Datenschutz

Regelmäßig hört und liest man von „Datenpannen“: gehakte Server und E-Mail-Konten, Sicherheits­probleme mit Clouds, hier taucht eine Diskette mit individuellen Daten von tausenden Versicherten auf, dort wird eine CD mit Bankdaten zum Kauf angeboten. Diese Fälle sind zwar sehr medien­wirksam, aber vorsätzliche Handlungen wie „Insider-Datenklau“ oder höhere Gewalt und technisches Versagen machen nur einen kleinen Teil der Pannen aus.

Bei rund 80 Prozent der „Datenpannen“ sind die Ursachen organisatorische Mängel, z. B. keine einheitlichen Regeln im Umgang mit persönlichen Daten bzw. deren Nicht­einhaltung, Unkenntnis der bearbeitenden Personen, ungeschützte Zutritts- und Zugangs­möglichkeiten, schlampiger Umgang mit vorhandenen Sicherheits­vorkehrungen, Sicherheits­software, Passwörtern etc.

Personenbezogene Daten

Das Handling personenbezogener Daten ist gesetzlich geregelt durch:

• EU-DSGVO (EU-Datenschutz-Grundverordnung) – seit 25. Mai 2018 geltendes Recht
• BDSG (neu) – seit 25. Mai 2018
• Telemediengesetz (TMG) § 13 Pflichten des Diensteanbieters

Die Regelungen definieren u. a. Erhebung, Speicherung, Verarbeitung und Nutzung von personen­bezogenen Daten unter Beachtung von

• Zweckbindung
• Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO)
• Transparenz
• Schutz Minderjähriger
• Recht auf Vergessen­werden
• Datensicherheit

Was besagt die EU-DSGVO?

Seit dem 25. Mai 2018 ist die EU-DSGVO geltendes Recht in allen EU-Mitgliedstaaten.

Das Ziel ist eine Vereinheitlichung europäischen Datenschutz­rechts und der Schutz der Grundrechte und Grund­freiheiten natürlicher Personen (insbesondere Recht auf Schutz der personen­bezogenen Daten und der freie Verkehr personen­bezogener Daten).

Neu gegenüber dem BDSG sind z. B.

• „Marktortprinzip“ (DSGVO gilt für alle in der EU agierenden Unternehmen)
• strengere Transparenz- und Informations­pflichten
• „Datenschutz-Folgen­abschätzung“ statt „Vorab­kontrolle“ (erforderlich beim Umgang mit besonders sensiblen personen­bezogenen Daten)
• höhere Bußgelder bei Verstößen

Datenschutz-Organisation

Organisieren Sie die Geschäfts­abläufe in Ihrem Unternehmen so, dass sie einerseits den datenschutz­rechtlichen Anforderungen entsprechen und anderer­seits Ihre Geschäfts­grundlage langfristig gesichert ist.
Schlagwörter hierzu: Imageverlust durch Datenpanne bzw. auch Wirtschafts­spionage.

Klassifizieren Sie Ihre Daten und stimmen Sie den Schutz­bedarf entsprechend ab! Schutz­möglichkeiten sind u. a.

• klare Regeln für alle Mitarbeiter
• Kontrolle der Einhaltung und regel­mäßige Schulungen
• Zugriffsschutz (sichere Passwörter)
• regelmäßige Programm-Updates
• Backups (Daten­sicherungen)
• Zutritts­kontrolle (Personal­akten, Patienten­akten, Server­räume etc.)
• klare Regelungen mit EDV-Dienstleistern

Daten­schutz­beauftragte/r

Datenschutz geht alle an, ob Einzel­unternehmen oder Konzern. Ein Datenschutz­beauftragter kann Sie unterstützen – von der Analyse Ihres Daten­handlings bis zur Umsetzung und Einhaltung der rechtlichen Regeln.

Wer muss einen Daten­schutz­beauftragten bestellen?

• jede öffentliche Stelle
• jedes Unternehmen (unabhängig der Mitarbeiter­anzahl), dass z. B. Gesundheits­daten verarbeitet
• jedes Unternehmen (nicht öffentliche Stelle), in dem regelmäßig mehr als 9 Personen automatisiert mit personen­bezogenen Daten umgehen (inkl. Geschäfts­führung, Azubis, Praktikanten)
• melde­pflichtige Daten­verarbeitung (z. B. Adress­handels­firmen, Markt-/Meinungs­forschungs­institute, Auskunfteien)

Es kann sowohl ein interner als auch externer Daten­schutz­beauftragter eingesetzt werden.

Einschränkung interner Datenschutz­beauftragter:
u. a. kein Mitglied der Geschäfts­leitung, kein System­administrator

Einschränkung externer Datenschutz­beauftragter:
u. a. kein für das Unternehmen tätiger EDV-Dienstleister

---

Nur wer die Regeln kennt...

Unsere Mitarbeiterin, Frau Britta Schweers, ist seit Oktober 2009 zertifizierte Datenschutz­beauftragte (TÜV NORD).