Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Transkript

1 Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen und anderen Einrichtungen helfen, ihre gesetzlichen Pflichten zum Datenschutz zu beurteilen und die sachlichen Modalitäten einer Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz kennenzulernen, wie sie im Mittelstand und bei anderen Einrichtungen vergleichbarere Größe aus wirtschaftlichen Gründen häufig eingesetzt wird. Nähere Einzelheiten zu diesen Fragen müssen natürlich einem direkten Gespräch vorbehalten sein. Die externe Datenschutz-Betreuung umfaßt eine Reihe von Aufgabenbereichen, die teilweise in den geltenden datenschutzrechtlichen Bestimmungen ausdrücklich festgelegt sind (an diesen Stellen wird nachstehend auf die entsprechenden Bestimmungen des Bundesdatenschutzgesetzes verwiesen) oder die sich in Interpretation der datenschutzrechtlichen Bestimmungen in der gesamten Datenschutzbranche als Betreuungsstandard etabliert haben und von den Datenschutz-Aufsichtsbehörden der Länder entsprechend gefordert werden. 1. Vom Gesetzgeber festgelegte Stellung und Aufgaben des Beauftragten für den Datenschutz Unternehmen, die personenbezogene Daten unter Einsatz von Computern automatisiert verarbeiten, müssen spätestens einen Monat nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen, wenn - mehr als neun Arbeitnehmer mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind oder - wenn sie automatisierte Verarbeitungen vornehmen, die einer datenschutzrechtlichen Vorabkontrolle unterliegen, oder - wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeiten (vgl. 4f Abs. 1 BDSG). Automatisierte Verarbeitungen können dabei immer dann einer datenschutzrechtlichen Vorabkontrolle durch den Beauftragten für den Datenschutz unterliegen, wenn sie besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, insbesondere - besondere Arten personenbezogener Daten verarbeitet werden oder wenn - die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistungen oder seines Verhaltens (vgl. 4d Abs. 5 und 6 BDSG). Besondere Arten personenbezogener Daten sind hierbei Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (vgl. 3 Abs. 9 BDSG). Der Beauftragte für den Datenschutz ist dem Leiter des Unternehmens unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei (vgl. 4f Abs. 3 Satz 1 und 2 BDSG). Die grundsätzliche Aufgabe des Beauftragten für den Datenschutz ist es, auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken (vgl. 4g Abs. 1 Satz 1 BDSG). Dieses Hinwirken erfolgt in Form der Beratung der Geschäftsführung oder anderer von der Geschäftsführung benannter Personen des Unternehmens.

2 Der Beauftragte für den Datenschutz hat dazu insbesondere - die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; - die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (vgl. 4g Abs. 1 Satz 3 Nr. 1 und 2 BDSG). 2. Aktivitäten zu Beginn der Tätigkeit des Beauftragten für den Datenschutz Zu Beginn seiner Tätigkeit im Unternehmen sollte sich der externe Beauftragte für den Datenschutz einen Überblick über die räumliche, bauliche, organisatorische, technische (insbesondere EDVtechnische) und rechtliche (insbesondere vertragsrechtliche) Situation verschaffen, soweit dabei datenschutzrechtliche Fragen betroffen sind. Es ist in diesem Zusammenhang empfehlenswert, daß der externe Beauftragte für den Datenschutz von der Geschäftsleitung einen festen Ansprechpartner für die Fragen des Tagesgeschäftes zugewiesen bekommt, mit dem er grundsätzliche das Unternehmen betreffende Fragen besprechen und die Koordinierung weiterer Einzelgespräche durchführen kann. Idealerweise gehört der Ansprechpartner zu dem Personenkreis, mit dem der Beauftragte für den Datenschutz auch in Datenschutzfragen eng zusammenarbeitet. - Besichtigung der für die Betreuung bedeutsamen Bereiche des Unternehmens Der externe Beauftragte für den Datenschutz sollte zu Beginn seiner Tätigkeit in Begleitung einer von der Geschäftsleitung benannten Person das Unternehmen besichtigen und dabei insbesondere - wesentliche Produktions- und Verwaltungsgebäude und -räume, - Rechenzentrum, spezielle Rechnerräume (z. B. Serverräume, Datenträgerarchive), - andere elektronische Datentechnik (z. B. Telefonanlage), - wesentliche Versorgungsgebäude und -räume (Stromversorgung, Wasserversorgung, Heizung), - Zugangseinrichtungen (z. B. Chipkarteneinrichtungen) und - Außenanlage, Entsorgungsräume, Grundstücksgrenzen (Videoüberwachung) in Augenschein nehmen, die bei der späteren datenschutzrechtlichen Beurteilung von Bedeutung sein können. - Kontakt zu wichtigen Stellen des Unternehmens Der externe Beauftragte für den Datenschutz sollte engen fachlichen Kontakt zu den im Hinblick auf die Fragen des Datenschutzes wichtigsten Stellen des Unternehmens halten, insbesondere - Geschäftsleitung, - Bereich Innere Revision, - Bereich IT, Bereich Kommunikation (Internet), IT-Sicherheitsbeauftragter, - Bereich Personal, - Bereich Organisation

3 3. Aktivitäten zur Datenschutz-Grundsicherung Die nachstehenden Maßnahmen dienen der Herstellung einer Datenschutz-Grundsicherung. Sie sind eine wesentliche Voraussetzung für die spätere laufende Gewährleistung des Datenschutzes. - Erstellung der Verfahrensübersicht Der externe Beauftragte für den Datenschutz wirkt mit bei der Erstellung der (sogenannten internen) Verfahrensübersicht zur weiteren Auswertung und zur Vorlage bei der Datenschutz- Aufsichtsbehörde im Falle einer Prüfung. Dem externen Beauftragten für den Datenschutz ist dazu vom Unternehmen eine Übersicht über die in der Verfahrensübersicht enthaltenen Angaben sowie über die zugriffsberechtigten Personen zur Verfügung zu stellen (vgl. 4g Abs. 2 Satz 1 BDSG). - Durchsicht des innerbetrieblichen Regelwerkes sowie Beurteilung der ausreichenden Berücksichtigung der datenschutzrechtlichen Bestimmungen Der externe Beauftragte für den Datenschutz sieht im Rahmen seiner allgemeinen Hinwirkungspflicht das innerbetriebliche Regelwerk sowie die Verträge mit anderen Unternehmen durch und prüft die sachgemäße Berücksichtigung der datenschutzrechtlichen Bestimmungen bei - Arbeitsanweisungen, Betriebsvereinbarungen und - Verträge mit anderen Unternehmen (z. B. Service- und Lieferverträge) - Bekanntmachung der Person des externen Beauftragten für den Datenschutz im Unternehmen und gegenüber der Kundschaft Der externe Beauftragte für den Datenschutz steht Betroffenen jederzeit als Ansprechpartner zur Verfügung (vgl. 4f Abs. 5 Satz 2 BDSG). Er vereinbart dazu mit der Geschäftsleitung, auf welchem Wege die Mitarbeiter des Unternehmens oder außenstehende Privatpersonen mit ihm Kontakt aufnehmen können. - Verpflichtung der Mitarbeiter auf das Datengeheimnis nach 5 BDSG Der externe Beauftragte für den Datenschutz macht die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des Bundesdatenschutzgesetzes sowie anderer Gesetze über den Datenschutz vertraut und verpflichtet sie aktenkundig auf das Datengeheimnis (vgl. 4g Abs. 1 Satz 3 Nr. 2 i. V. m. 5 BDSG). Dabei unterschreiben die Mitarbeiter eine Erklärung über die datenschutzrechtliche Belehrung, die in der Personalabteilung abgelegt wird. Diese Unterweisung wird unmittelbar nach der Aufnahme der Tätigkeit des Beauftragten für den Datenschutz durchgeführt. Für neu eingestellte Mitarbeiter sollte sie innerhalb eines halben Jahres nach deren Eintritt in das Unternehmen durchgeführt werden. - Verfügbarmachen der öffentlichen Verfahrensverzeichnisse an jedermann nach Anfrage Der externe Beauftragte für den Datenschutz pflegt das (öffentliche) Verfahrensverzeichnis, bereitet es zur Vorlage an jedermann einschließlich der Berücksichtigung des Geheimnisschutzes vor und macht es auf Antrag jedermann in geeigneter Weise verfügbar (vgl. 4g Abs. 2 Satz 2 BDSG). Er schlägt dazu der Geschäftsleitung eine für die Veröffentlichung vorbereitete Version des Verfahrensverzeichnisses vor und macht deren Angaben nach Zustimmung der Geschäftsleitung jedermann auf Antrag verfügbar.

4 - Einführung technischer und organisatorischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten Der externe Beauftragte für den Datenschutz wirkt mit bei der Einführung technischer und organisatorischer Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten (vgl. 9 BDSG und Anlage). - Gestaltung von Verfahren zur Sicherstellung der Betroffenenrechte wie Benachrichtigung und Auskunftserteilung Betroffene (private Personen innerhalb oder außerhalb des Unternehmens) können Auskunft verlangen über die zu ihrer Person gespeicherten Daten und deren Herkunft (vgl. 34 Abs. 1 Nr. 1 BDSG); sie haben Anspruch auf Berichtigung der Daten, wenn diese unrichtig sind (vgl. 35 Abs. 1 BDSG) und auf Löschung ihrer Daten im Rahmen des 35 Abs. 2 BDSG. Der externe Beauftragte für den Datenschutz wirkt mit bei der Gestaltung von Verfahren zur praktischen Sicherstellung dieser Rechte der Betroffenen. 4. Laufende Aufgaben Die nachstehenden Aufgaben werden in Angriff genommen, sobald die Datenschutz-Grundsicherung hergestellt wurde. Sie sind laufende Aufgaben, die das Ziel haben, das Datenschutz-Niveau laufend an die sich ständig ändernden rechtlichen, technischen und organisatorischen Bedingungen anzupassen. - Bearbeitung von Datenschutz-Beschwerden Betroffener (Mitarbeiter oder unternehmensfremde Privatpersonen) Der externe Beauftragte für den Datenschutz steht Betroffenen jederzeit als Ansprechpartner zur Verfügung (vgl. 4f Abs. 5 Satz 2 BDSG). Er nimmt in diesem Rahmen u. a. Beschwerden Betroffener entgegen und leitet diese, sofern sie nicht den Bereich Datenschutz betreffen, an die zuständigen Stellen des Unternehmens weiter. Soweit die Beschwerden datenschutzrechtliche Fragen betreffen, leitet der Beauftragte für den Datenschutz die Beschwerden mit einer datenschutzrechtlichen Stellungnahme und einem Entscheidungsvorschlag an die Geschäftsleitung oder eine von der Geschäftsleitung benannte Person des Unternehmens weiter. - Mitwirkungsaufgaben Der externe Beauftragte für den Datenschutz wirkt mit bei der Weiterentwicklung aller innerbetrieblichen Richtlinien, Anweisungen und Formulare, soweit dabei datenschutzrechtliche Fragen betroffen sind, und achtet dabei auf die Einhaltung der datenschutzrechtlichen Bestimmungen Der externe Beauftragte für den Datenschutz wirkt mit bei der laufenden Aktualisierung des Verfahrensverzeichnisses. Der externe Beauftragte für den Datenschutz wirkt auf Wunsch der Geschäftsleitung mit bei der Auftragsvergabe an Externe zur Verarbeitung personenbezogener Daten (einschließlich Wartungsaufträgen oder Service- und Entsorgungsunternehmen). Der externe Beauftragte für den Datenschutz wirkt auf Wunsch der Geschäftsleitung mit bei der Auswahl der mit der Verarbeitung personenbezogener Daten beauftragten Mitarbeiter.

5 - Überwachungsaufgaben Der externe Beauftragte für den Datenschutz führt die Vorabkontrolle durch. Er überprüft dabei die automatisierten Verarbeitungen vor Inbetriebnahme, soweit diese besondere Risiken für die Rechte und Freiheiten Betroffener aufweisen (vgl. 4d Abs. 5 und 6 BDSG). Der externe Beauftragte für den Datenschutz überwacht die technisch-organisatorischen Datenschutz- und Datensicherungsmaßnahmen sowie die ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme (vgl. 4g Abs. 1 Satz 3 Nr. 1 i. V. m. 9 BDSG). Der externe Beauftragte für den Datenschutz überwacht die Einhaltung der Verpflichtungserklärungen zum Datengeheimnis nach 5 BDSG. - Zusammenarbeit mit der Geschäftsleitung Der externe Beauftragte für den Datenschutz informiert die Geschäftsleitung in regelmäßigen (z. B. jährlichen) Tätigkeitsberichten über seine Tätigkeit im Berichtszeitraum sowie über den Stand des Datenschutzes im Unternehmen und macht dabei Vorschläge zur Abstellung eventueller noch bestehender Mängel. Bei plötzlich auftretenden datenschutzrechtlichen Problemen wendet sich der externe Beauftragte für den Datenschutz auch außerhalb der regelmäßigen Tätigkeitsberichte anlaßbezogen an die Geschäftsleitung und macht Vorschläge zur Abstellung der festgestellten Probleme. - Zusammenarbeit mit Auftragsdatenverarbeitern Der Auftraggeber einer Auftragsdatenverarbeitung hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen (vgl. 11 Abs. Abs. 2 Satz 3). Der externe Beauftragte für den Datenschutz hält daher fachlichen Kontakt mit Auftragsdatenverarbeitern und überzeugt sich dort von der Einhaltung der datenschutzrechtlichen Bestimmungen.