Datenschutz nach BSDG:

Seit Januar 2013 bieten wir Ihre folgende Dienste rund um das Thema Datenschutz an

Bestands- und Risikoanalyse Datenschutz:
Datenschutz und IT-Sicherheit sind zentrale Aufgaben für ein Unternehmen. Um die zahlreichen Vorgaben aus dem Bundesdatenschutzgesetz (BDSG) mit dem produktiven Alltag bei in Ihrem Unternehmen in Einklang zu bringen und eine vernünftigen Kosten/Nutzenanalyse durchzuführen, ist eine Bestands- und Risikoanalyse zum Thema Datenschutz notwendig.
In Form von Interviews erarbeiten wir Antworten auf Fragen zu zehn Bereichen, in denen es zu Datenpannen kommen kann. Die Bestandsaufnahme ist mit einer ersten Ortsbegehung verknüpft, weil wir dabei unser Bild von den Risiken vervollständigen können.

 

Das Pflichtenheft für den Datenschutz:

Das Datenschutzkonzept ist das Pflichtenheft für den Datenschutz.
In Form eines Interviews erarbeiten wir Antworten auf Fragen zu unterschiedlichen Bereichen, die für den Datenschutz von Bedeutung sind. Das beinhaltet u.a Fragen zu Verträgen mit externen Dienstleistern, zu Eigentumsverhältnissen und anderen Interna Nach der Erstellung besprechen wir das Datenschutzkonzept, bevor es in Kraft tritt.
Das Datenschutzkonzept enthält eine Auflistung der aus Sicht des Datenschutzes zu ergreifenden Maßnahmen. Es enthält die wesentlichen rechtlich relevanten Hinweise und bildet das Pflichtenheft für den Datenschutzbeauftragten, der den Datenschutz im Unternehmen umsetzt. Es kann auch Grundlage sein für das Einholen von Angeboten, wenn Dienstleistung extern vergeben werden soll. Außerdem wird mit dem Datenschutzkonzept die Grundlage für die Erfüllung der Organisationsverpflichtung des Datenschutzgesetzes gelegt.
Das Datenschutzkonzept ist eine konkrete Handlungsanleitung als Voraussetzung für die revisionssichere Umsetzung des Datenschutzes. Das Datenschutzgesetz ist ein Verbotsgesetz mit Erlaubnisvorbehalt, das heißt, die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist ausdrücklich durch ein Gesetz erlaubt oder der Betroffene, dessen Daten verarbeitet werden, hat zugestimmt. Die Geschäftsleitung hat demnach die gesamte Organisation des Unternehmens daraufhin auszurichten, dass es zu keiner Verletzung des Grundrechts der informationellen Selbstbestimmung kommt. Dies erfordert, ein Konzept für die Umsetzung des Datenschutzgesetzes zu erstellen, das die ganze Vielfalt der Daten von Kunden, Mitarbeitern und anderen Menschen, mit denen das Unternehmen zu tun hat, berücksichtigt. Mit einem Datenschutzkonzept beginnt die Erfüllung der diesbezüglichen Sorgfaltspflicht.

Verfahrensdokumentation:

Die Verfahrensdokumentation ist die Grundlage für die Umsetzung des Datenschutzes. Sie ist eine Zusammenstellung aller Verfahren oder Prozesse, bei denen personenbezogene Daten verarbeitet werden. Verarbeiten bedeutet das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. In jedem Unternehmen werden mindestens Kunden-, Mitarbeiter- und Lieferantendaten verarbeitet. Im Einzelnen sind es durchschnittlich 40 bis 50 unterschiedliche Verfahren oder Prozesse, die in einem Unternehmen zur Anwendung kommen. Die Form und der Umfang der Verfahrensdokumentation ist gesetzlich vorgeschrieben und nach den Vorgaben des § 4g und 4e BDSG vorzunehmen. Verfahrensdokumentationen sind aktuell zu halten.
Zusammen ermitteln wir, welche Verfahren zur Verarbeitung personenbezogener Daten bei Ihrer Firma vorkommen. Wir prüfen, ob die Verfahren den Forderungen des § 3a BDSG (Datenvermeidung und Datensparsamkeit) entsprechen. Wenn wir  Möglichkeiten zur Verbesserung sehen, erarbeiten wir Vorschläge zur Optimierung der Prozesse. Gleichzeitig ermitteln wir, bei welchen Verfahren gegebenenfalls eine Vorabkontrolle nach § 4d Abs. 5 und 6 durchzuführen ist. Eine Prüfung der Risiken von Datenschutzverletzungen im Zusammenhang mit dem jeweiligen Verfahren und der Umsetzung der in § 9 festgelegten technischen und organisatorischen Maßnahmen schließt die Verfahrensdokumentation ab.

 

Für jedes Verfahren erstellen wir:

• eine den gesetzlichen Vorgaben entsprechende Verfahrensbeschreibung
• eine Analyse, ob besonders sensible Daten verarbeitet werden, welche Schutzmaßnahmen zu ergreifen sind und ob die vorhandenen Schutzmaßnahmen den einschlägigen Datenschutzvorschriften entsprechen
• eine Auswertung, welche Dokumente in Papierform und in elektronischer Form im Verfahren entstehen und angewendet werden
• ein Ergebnis der Prüfung, ob die technischen und organisatorischen Maßnahmen den Anforderungen des § 9 BDSG genügen
• ein Ergebnis der Prüfung, ob im Zusammenhang mit dem jeweiligen Verfahren eine Vorabkontrolle zu erfolgen hat, ob diese bereits erfolgt ist und wie sie gegebenenfalls durchzuführen bzw. zu aktualisieren ist
• ein Ergebnis der Prüfung, ob die Grundsätze der Datenvermeidung und der Datensparsamkeit gewahrt sind
• eine Risikoabschätzung
• Vorschläge zur Risikoprävention

Durchführung von Vorabkontrollen:

Eine Vorabkontrolle ist immer dann durchzuführen, wenn automatisierte Verarbeitungen personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Zum Beispiel Videoaufnahme von Mitarbeitern. Dies gilt vor allem dann, wenn besonders sensible Daten nach § 3 Abs. 9 verarbeitet werden oder wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Zuständig für die Vorabkontrolle ist alleine der Datenschutzbeauftragte. Er alleine trägt die Verantwortung für die Beurteilung, ob es sich um ein Verfahren handelt, das besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist.
Die erforderlichen Vorabkontrollen werden ausgeführt und dokumentiert.
Durch die Erfüllen der Verpflichtungen aus dem Bundesdatenschutzgesetz vermeiden wir Datenschutzverstöße und eventuelle Reaktionen der Aufsichtsbehörden, die häufig eine negative Berichterstattung in den Medien nach sich ziehen.

Dokumentation der technischen und organisatorischen Maßnahmen:

Die technischen und organisatorischen Maßnahmen, die laut Bundesdatenschutzgesetz ergriffen werden müssen, um den Datenschutz gesetzeskonform umzusetzen, machen mehr oder weniger klare Vorgaben, wie Datenschutz in Unternehmen zu organisieren ist. Insgesamt werden acht Maßnahmenbereiche erklärt. Über den Vorgaben steht eine organisatorische Gesamtverpflichtung für jedes Unternehmen. Wenn durch Aufsichtsbehörden Kontrollen vor Ort durchgeführt werden, ist die Kontrolle der technischen und organisatorischen Maßnahmen regelmäßig das Kernstück der Prüfung.

Erstellen der Datenschutzrichtlinien:

Technische und organisatorische Entwicklungen machen permanente Überprüfungen erforderlich, die zeigen, ob die im Zusammenhang mit der Organisationsverpflichtung erforderlichen Maßnahmen noch greifen. Als Grundlage hierfür müssen Datenschutzrichtlinien formuliert werden. Diese sollten an die Prozessabläufe aus dem Qualitätsmanagement unmittelbar angebunden sein. Mit den Datenschutzrichtlinien, sozusagen der Gebrauchsanweisung für den Datenschutz, haben alle Mitarbeiterinnen und Mitarbeiter die erforderlichen Informationen in der Hand, um den Datenschutz bewusst so umsetzen zu können, wie das nach den gesetzlichen Vorgaben und den selbst gesetzten Zielen getan werden soll.

Schulung der Mitarbeiter zum Datenschutz:

Das Datenschutzgesetz verpflichtet den Datenschutzbeauftragten, die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

Unterstützung bei der Auftragsdatenverarbeitung:

Das Datenschutzgesetz verpflichtet im neu gefassten § 11 die Auftraggeber im Zusammenhang mit Auftragsdatenverarbeitung zu einem sehr sorgfältigen Vorgehen. Neu ist unter anderem, dass die Verträge zwischen Auftraggeber und Auftragnehmer ganz konkrete Inhalte haben müssen (vgl. § 11 BDSG, der zum 01.09.2009 in Kraft trat).
Für alte und neue Verträge gilt demzufolge:
Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
• der Gegenstand und die Dauer des Auftrags
• der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
• die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen
• die Berichtigung, Löschung und Sperrung von Daten
• die nach § 11 Absatz 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen
• die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen
• die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
• mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen
• der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält
• die Rückgabe überlassener Datenträger und die Löschung der beim Auftragnehmer gespeicherten Daten nach Beendigung des Auftrags.

Wichtig: Wird der neue § 11 BDSG nicht beachtet, droht nun, also seit dem 1. September 2009, gemäß § 43 Abs. 1, Nr. 2b, Abs. 3 (neu) BDSG ein Bußgeld bis 50.000 Euro pro Verstoß.

Das sollten wir tun:

• Wir stellen zusammen alle Verträge zusammen, in denen Auftragsdatenverarbeitung geregelt ist.
• Sollten die Verträge nicht an einer Stelle zusammengefasst sein, erstellen wir eine zentrale Vertragsübersicht im Sinne eines zentralen Vertragsmanagements.
• Gemeinsam informieren wir alle Auftragnehmer und fügen eine auf dieser Gesetzesänderung basierende Vertragsänderung bzw. -ergänzung bei (einen entsprechenden Vorschlag erhalten Sie von uns). Sie  als Auftraggeber haben zur Vertragsanpassung keine Alternative.
• Wichtig ist auch, künftig für neu abzuschließende Verträge von vorneherein diese Regelungen zum Vertragsbestandteil zu machen.
• Sollten Auftragnehmer nicht reagieren oder nicht mit den Ergänzungen einverstanden sein, haben Sie – wegen gesetzlicher Verpflichtung – in aller Regel als letztes Mittel ein Sonderkündigungsrecht.