BROSCHÜRE. Datenschutz in der Unternehmenspraxis

Transkript

1 BROSCHÜRE Datenschutz in der Unternehmenspraxis

2 IMPRESSUM Text und Redaktion Dipl.-Ing. Kerstin Ehret Grafische Gestaltung und Satz TRAGWEITE Büro für Gestaltung Bildquellen Fotolia: Dark Vectorangel Alex White Bilan 3D momius anyaberkut giomatmicro Gina Sanders Natalia Merzlyakova fotomek Orlando Florin Rosu pressmaster Herausgeber ebusiness Lotse Thüringen c/o Handwerkskammer Erfurt Fischmarkt Erfurt Tel Fax Stand August 2014

3 Sehr geehrte Damen und Herren, IT Sicherheit ist Chefsache ist eine oft gehörte Parole, wenn man sich näher mit den Themen Datenschutz und Informationssicherheit beschäftigt. Aber warum ist das so? Der Grund hierfür ist, dass der Gesetzgeber mit dem Bundesdatenschutzgesetz ein mächtiges Instrument zum Schutz personenbezogener Daten geschaffen hat. Oft ist man sich nicht bewusst, wie weitreichend das Gesetz hier eingreift. Bei Verstößen haftet zumeist die Geschäftsführung mit Geldbußen von bis zu Das Informationsbüro für Unternehmen Erfurt ist auf Informationssicherheit und Datenschutz spezialisiert und unterstützt kleine und mittlere Unternehmen in Thüringen. Dies geschieht in den Unternehmen vor Ort, aber auch durch Veranstaltungen zu verschiedenen Themen in ganz Thüringen. Dabei fiel uns auf, dass die datenschutzrechtlichen Schwerpunkte vielen Unternehmen gar nicht so bewusst sind. Gemeinsam mit dem TÜV Thüringen haben wir einen kurzen Abriss zum Datenschutz nach BDSG für Unternehmen erarbeitet. Um alles verständlicher zu machen, haben wir Fallbeispiele zusammengestellt und mit entsprechenden Hinweisen versehen. Wir erheben aber keinen Anspruch auf Vollständigkeit. 03

4 04

5 Inhaltsverzeichnis 1.0 Fallbeispiele Versand Videoüberwachung Aktenordner Webseite Gesundheitsdaten Festplatte Onlineshop Kundendaten Navigationsgerät Gefällt mir Button Einige Begriffe aus dem Bundesdatenschutzgesetz 16 kurz erklärt 2.1 Was ist Datenschutz nach Bundesdatenschutzgesetz (BDSG)? Meldepflicht gegenüber Datenaufsichtsbehörden nach 4d BDSG Verfahrensverzeichnis nach Meldepflicht ( 4e BDSG) Technische und organisatorische Maßnahmen nach 9 BDSG Vorabkontrolle ( 4d Abs. 5 BDSG) Bestellung eines betrieblichen Datenschutzbeauftragten (BDSB) Auftragsdatenverarbeitung oder Funktionsübertragung Weiterführende Links Die Autoren Quellenverzeichnis 23 05

6 Datenschutz im Unternehmen Datenschutzbeauftragter Auftragsdatenverarbeitung oder Funktionsübertragung? Verfahrensverzeichnis Meldepflicht Pflicht zur Vorabkontrolle 06

7 1.0 FALLBEISPIELE DATENSCHUTZ 1. 1 Versand Ein Außendienstmitarbeiter eines Bauunternehmens ist oft in Sachen Vertrieb unterwegs. Damit sich die Kunden stets gut betreut fühlen schreibt er sie regelmäßig per an und erfragt die Zufriedenheit mit erbrachten Leistungen. Da er sich das Leben etwas einfacher macht, hat er eine Muster- erstellt und versendet diese an alle ihm bekannten -Adressen der Kunden, in dem er diese in das CC -Feld kopiert. Meist geschieht dies, wenn er mal in einem Hotel ist und endlich wieder Internetzugriff über das freie Hotel-WLAN hat. HINWEISE Zunächst verstößt der Mitarbeiter gegen den Datenschutz, da er ohne Einwilligung der Adressaten deren adresse, die für jeden Empfänger sichtbar ist, weitergegeben hat. Des Weiteren ist das Verbinden mit öffentlichen, unverschlüsselten WLAN-Hotspots nicht empfehlenswert, da der gesamte Datenverkehr einfach abgehört werden kann. Dies betrifft auch Anmeldenamen und Passwörter. 07

8 1. 2 Videoüberwachung Martin König macht sich an einem sonnigen Montag auf die Suche nach einem neuen Auto. Da er ein Mann der Tat ist, wählt er nicht das Internet für seine Suche, sondern fährt in das nächstgelegene Autohaus seiner Wunschmarke. Ein Schild an der Einfahrt zum Firmengelände weist ihn ordnungsgemäß darauf hin, dass das Autohaus kameraüberwacht sei. Was soll s, denkt sich Herr König, ich habe ja nichts zu verbergen. Aus dem Auto steigend sieht er sich dann auch gleich nach den Kameras um, denn er ist technisch sehr interes- siert. Die ersten Kameras, die er sieht, scheinen sehr neu zu sein und sind auf den Zaun gerichtet. Richtig so, freut sich Herr König, da haben die Einbrecher keine Chance. Auch die Kameras in der Werkstatt sind ganz offensichtlich sehr modern. Da muss sich Herr König keine Sorgen um sein Auto machen, wenn es hier mal zur Reparatur steht. Freudig betritt er den Geschäftsraum und fragt sogleich den hinzueilenden Verkäufer über die Technik der Kameras aus. HINWEISE Videoüberwachung ist nur zulässig, soweit es zur Wahrnehmung des Hausrechts oder berechtigter Interessen erforderlich ist und die schutzwürdigen Interessen der betroffenen Personen nicht überwiegen. Mit der Videoüberwachung einher geht die Pflicht, Hinweisschilder anzubringen. Über die Grenzen des eigenen Firmengeländes hinaus in den öffentlichen Raum zu überwachen, ist kritisch. Auch die Überwachung der Werkstatt ist heikel, wenn sich dort im Kamerabereich Mitarbeiter und Kunden aufhalten. Die dauerhafte Überwachung von Mitarbeitern und Kunden ist (mit wenigen Ausnahmen) nicht erlaubt und sollte deshalb vermieden werden. Anders sieht es im Kassenbereich eines Geschäftes aus. Hier überwiegt das Interesse des Arbeitgebers, Straftaten durch Kunden zu verhindern. Im Übrigen greift bei der Kameraüberwachung das BDSG, nachdem unabhängig von der Anzahl der Mitarbeiter, die automatisiert personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter zu bestellen ist, wenn es sich um besondere personenbezogene Daten handelt (s. Kapitel 2.6). 08

9 1. 3 Aktenordner Brunhilde Knöpfli arbeitet seit 20 Jahren im Tischlereiunternehmen ihres Mannes als Bürokraft. Das Büro liegt über der Werkstatt und Frau Knöpfli achtet immer darauf, dass es verschlossen ist, wenn sie es verlässt. Denn man weiß ja nie. Als Hermann Knöpfli Freitagnachmittag das Büro betritt, staunt er nicht schlecht. Seine Frau hatte die Woche nämlich genutzt, um einmal Ordnung in das Aktenchaos zu bringen. Alle Aktenordner wurden von ihr mit neuen Etiketten versehen, die auf den Jahrgang und den Inhalt hinweisen. Außerdem hat sie die Ordner noch fein säuberlich in die hohen Regale nach Jahreszahlen einsortiert. Jede Etage ein Jahrgang. Das gefällt Herrn Knöpfli außerordentlich, denn nun ist es eine Leichtigkeit, eine Rechnung aus einem bestimmten Jahr zu finden. Er möchte nun, dass Frau Knöpfli die Rechnungen im PC genauso sortiert. HINWEISE Frau Knöpfli ist als Angestellte über die Verschwiegenheitspflicht und die Einhaltung des BDSG zu belehren. Zudem dürfen personenbezogene Daten nicht offen zugänglich sein. Siehe auch technische und organisatorische Maßnahmen nach 9 BDSG (Zugangskontrolle). Empfohlen wird, die Ordner in einem verschließbaren Schrank aufzubewahren. 09

10 HINWEISE Das Tracken (sinngemäß Verfolgen) von Besuchern auf der Webseite ist generell sinnvoll, jedoch müssen auch hier die Besucher die Möglichkeit haben, sich davor zu schützen, wenn Sie es nicht wollen oder zumindest dem Tracking zustimmen Der Besucher muss auf sein Widerspruchsrecht hingewiesen werden. Wichtig bei Nutzung von Google Analytics ist: der Abschluss eines Vertrages zur Auftragsdatenverarbeitung (s. Kapitel 2.7) nur verkürzte IP-Adressen speichern (Funktion anonymizeip) bisherige Google Analytics - Daten löschen 1. 4 Webseite Um größere Bekanntheit zu erlangen und eine erste Anlaufstelle für potentielle Kunden zu haben, hat eine Holzhandelsfirma eine Webseite registriert. Dort werden die verschiedenen Produkte auf unterschiedlichen Seiten dargestellt. Um herauszufinden, welche Produkte besonders oft aufgerufen werden und woher die Besucher stammen, verwendet die Firma Google Analytics. Natürlich hat die Firma ein dem Telemediengesetz entsprechendes Impressum eingerichtet, auf den Hinweis der Verfolgung und Auswertung von Besuchern hat man jedoch verzichtet. 10

11 1. 5Gesundheitsdaten Hermann Meier ist Zahntechniker-Meister und Inhaber eines Zahntechniklabors. Er hat neben einem Zahntechniker noch eine Bürohilfe, Frau Kunze, eingestellt, damit er den Kopf frei von allen Bürotätigkeiten hat. Natürlich hat er Frau Kunze belehrt, dass alle betrieblichen Vorgänge vertraulich zu behandeln sind, denn es handelt sich ja dabei um sensible Daten, die keinesfalls verbreitet werden dürfen. Frau Kunze ist der Meinung, es sollte ein Datenschutzbeauftragter bestellt werden. Doch Herr Meier weiß, dass dies erst notwendig ist bei mehr als 9 Mitarbeitern, die automatisiert personenbezogene Daten verarbeiten. Diese Information hat er bei einem Datenschutzseminar erhalten. HINWEIS Herr Meier hat diese Information sicher so gehört. Wenn aber das Dentallabor z.b. Rechnungen an die Ärzte sendet, die Patientendaten und Gesundheitsdaten enthalten, handelt es sich um besondere personenbezogene Daten im Sinne des BDSG. Somit ist die Bestellung eines Datenschutzbeauftragten nach den Vorgaben des BDSG sowie die Vorabkontrolle notwendig - unabhängig von der Zahl der Mitarbeiter. WICHTIG HIERBEI Wer darf auf Grund von möglichen Interessenkonflikten nicht als Datenschutzbeauftragter bestellt werden? Herr Meier als Firmeninhaber darf nicht als Datenschutzbeauftragter bestellt werden. Folgende Personen sind ausgeschloßen: Geschäftsführer, Vorstände, Personalleiter oder Leiter, die auf besonders sensitive Daten zugreifen, sowie der IT-Leiter. 11

12 1. 6 Festplatte Um nebenbei etwas Geld zu erwirtschaften, verkauft ein Metallwarenhandel seine IT Gerätschaften nach der fristgemäßen Abschreibungszeit an einen örtlichen Second-Hand Anbieter von PCs und sonstigen IT-Geräten. Dabei werden Daten auf den Festplatten (ausschließlich von Servern, PCs und Laptops) sicher nach den Vorgaben des BSI gelöscht, also dreimal überschrieben und mit zufälligen Daten wiederbeschrieben. So findet auch das ausgediente Kopiergerät seinen Weg zum Second-Hand Shop. HINWEIS Die Löschung der Festplatten ist vollkommen richtig. Hier sollte aber, wie auch bei anderen Entsorgern oder Leasinggebern, ein Vertrag für die Auftragsdatenverarbeitung (ADV) geschlossen werden (Mustervertrag s. Webseite des Bundesministeriums des Innern bzw 11 BDSG). Der Auftragnehmer ist damit aufgrund 3 Abs. 8 BDSG nicht Dritter und somit ist keine Zustimmung der Betroffenen (Kunden, Mitarbeiter etc.) nötig. Das vorausgesetzt, handelt die Firma korrekt. Jedoch sollte beachtet werden, dass auch Kopiergeräte eingebaute Festplatten besitzen. Wurden damit Unterlagen mit personenbezogenen Daten kopiert und diese weiterverkauft ohne vorher die Festplatte zu löschen, ist das sehr heikel. Auch sollte man bedenken, dass diese Festplatte sehr viele vertrauliche Informationen über ein Unternehmen beherbergt. 12

13 1. 7Onlineshop Kundendaten Seit nunmehr zwei Jahren betreibt Herr Meier einen Elektro-Online-Shop, der sehr gut angenommen wird. Sein Webdesigner informiert ihn darüber, dass auf die Datenbank auf dem Server zugegriffen wurde und möchte wissen, ob Herr Meier diesen Zugriff von einem anderen Ort aus getätigt hat. Herr Meier weiß aber gar nicht, wie er so etwas machen könnte. Beide beschließen aus Sicherheitsgründen, den Shop für einen Tag zu schließen, die Sicherheitsvorkehrungen durch einen Fachmann erneuern zu lassen und eine Datensicherung der Kundendaten vom Vortag einzuspielen, damit auch gewährleistet ist, dass alle Daten stimmen. Nach zwei Tagen geht der Shop wieder online. HINWEIS Mit Bekanntwerden der Sicheheitlücke und unberechtigtem Zugriff auf die Daten ist das Unternehmen verpflichtet, die Aufsichtsbehörde sowie betroffene Kunden zu informieren. Schwierig ist die Einschätzung, ob personenbezogene Daten kompromittiert wurden. 13

14 1. 8 Navigationsgerät Um Geld zu sparen, hat eine kleine Firma einen Rahmenvertrag mit dem ansässigen Autovermieter vereinbart. Das bedeutet, dass man einen Mietwagen das ganze Jahr über gemietet hat, den die Mitarbeiter nutzen können. In einem Fahrtenbuch wird dokumentiert, wer das Fahrzeug wann zu welchem Zweck genutzt hat (wo ist der Zielort des Fahrzeugs usw.). Bei der routinemäßigen Kontrolle der Tankkosten stellt sich heraus, dass ein größerer Fehlbetrag existiert, also das Fahrzeug mindestens km weiter bewegt worden ist als notwendig. Um zu ermitteln, wer oder was dahinter steckt, wertet der Controller die letzten eingegeben Fahrziele des Navigationsgeräts des Autos aus und macht dabei die Entdeckung, dass regelmäßig durch einen bestimmten Mitarbeiter ein bekannter Rotlichtbezirk angesteuert wurde. HINWEIS Die Auswertung der Daten des Navigationsgeräts darf nur in Abstimmung mit dem Datenschutzbeauftragten erfolgen. Es ist sicher zu stellen, dass der Mietwagen nur dienstlich genutzt werden darf. Enthält das Navigationsgerät auch einen Sender, der den Aufenthaltsort an die Zentrale meldet (Tracker, GPS-Ortung), muss beachtet werden, dass dies nur in Ausnahmefällen für bestimmte Zwecke erlaubt ist, wie z.b. für die Koordination der Diensteinsätze oder den Nachweis für Kunden. Die Mitarbeiter sind in diesen Fällen über Zweck, Verarbeitung und Nutzung der GPS-Daten zu unterrichten. Die Daten müssen nach angemessener Dauer (sofort bis 90 Tage nach der Erfassung) gelöscht werden. Für die Optimierung der Arbeitseinsätze darf die GPS- Ortung nur anonymisiert erfolgen. Ein Nachweis für das Finanzamt oder gar der Zweck der Verhaltenskontrolle rechtfertigen nicht die GPS-Ortung. 14

15 1. 9 Gefällt mir Button Ein Autohaus hat seit Jahren eine sehr gut gestaltete Webseite. Der Geschäftsführer erfährt von Bekannten, dass sie regelmäßig bei Facebook nach Gebrauchtwagen schauen und sich wundern, warum sein Autohaus dort nicht zu finden sei. Daraufhin beschließt der Geschäftsführer, auch für sein Autohaus eine Facebook-Seite anzulegen und den Gefällt mir - Button auf seiner Webseite einzubinden. Gesagt, getan. Bereits am nächsten Tag ist alles umgesetzt und die Besucher der Webseite können mit einem Klick zeigen, dass Ihnen die Website gefällt. HINWEIS Die Einbindung des Gefällt mir - Buttons ist aus Gründen des Datenschutzes umstritten. Der von Facebook generierte Code zum Einbinden in eine Webseite, sendet bereits beim Besuch der Website die IP und andere Daten des Besuchers der Webseite an Facebook. Deshalb sollte eine Einbindung nur so erfolgen, dass der Link erst inaktiv ist und nur bei einem Klick darauf aktiv wird. Damit würden die IP und andere Daten gesendet. Mit dem zweiten Klick wird dann Gefällt mir gesendet. Diese Zwei-Klick-Lösung ist also auch für das Autohaus ratsam. 15

16 2.0 Einige Begriffe aus dem Bundesdatenschutzgesetz kurz erklärt: 2.1(BDSG)? Was ist Datenschutz nach Bundesdatenschutzgesetz Die Basis ist das Recht auf informelle Selbstbestimmung. Jeder Mensch kann selbst entscheiden, wem wann welche personenbezogenen Daten zugänglich sein sollen. Dabei sind personenbezogene Daten nach 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Bestimmbar ist eine Person, wenn durch Zusatzinformationen der Bezug zu einer Person herstellbar ist. Diese Daten unterliegen dem Schutz nach BDSG. Der Grundsatz im deutschen Datenschutz ist das Verbotsprinzip mit Erlaubnisvorbehalt. Dessen sollten sich die Unternehmen im Umgang mit Kunden- und Mitarbeiterdaten u.ä. bewusst sein. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nach 4 Abs. 1 BDSG nur dann zulässig, wenn die Einwilligung des Betroffenen vorliegt oder es eine gesetzliche Erlaubnis/Anordnung gibt. Zusätzlich gibt es einige Pflichten, derer sich viele Unternehmen nicht klar sind, deren Einhaltung aber durch die Aufsichtsbehörde geprüft wird. Eine Nichterfüllung wird als Ordnungswidrigkeit eingestuft. Die Unkenntnis schützt dann nicht. Einige dieser Pflichten sind die Bestellung eines Datenschutzbeauftragten unter bestimmten Bedingungen, die Meldepflicht oder aber auch die Pflicht der Erstellung eines Verfahrensverzeichnisses, dessen erster Teil öffentlich einsehbar sein muss. Besondere personenbezogene Daten wie z.b. ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (BDSG 3 Abs. 9) bedürfen nochmals erweiterter Schutzmaßnahmen. Hier ist auch zwingend eine Vorabkontrolle nötig. 16

17 2.2 Meldepflicht gegenüber Datenaufsichtsbehörden nach 4d BDSG Der Meldepflicht unterliegen grundsätzlich alle Verfahren, die personenbezogene Daten automatisiert verarbeiten. Die Meldung hat bereits vor der Inbetriebnahme der meldepflichtigen Datenverarbeitung zu erfolgen. Die Meldepflicht entfällt, sobald die verantwortlichen Stellen einen Datenschutzbeauftragten bestellt haben. 2.3 Bei Meldepflicht sind folgende Angaben zu machen: Verfahrensverzeichnis nach Meldepflicht ( 4e BDSG) öffentlich: 1. Name oder Firma der verantwortlichen Stelle 2. Inhaber, Vorstände, Geschäftsführer 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten 9. Technische und organisatorische Maßnahmen entsprechend 9 BDSG, die die Datensicherheit gewährleisten. intern: 1. allgemeine Beschreibung, die erkennen lässt, ob die Maßnahmen für die Sicherheit angemessen sind 2. zugriffsberechtigte Personen 3. Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit 17

18 2.4 Technische und organisatorische Maßnahmen (TOM) nach 9 BDSG Im internen Verfahrensverzeichnis sind alle Maßnahmen aufzulisten, die dem Schutz der Daten dienen. Diese unterteilen sich in technische und organisatorische Schutzmaßnahmen zu jedem Punkt. Um den Rahmen nicht zu sprengen führen wir nur jeweils ein Beispiel an. TOM 1. Zutrittskontrolle Unbefugten wird der Zutritt zu Räumlichkeiten verwehrt, in denen personenbezogene Daten verarbeitet werden. Beispiele: Sicherung der Gebäude und Räume durch verschließbare Türen, Einzäunung 2. Zugangskontrolle Verhinderung der Nutzung der Datenverarbeitungsanlage durch Unbefugte. Beispiele: Authentisierung durch Benutzername und Passwort 3. Zugriffskontrolle Nutzer dürfen nur auf Daten zugreifen, für die sie eine Berechtigung haben. Beispiele: Benutzerrechte auf den verschiedenen Zugriffsebenen 4. Weitergabekontrolle Gewährleistung der Datenintegrität während des Transportes oder Speicherung sowie Schutz vor unberechtigtem Lesens der personenbezogen Daten. Beispiele: Verschlüsselung 5. Eingabekontrolle Sicherstellung der Kontrolle, wer welche Daten eingegeben, verändert oder entfernt hat. Beispiele: Protokollierung der Zugriffe auf das System 18

19 6. Auftragskontrolle Verarbeitung von personenbezogenen Daten nur entsprechend Weisung des Auftraggebers Vertragsgestaltung nach 11 BDSG (Auftragsdatenverarbeitung) 7. Verfügbarkeitskontrolle Schutz der Daten vor Zerstörung oder Verlust Beispiele: regelmäßige Datensicherung 8. Trennungskontrolle Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden. Beispiele: Trennung Kundendaten, betriebsinterne Daten Checkliste TOM: TOM_nach_9_BDSG.pdf 2.5Vorabkontrolle ( 4d Abs. 5 BDSG) Die Prüfung vor Beginn der automatisierten Verarbeitung (Vorabkontrolle) ist bei besonderen Risiken für Betroffene vorgeschrieben, insbesondere wenn besondere personenbezogene Daten verarbeitet werden die Verarbeitung zur Bewertung der Persönlichkeit des Betroffenen bestimmt ist Wer zur Vorabkontrolle verpflichtet ist, muss einen Datenschutzbeauftragten (DSB) bestellen, unabhängig von der Anzahl der Beschäftigten. 19

20 2.6 Bestellung eines betrieblichen Datenschutzbeauftragten (BDSB) Die Bestellung eines betrieblichen Datenschutzbeauftragten ist auf jeden Fall nötig, wenn personenbezogene Daten für eigene Geschäftszwecke erhoben werden und automatisiert von mindestens zehn Mitarbeitern verarbeitet werden nicht automatisiert von mindestens 20 Mitarbeitern verarbeitet werden eine Vorabkontrolle für das Unternehmen nach 4d Abs. 5 BDSG vorgeschrieben ist (unabhängig von der Anzahl der Mitarbeiter) z.b.: bei Videoüberwachung oder aber Verarbeitung von Gesundheitsdaten Werden personenbezogene Daten zum Zwecke der Übermittlung (Funktionsübertragung) erhoben, ist ein Datenschutzbeauftragter, unabhängig von der Anzahl der damit beschäftigten Mitarbeiter zu bestellen. Checkliste zur Vereinfachung der Entscheidung, ob ein Datenschutzbeauftragter bestellt werden muss: datenschutz/themen/unternehmen/checkliste_bdsb.pdf 22

21 2.7 Auftragsdatenverarbeitung oder Funktionsübertragung Die Abgrenzung zwischen Auftragsdatenverarbeitung (ADV) und Funktionsübertragung ist nicht eindeutig zu ziehen. In der Regel kann man sagen, dass die Daten verarbeitende Stelle eine Funktion übernimmt, wenn sie eine rechtliche Funktion übernimmt. Häufig findet man das bei Hauptbetrieben mit Filialen vor. In diesem Fall führt der Hauptbetrieb zentral die Personalverwaltung der Filialen durch. a) Auftragsdatenverarbeitung (ADV) ADV ist die Erhebung, Verarbeitung oder Nutzung pbd im Auftrag durch Dienstleister. Der Auftragnehmer ist aufgrund 3 Abs. 8 BDSG nicht Dritter. Der Vertragsinhalt ist in 11 BDSG geregelt. Beispiele: Entsorger Informationstechnik wie auch Papier (s. Fallbeispiel 1.7) Dienstleister mit Remote-Zugriff /Fernwartung Webhoster und Cloudanbieter, auf deren Servern personenbezogene Daten liegen. Der Auftraggeber hat die Pflicht, die Einhaltung des Datenschutzes (s.tom) beim Auftragnehmer zu kontrollieren. Mustervertrag: BDSG_final1.doc b) Funktionsübertragung Der Funktionsnehmer erfüllt nicht nur Hilfsfunktionen, sondern benötigt die übergebenen Daten zur Erfüllung eigener Aufgaben oder Funktionen. Der Funktionsnehmer gilt hier als Dritter und es erfolgt eine Datenübermittlung im Sinne des BDSG. Hinweis: Zustimmung notwendig, sonst Bußgeld! Beispiele: Inkasso, externe Personalverwaltung. 21

22 3.0 Weiterführende Links Datenschutz Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit - Gesellschaft für Datenschutz und Datensicherung - Verfahrensverzeichnis nach 4 BDSG und_meldepflichten - Datenschutz-Wiki Technische und organisatorische Maßnahmen: Thüringer Landesbauftragter für den Datenschutz und Informationsfreiheit Auftragsdatenverarbeitung nach 11 BDSG Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Videoüberwachung Thüringer Landesbauftragter für den Datenschutz und Informationsfreiheit videoueberwachung/oh-v -durch-nicht- ffentliche-stellen.pdf Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik - Bundesverband IT-Mittelstand e.v Bitkom 22

23 4.0 Die Autoren Ansprechpartner Dipl. Ing. Kerstin Ehret Kerstin Ehret arbeitete über 20 Jahre als Netzwerk- und IT- Administratorin sowie Programmiererin. Sie ist seit November 2012 in der Handwerkskammer Erfurt als ebusines-lotse Thüringen tätig. Ihre Schwerpunkte liegen im Bereich der Informations- und Kommunikationssicherheit. Handwerkskammer Erfurt Fischmarkt Erfurt Tel.: Diplom Wirtschaftsinformatiker (FH) Tim Reichert Tim Reichert ist seit 2004 beim TÜV Thüringen als Lead Auditor ISO und IT-Grundschutz-Experte tätig. Er entwickelte unter anderem die mittelständischee IT-Security-Zertifizierung (MITsec) nach der sich Mittelständler zertifizieren lassen können. Zertifizierungsstelle für Systeme und Personal des TÜV Thüringen e. V. Service-Center Ostthüringen Ernst-Ruska-Ring Jena Tel.: zertifizierung@tuev-thueringen.de 5.0 Quellenverzeichnis Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Bundesdatenschutzgesetz BDSG Thüringer Landesdatenschutz Audatis - Datenschutz und Informationssicherheit 23

24 Kiel Lübeck Hamburg Schwerin Neubrandenburg Bremen Lingen Osnabrück Münster Dortmund Iserlohn Paderborn Hannover Brandenburg a.d.h. Berlin Potsdam Frankfurt (Oder) Magdeburg Cottbus Leipzig Aachen Köln Ilmenau Chemnitz Dresden Gießen Koblenz Hof Darmstadt Würzburg Saarbrücken Kaiserslautern Nürnberg Regensburg Stuttgart Augsburg Weingarten Freilassing ebusiness-lotsen Das ekompetenz-netzwerk für Unternehmen Das ekompetenz-netzwerk für Unternehmen ist eine Förderinitiative des Bundesministeriums für Wirtschaft und Energie. 38 regionale ebusiness-lotsen haben die Aufgabe, insbesondere mittelständischen Unternehmen deutschlandweit anbieterneutrale und praxisnahe Informationen für die Nutzung moderner Informations- und Kommunikationstechnologien (IKT) und möglichst effiziente ebusiness-prozesse zur Verfügung zu stellen. Die Förderinitiative ist Teil des Förderschwerpunkts Mittelstand-Digital IKT Anwendungen in der Wirtschaft. Zu Mittelstand-Digital gehören ferner die Förderinitiativen estandards: Geschäftsprozesse standardisieren, Erfolg sichern und Einfach intuitiv Usability für den Mittelstand. Unter können Unternehmen sich über die Aktivitäten der ebusiness-lotsen informieren, auf die Kontaktadressen der regionalen Ansprechpartner sowie aktuelle Veranstaltungstermine zugreifen oder auch Publikationen einsehen und für sich herunterladen.