonzepts, Datensicherungs-, IT-Sicherheitskonzepts
• Durchführung von Schulungen
• Erstellung von Richtlinien und Arbeitsanweisungen
• Zulässigkeitsprüfungen und Vorabkontrollen
• Durchführung von Datenschutz-Audits
• Überprüfung technisch-organisatorischer Maßnahmen für die IT-Sicherheit
• Überprüfung von Verträgen mit Auftragsdatenverarbeitern
• Erstellung jährlicher Datenschutzberichte
• Prüfung von Anfragen von Betroffenen und Erteilung von Auskünften
• Erstellung von Datenschutz-Gutachten

Unser Angebot richtet sich auch an Privatpersonen.

Erste unverbindliche Anfragen richten Sie gerne per E-Mail an datenschutz@dbsc.de.