Grundlagen des Datenschutzes Bundesdatenschutzgesetz und EU Datenschutz-Grundverordnung

Transkript

1 Bundesdatenschutzgesetz und EU Datenschutz-Grundverordnung AKIT-Web-Konferenz am a sound decision The ATLAS ELEKTRONIK Group/ 1

2 1. Deckblatt 2. Inhaltsübersicht 3. Datenschutz in der aktuellen Diskussion 4. Datenschutz als Grundrecht 5. Wichtige Rechtsnormen zum Datenschutz 6. Bundesdatenschutzgesetz 7. Datenschutzbeauftragter 8. Personenbezogene Daten 9. Verbot mit Erlaubnisvorbehalt 10. Erlaubnistatbestände 11. Beispiele für Erlaubnistatbestände 12. Einwilligung des Betroffenen 13. Besondere Arten von Daten 14. Verantwortliche Stelle 15. Verpflichtung auf das Datengeheimnis 16. Meldepflicht (1) 17. Meldepflicht (2) 18. Vorabkontrolle durch DSB 19. Verfahrensverzeichnis 20. Zweckbindung 21. Erforderlichkeit 22. Datenübermittlung 23. Auftragsdatenverarbeitung (1) 24. Auftragsdatenverarbeitung (2) 25. Rechte der Betroffenen (1) 26. Rechte der Betroffenen (2) 27. Verhalten bei Datenpannen (1) 28. Verhalten bei Datenpannen (2) 29. Verhalten bei Datenpannen (3) 30. Datenschutz im Konzern Infos zur EU Datenschutzgrundverordnung 31. Regelungscharakter 32. Erhalt der bisherigen Grundprinzipien 33. Neue Regelungen (1) 34. Neue Regelungen (2) 35. Neue Regelungen (3) 36. Weiteres nationales Vorgehen Weitere Informationen 37. Quellen 38. BDSG-Auszug: Anlage zu 9 Satz 1 BDSG 39. BDSG-Auszug: 11 BDSG The ATLAS ELEKTRONIK Group/ 2

3 Datenschutz in der aktuellen Diskussion Das Thema Datenschutz ist in den letzten Jahren immer stärker in die Diskussion geraten. Hier einige Beispiele: Vorratsdatenspeicherung Videoüberwachung im öffentlichen Raum Missbrauch von Mitarbeiterdaten Flugpassagierdaten Scannen von Autokennzeichen Bankgeheimnis (Steuer-CD) Datenübermittlung ins Ausland (Safe Harbor und EUGH-Urteil) Europäische Datenschutz-Grundverordnung (EU-DSGVO) The ATLAS ELEKTRONIK Group/ 3

4 Datenschutz als Grundrecht Das Bundesverfassungsgericht hat am 15. Dezember 1983 mit seinem Urteil zur Volkszählung aus dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG das Recht auf informationelle Selbstbestimmung abgeleitet. D. h.: Jeder Mensch hat das Recht selbst zu bestimmen was mit seinen personenbezogenen Daten gemacht werden darf. Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig. The ATLAS ELEKTRONIK Group/ 4

5 Wichtige Rechtsnormen zum Datenschutz Bundesdatenschutzgesetz Landesdatenschutzgesetze Telekommunikationsgesetz Telemediengesetz (BDSG) ( DSG) (TKG) (TMG) Gesetz gegen den unlauteren Wettbewerb Informationsfreiheitsgesetz Sozialgesetzbuch Abgabenordnung (UWG) (IFG) (SGB) (AO) The ATLAS ELEKTRONIK Group/ 5

6 Bundesdatenschutzgesetz Das Bundesdatenschutzgesetz (BDSG) in der heutigen Fassung ist die Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates 24. Oktober 1995 in nationales Recht. Das BDSG regelt den Umgang mit personenbezogenen und personenbeziehbaren Daten natürlicher Personen (wenn im Folgenden von personenbezogenen Daten gesprochen wird, sind auch personenbeziehbare Daten gemeint). Umgang mit personenbezogenen Daten umfasst die Erhebung, Verarbeitung und Nutzung der Daten. The ATLAS ELEKTRONIK Group/ 6

7 Datenschutzbeauftragter Gemäß 4f Abs. 1 Satz 1 BDSG gilt: Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz (DSB) schriftlich zu bestellen. Der DSB wirkt auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hin. Zum DSB darf nur bestellt werden, wer die zur Erfüllung seiner Aufgabe erforderliche Fachkunde besitzt. Der DSB ist dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen. Der DSB ist Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. The ATLAS ELEKTRONIK Group/ 7

8 Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Personenbezogene Daten sind z. B.: Name, Anschrift, Familienstand, Geburtsdatum; aber auch alle anderen Informationen zu einer Person, z. B. Produktnutzung, Einkaufsverhalten, Kontaktdaten, Hobbys, Interessen, Werbeaffinität, Wohnumfeld und Bonität. Somit sind alle Informationen, die sich einem einzelnen Menschen zuordnen lassen personenbezogene Daten. The ATLAS ELEKTRONIK Group/ 8

9 Verbot mit Erlaubnisvorbehalt Im Geltungsbereich des BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten, es sei denn das eine Rechtsvorschrift dies ausdrücklich erlaubt oder eine wirksame Einwilligung des Betroffenen vorliegt. Das bedeutet, dass jeder der Umgang mit personenbezogenen Daten hat einen entsprechenden Erlaubnistatbestand nachweisen muss. The ATLAS ELEKTRONIK Group/ 9

10 Erlaubnistatbestände Rechtmäßigkeit der Datenverarbeitung gemäß BDSG 4 Abs. 1 BDSG Datenerhebung, -verarbeitung und -nutzung sind nur zulässig bei: Erlaubnis durch das BDSG z.b. 32 Erlaubnis durch andere Rechtsnorm inkl. BV Wirksame Einwilligung des Betroffenen The ATLAS ELEKTRONIK Group/ 10

11 Beispiele für Erlaubnistatbestände Erlaubt ist u.a. das Erheben, Verarbeiten oder Nutzen, wenn es eine gesetzliche Vorschrift dafür gibt, z.b. die Verarbeitung der Religionszugehörigkeit im Arbeitsverhältnis wegen der Kirchensteuer, dies z. B. der Erfüllung eines Arbeits-, Kauf- oder Mietvertrags, einer Bewerbung oder einem Kreditantrag dient, die verarbeitende Stelle ein berechtigtes und überwiegendes Interesse hat (Abwägung berechtigter Interessen), der Betroffene formgerecht, freiwillig und ausreichend informiert eingewilligt hat oder die Daten aus allgemein zugänglichen Quellen entnommen werden können, z.b. dem Telefonbuch. The ATLAS ELEKTRONIK Group/ 11

12 Einwilligung des Betroffenen Die Einwilligung muss schriftlich erfolgt sein. Sie darf nicht im Kleingedruckten versteckt werden und ist optisch besonders hervorzuheben, wenn sie im Zusammenhang mit anderen Erklärungen steht. Sie muss besondere Arten von Daten (besonders sensible Daten) ausdrücklich erwähnen/aufführen. Bei Telemedienangeboten muss der Anbieter sicherstellen, dass der Nutzer die Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen und mit Wirkung auf die Zukunft widerrufen kann. The ATLAS ELEKTRONIK Group/ 12

13 Besondere Arten von Daten Besondere Arten personenbezogener Daten sind Angaben über: rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. The ATLAS ELEKTRONIK Group/ 13

14 Verantwortliche Stelle Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt ( 3Abs. 7 BDSG) Verantwortliche Stellen können sein: nicht-öffentliche Stellen ( 2 Abs. 4 BDSG) wie Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts wie z.b. GmbH, AG, Gewerbetreibende, Selbstständige oder Vereine, öffentliche Stellen ( 2 Abs. 1 bis 3 BDSG), vor allem Behörden, öffentliche Stiftungen, Anstalten und bestimmte Unternehmen, an denen der Staat beteiligt ist. Zur Bestimmung der verantwortlichen Stelle kommt es also nicht auf eine funktionale, sondern auf die juristische Betrachtungsweise an. The ATLAS ELEKTRONIK Group/ 14

15 Verpflichtung auf das Datengeheimnis Alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, haben Verschwiegenheit über die ihnen bekannt gewordenen Informationen zu wahren. Diese Mitarbeiter sind bei der Aufnahme ihrer Tätigkeit schriftlich auf das Datengeheimnis zu verpflichten und entsprechend über die besonderen Anforderungen des Datenschutzes zu unterrichten ( 5 BDSG). The ATLAS ELEKTRONIK Group/ 15

16 Meldepflicht (1) Verfahren zur automatisierten Verarbeitung personenbezogener Daten sind gemäß 4d BDSG gegenüber der zuständigen Datenschutzbehörde meldepflichtig, sofern kein Datenschutzbeauftragter bestellt ist. Es sind folgende Angaben zu machen: Name und Anschrift der verantwortlichen Stelle, Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen. Anschrift der verantwortlichen Stelle. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung. The ATLAS ELEKTRONIK Group/ 16

17 Meldepflicht (2) Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten oder Datenkategorien. Empfänger oder Kategorien von Empfängern, denen Daten mitgeteilt werden können. Regelfristen für die Löschung der Daten. Eine geplante Übermittlung in Drittstaaten. Eine allgemeine Beschreibung der Sicherheitsmaßnahmen, die es ermöglicht, die Sicherheit der Datenverarbeitung zu beurteilen. The ATLAS ELEKTRONIK Group/ 17

18 Vorabkontrolle durch den DSB Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten ( 3 Abs. 9) verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten. Zuständig für die Vorabkontrolle ist der DSB. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde zu wenden The ATLAS ELEKTRONIK Group/ 18

19 Verfahrensverzeichnis Gemäß 4g Abs. 2 BDSG ist dem betrieblichen Datenschutzbeauftragten von der verantwortlichen Stelle eine Übersicht zur Verfügung zu stellen, die ihm einen Überblick über die im Einsatz befindlichen DV-Verfahren verschaffen soll, in denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Der Inhalt dieser Übersicht ist in 4e BDSG festgelegt. 1. Firma 2. Inhaber, Vorstand etc. 3. Anschrift der verantwortlichen Stelle 4. Zweckbestimmung 5. Betroffenengruppe und Datenkategorien 6. Empfänger der Daten 7. Regelfristen für die Löschung 8. Geplante Übermittlung in Drittstaaten The ATLAS ELEKTRONIK Group/ 19

20 Zweckbindung Schon bei der Erhebung der Daten muss der Zweck der Verarbeitung festgelegt sein, da sonst eine Prüfung, ob die Verarbeitung zulässig ist, unmöglich wäre. Außerdem gilt: Es muss sichergestellt werden, dass der Verwendungszweck der erhobenen Daten nicht geändert wird. Dies wird durch die Zweckbindung der Daten erreicht. The ATLAS ELEKTRONIK Group/ 20

21 Erforderlichkeit Erforderlichkeit bedeutet im Datenschutz vereinfacht, dass so viele Daten wie nötig verarbeitet werden dürfen, aber auch so wenige Daten wie möglich verarbeitet werden sollen. Das Recht auf informationelle Selbstbestimmung wird eben auch dadurch geschützt, dass so wenige Daten wie möglich erhoben werden. The ATLAS ELEKTRONIK Group/ 21

22 Datenübermittlung Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. The ATLAS ELEKTRONIK Group/ 22

23 Auftragsdatenverarbeitung (1) Bei einer Auftragsdatenverarbeitung erhält ein Dritter den Auftrag, personenbezogene Daten nach genauen Weisungen zu erheben, zu verarbeiten oder zu nutzen. Er muss dabei als verlängerter Arm des Auftraggebers handeln. In diesem Fall greifen die speziellen Vorgaben des 11 BDSG. Der Auftrag muss schriftlich vereinbart werden. Es sind darin auch alle zehn Punkte zu regeln, die 11 Abs. 2 BDSG auflistet. The ATLAS ELEKTRONIK Group/ 23

24 Auftragsdatenverarbeitung (2) Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Bei einer Auftragsdatenverarbeitung bleibt der Auftraggeber immer verantwortliche Stelle im Sinne des BDSG. Auftragsdatenverarbeitung liegt auch vor, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. The ATLAS ELEKTRONIK Group/ 24

25 Rechte der Betroffenen (1) Alle von der Datenverarbeitung Betroffenen haben Rechte aus dem BDSG. Die wichtigsten sind: Das Recht auf Benachrichtigung: Grundsätzlich muss die verantwortliche Stelle dem Betroffenen mitteilen, dass sie Daten von ihm erhebt. Beispiele für Ausnahmen: Der Betroffene weiß dies bereits, oder die Erhebung der Daten ist von einem Gesetz ausdrücklich vorgeschrieben ( 33 BDSG). Auskunftsrecht: Der Betroffene kann Auskunft verlangen. Es besteht eine Pflicht zur Auskunftserteilung ( 34 BDSG). The ATLAS ELEKTRONIK Group/ 25

26 Rechte der Betroffenen (2) Berichtigung: Falsche Daten sind zu berichtigen ( 35 Abs. 1 BDSG). Löschung: Personenbezogen Daten müssen gelöscht werden, z.b. wenn ihre Speicherung unzulässig ist ( 35 Abs. 2 BDSG). Sperrung: Anstelle der Löschung kann in bestimmten Fällen die Sperrung treten ( 35 Abs. 3). Die Sperrung wird z.b. angewendet, wenn der Betroffene die Richtigkeit einer Tatsache bestreitet und weder Richtigkeit noch Unrichtigkeit nachweisbar sind ( 35 Abs. 5 BDSG). The ATLAS ELEKTRONIK Group/ 26

27 Verhalten bei Datenpannen (1) Diese Meldepflicht besteht, wenn bestimmte Arten von Daten bekannt werden und den Betroffenen schwerer Schaden entstehen kann. Hierbei muss es sich um folgende Arten von Daten handeln: besondere Arten personenbezogener Daten ( 3 Absatz 9), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder personenbezogene Daten zu Bank- oder Kreditkartenkonten. The ATLAS ELEKTRONIK Group/ 27

28 Verhalten bei Datenpannen (2) Informiert werden müssen: die Aufsichtsbehörden für den Datenschutz und die Betroffenen selbst. Unter bestimmten Umständen kann das Unternehmen sogar gezwungen sein, die Panne zwei überregionalen Tageszeitungen zu schildern. Sollte die notwendige Information versäumt werden, droht ein Bußgeld von bis zu The ATLAS ELEKTRONIK Group/ 28

29 Verhalten bei Datenpannen (3) Sofern es sich um besondere Arten personenbezogener Daten ( 3 Abs. 9 BDSG), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten in Bezug auf Straftaten oder Ordnungswidrigkeiten oder Verdacht auf Straftaten oder Ordnungswidrigkeiten, personenbezogene Daten zu Bank- oder Kreditkartenkonten handelt, sind die Betroffenen und die zuständige Aufsichtsbehörde unverzüglich zu informieren Informationspflicht der Betroffenen, ggf. Publikationspflicht in zwei überregionalen Tageszeitungen The ATLAS ELEKTRONIK Group/ 29

30 Datenschutz im Konzern Der Begriff Unternehmensverbund oder Konzern ist im Datenschutzrecht unbekannt. Konsequenz: Mutter-, Tochter- oder Schwestergesellschaften werden wie jede andere Firma angesehen (= Dritter). Datenübertragungen im Konzern unterliegen denselben Auflagen wie Übermittlungen zwischen einander völlig fremden Firmen (kein Konzernprivileg). The ATLAS ELEKTRONIK Group/ 30

31 EU Datenschutz-Grundverordnung Regelungscharakter Die EU Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2016 in Kraft getreten. Sie kommt mit einer Übergangsfrist von zwei Jahren, also am 25. Mai 2018, zur Anwendung. D. h. sie wird unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union und führt damit zur Aufhebung der EU Datenschutz-Richtlinie 95/46/EG. Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten. Die DSGVO enthält an bestimmten Stellen Öffnungsklauseln/ Regelungsspielräume für die nationalen Gesetzgeber. The ATLAS ELEKTRONIK Group/ 31

32 EU Datenschutz-Grundverordnung Erhalt der bisherigen Grundprinzipien In der DSGVO sind die bisherigen Grundprinzipien des BDSG im Wesentlichen fortgeschrieben und weiterentwickelt worden. Dazu gehören u. a.: Informationelles Selbstbestimmungsrecht des Einzelnen Verbot mit Erlaubnisvorbehalt Datenvermeidung und Datensparsamkeit Zweckbindung und Transparenz Datenübermittlung ins Ausland Datenschutzbeauftragter The ATLAS ELEKTRONIK Group/ 32

33 EU Datenschutz-Grundverordnung Neue Regelungen (1) Marktortprinzip Außereuropäische Unternehmen, die Zugang zum europäischen Binnenmarkt haben wollen, sind verpflichtet die datenschutzrechtlichen Regelungen der DSGVO umzusetzen. Verfahrensvereinfachung und einheitliche Rechtsanwendung Durch Kooperation der Aufsichtsbehörden der EU Mitgliedstaaten soll bei grenzüberschreitender Datenverarbeitung eine einheitliche Rechtsanwendung stehen. Bei einem Dissens wird eine Einigung durch den Europäischen Datenschutzausschuss herbeigeführt. One-Stop-Shop Unternehmen mit mehreren Niederlassungen in EU-Mitgliedstaaten haben die Aufsichtsbehörde an ihrem Hauptsitz als zentralen Ansprechpartner. The ATLAS ELEKTRONIK Group/ 33

34 EU Datenschutz-Grundverordnung Neue Regelungen (2) Kohärenzverfahren Verbindliche Beschlüsse des Europäischen Datenschutzausschusses zur Sicherstellung der ordnungsgemäßen und einheitlichen Anwendung der DSGVO in Einzelfällen. Privacy by Design Privacy by Default Das Prinzip der Datenvermeidung und der Datensparsamkeit soll bereits als Anforderung im Rahmen der Produktentwicklung und implementierung berücksichtigt werden, um eine wirksame Umsetzung dieses Prinzips zu erreichen. The ATLAS ELEKTRONIK Group/ 34

35 EU Datenschutz-Grundverordnung Neue Regelungen (3) Datenschutz-Folgeabschätzung Sofern die Verarbeitung personenbezogener Daten mit einem hohen Risiko verbunden ist, muss der Verantwortliche immer eine Datenschutzfolgeabschätzung durchführen. Das ist insbesondere immer der Fall bei der Verarbeitung besonders sensibler Daten, bei umfangreicher Videoüberwachung oder beim Profiling. Stärkung der Selbstregulierung durch Zertifizierung und Verhaltensregeln Zertifizierung durch die Aufsichtsbehörde oder eine akkreditierte Stelle zum Nachweis, dass die DSGVO bei Verarbeitungsvorgängen eingehalten wird. Möglichkeit zur Schaffung branchenspezifischer Verhaltensregeln, die von der Aufsichtsbehörde genehmigt und veröffentlicht werden. The ATLAS ELEKTRONIK Group/ 35

36 EU Datenschutz-Grundverordnung Weiteres nationales Vorgehen Das bisherige BDSG soll zur Anpassung des Datenschutzrechts an die DSGVO durch ein neues BDSG ersetzt werden. Zurzeit liegt ein Referentenentwurf vom vor. Dieser orientiert sich im Wesentlichen an der Struktur der DSGVO. Darüber hinaus ist eine noch unbekannte Anzahl von datenschutzrechtlichen Sondervorschriften, die in weiteren Gesetzen wie SGB, TMG, TKG, AO enthalten sind entsprechend anzupassen. The ATLAS ELEKTRONIK Group/ 36

37 EU Datenschutz-Grundverordnung Quellen Bundesdatenschutzgesetz (BDSG) Stand: BfDI Info 6 EU Datenschutz-Grundverordnung Bitkom e. V. Was muss ich wissen zur EU Datenschutz-Grundverordnung? WEKA Business Portal: Datenschutz-Management kompakt WEKA Business Portal: Datenschutzunterweisung kompakt The ATLAS ELEKTRONIK Group/ 37

38 Technische und organisatorische Maßnahmen Anlage (zu 9 Satz 1) 1.Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 2.Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 3.zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 4.zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 5.zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 6.zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 7.zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 8.zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 9.zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. The ATLAS ELEKTRONIK Group/ 38

39 11 BDSG (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1.der Gegenstand und die Dauer des Auftrags, 2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3.die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4.die Berichtigung, Löschung und Sperrung von Daten, 5.die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6.die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7.die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8.mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9.der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. The ATLAS ELEKTRONIK Group/ 39

40 Kontakt: Dipl.-Ing. Jürgen Dautert Datenschutzbeauftragter/ Data Protection Officer ATLAS ELEKTRONIK GmbH Sebaldsbruecker Heerstrasse BREMEN GERMANY Telefon / Phone +49 (0) Telefax / Fax +49 (0) Mobile +49 (0) juergen.dautert@atlas-elektronik.com The ATLAS ELEKTRONIK Group/ 40