Wenn Sie mit der Datenverarbeitung personenbezogener Daten zu tun haben, sind Sie in Ihrem Bereich und an Ihrem Arbeitsplatz für die Einhaltung des Datenschutzes zuständig. Die folgenden einfachen Regeln helfen Ihnen im korrekten Umgang mit und beim Schutz personenbezogener Daten Ihrer Kunden, Mitarbeiter, Kollegen und Kooperationspartner.
Grundwissen personenbezogene Daten
Personenbezogene Daten sind Angaben, die zu einer bestimmten oder bestimmbaren Person (Betroffener) gehören. Sie erlauben Rückschlüsse auf deren persönliches Umfeld, Vorlieben und Präferenzen. Der Umgang mit diesen Daten unterliegt gemäß der DSGVO (Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz) spezifischen Regeln. Bei der Verarbeitung besonders sensibler Daten (bspw. Gesundheitsdaten oder biometrische Daten) gelten darüber hinaus noch restriktivere Vorgaben.
Merksatz: Die Erhebung und weitere Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten – es sei denn, man hat die Erlaubnis der betroffenen Person, oder eine andere Rechtsgrundlage der DSGVO gestattet es.
Wer ist verantwortlich? Wer ist zuständig?
Im Außenverhältnis ist stets die oberste Führungsebene (also die Geschäftsführung, der Vorstand etc.) für die Einhaltung des Datenschutzes verantwortlich und rechenschaftspflichtig. Personenbezogene Daten werden jedoch an vielen Stellen verarbeitet, ein Mindestmaß an Sicherheit ist deshalb auch von jedem Einzelnen gefordert.
- Jede / jeder Beschäftigte ist für die Einhaltung des Datenschutzes an seinem Arbeitsplatz und in seinem Aufgabengebiet zuständig
- Jede / jeder Beschäftigte sollte in seinem Arbeitsverhältnis dazu beitragen das Unternehmen vor Schäden (Bußgeldern, Imageschäden, Straftaten etc.) zu bewahren
- Bei Änderung oder Einführung neuer Systeme und Verfahren ist am besten frühzeitig Rücksprache mit dem Datenschutzbeauftragten zu halten
Ziele des Datenschutzes
Grundsätze des Datenschutzes
Rechtmäßigkeit
Für die Datenverarbeitung muss eine Einwilligung des Betroffenen oder eine andere valide Rechtsgrundlage vorliegen. Eine mögliche Rechtsgrundlage besteht zum Beispiel darin, wenn die Daten des Betroffenen für die Abwicklung eines Vertrages oder vorvertraglicher Maßnahmen mit ihm verarbeitet werden müssen.
Zweckbindung
Werden Daten für einen bestimmten Zweck erhoben bzw. gespeichert, dann dürfen diese auch nur für diesen Zweck weiterverarbeitet werden, sie sind zweckgebunden.
Datenminimierung
Es dürfen nur die Daten verarbeitet werden, die für den angegebenen Zweck erforderlich sind. Zusätzliche Datenbestände mit „Nice-To-Have-Charakter“ sind tunlichst zu vermeiden bzw. im Normalfall sogar unzulässig.
Transparenz
Die betroffene Person darf jederzeit wissen, wer welche Daten über sie speichert. Daten dürfen nicht ohne Weiteres weitergegeben werden. Über eine Weitergabe (bspw. an Dienstleister oder Behörden) ist die betroffene Person im Vorfeld der geplanten Verarbeitung zu unterrichten.
Rechte des Betroffenen
Die betroffene Person hat diverse Rechte bezogen auf ihre personenbezogenen Daten. Dazu gehört bspw. ein Auskunftsrecht über die verarbeiteten Daten ebenso wie etwa das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung.
Sicherheit in der Verarbeitung
Technische und organisatorische Maßnahmen (TOMs) sollen dabei helfen, die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen und ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Datenschutz einfach & strukturiert mit DSM-Online umsetzen. 14 Tage kostenlos & unverbindlich testen!
Achten Sie auf Zusatzvereinbarungen zum Datenschutz
Es gibt zahlreiche Gründe, warum ein Unternehmen Zusatzvereinbarungen im Arbeitsverhältnis mit seinen Mitarbeitern den Datenschutz betreffend eingehen sollte: Nutzung von Firmen-Smartphones, bei Homeoffice-Verträgen, bei Einbringung eigener Infrastruktur (auch BYOD „Bring Your Own Device“ genannt) – bei all diesen Prozessen sind datenschutzrechtliche Aspekte zu beachten und möglichst eindeutig zu regeln.
Auch in der Zusammenarbeit mit externen Dienstleistern können Datenschutzvereinbarungen zusätzlich zum Leistungsvertrag nötig sein: Je nach Tätigkeit können Auftragsverarbeitungsverträge, spezifische Geheimhaltungsverpflichtungen oder Sonderformen wie etwa sog. „Joint-Control-Agreements“ erforderlich werden. Ziehen Sie hier in jedem Fall den Datenschutzbeauftragten zur richtigen Einordnung zurate.
Das dürfen Arbeitgeber
Auf der anderen Seite haben auch Arbeitgeber gewisse Pflichten bzw. Arbeitnehmer bestimmte Rechte in Bezug auf Ihre personenbezogenen Daten am Arbeitsplatz. Auch Mitarbeiterdaten sind zweckgebunden. Laut dem BDSG ist es Arbeitgebern nur erlaubt Daten zu verarbeiten, die zum Beginn, der Durchführung und der Beendigung des Beschäftigungsverhältnisses notwendig sind. Dazu gehören z. B. Angaben zur Person, die Adresse, die Kontoverbindung und Steuerangaben.
Ein weiterer Aspekt, der häufig für Streit und Probleme sorgt, ist die Videoüberwachung am Arbeitsplatz. Diese ist im Arbeitsverhältnis ausschließlich gestattet, wenn der dringende Tatverdacht auf eine Straftat besteht und dann auch nur über einen befristeten Zeitraum. Ausnahmen wären beispielsweise in einer Bank oder Tankstelle. Unser Rat an der Stelle: Datenschutzbeauftragten oder Behörde kontaktieren.
Wie verhalten Sie sich richtig?
Tipps zum Schutz personenbezogener Daten und der Unternehmensdaten
Am Telefon |
|---|
| Kunden dürfen im Vertragsverhältnis Änderungen der Kontaktdaten telefonisch ändern. |
| „Heikle“ Informationen bevorzugt per verschlüsselter E-Mail oder in Briefform austauschen |
| Bevor Sie Informationen herausgeben, vergewissern Sie sich stets auf angemessene (!) Art und Weise (Legitimation), dass es sich auch tatsächlich um den Betroffenen handelt |
| Kein „Mithören mit Lautsprecher“ oder Aufzeichnung ohne nachweisbare Erlaubnis! |
Im Umgang mit Besuchern |
|---|
| Besucher Ihres Unternehmens können Kunden, externe Dienstleister, Lieferanten etc. sein. |
| Vergewissern Sie sich, ob der Besuch – vor allem Servicetechniker (EDV) – tatsächlich beauftragt war |
| Lassen Sie Gäste an „heiklen“ Orten nicht alleine |
| Vermeiden Sie allgemein einsehbare Besucherlisten sondern bevorzugen Sie einzelne Blätter. Beschränken Sie die Datenerfassung auf das Wesentliche und löschen Sie sie nach spätestens 4 Wochen. Das selbe gilt für eine elektronische Erfassung. |
Am Kopiergerät und Drucker |
|---|
| Zugriffskontrolle: stellen Sie sicher, dass bei der Nutzung nur berechtigte Personen Zugriff auf die Dokumente haben, insbesondere wenn Sie Dokumente mit personenbezogenen Daten kopieren oder drucken |
| Achten Sie darauf, dass Dokumente direkt aus dem Gerät entnommen werden |
| Achten Sie unbedingt darauf, dass Zwischenspeicher regelmäßig gelöscht werden |
Datenpanne – was tun?
Wenn Informationen in falsche Hände geraten oder unbeabsichtigt verloren gehen, ist ein schneller und richtiger Umgang mit dem Vorfall wichtig. Vor allem sind die Unternehmensführung und der Datenschutzbeauftragte (wenn bestellt) frühzeitig zu unterrichten. Meldepflichtige Datenschutzvorfälle etwa sind der Aufsichtsbehörde für den Datenschutz innerhalb von 72 Stunden nach Kenntnisnahme der Panne anzuzeigen! Ansonsten drohen hohe Strafen/Bußgelder.
Wir helfen Ihnen dabei den Vorfall korrekt einzuordnen und entsprechende Maßnahmen zu ergreifen. Ihre Nummer für den Notfall: 08142 42050 30.
