Datenschutzleitfaden. für die. Datenschutzbeauftragten. Deutschen Roten Kreuz

Transkript

1 Datenschutzleitfaden für die Datenschutzbeauftragten im Deutschen Roten Kreuz

2 1 EINLEITUNG DIE AUFGABEN DER/DES DATENSCHUTZBEAUFTRAGTEN MUSTER FÜR BESTELLUNGSVERTRÄGE INKL. MERKBLATT Begleitendes Merkblatt Wer muss eine(n) Datenschutzbeauftragte(n) bestellen? Wie muss die Bestellung erfolgen? Wann muss die Bestellung erfolgen? Wer kommt als Datenschutzbeauftragte(r) in Frage? Welche persönlichen Voraussetzungen müssen erfüllt sein? Welche Stellung hat die/der Datenschutzbeauftragte? Welche Aufgaben hat die/der Datenschutzbeauftragte? Beratung und Mitwirkung Überwachungsaufgaben Schulung und Zusammenarbeit Spezielle Problematik Ehrenamt im DRK DIE ERSTEN AKTIVITÄTEN BEI BEGINN DER TÄTIGKEIT Checkliste für die ersten Aktivitäten Einweisung der MitarbeiterInnen Verpflichtung auf das Datengeheimnis Auszüge aus den Gesetzestexten Begleitendes Merkblatt Nutzungserklärungen für Internet und Das Verfahrensregister nach 4e BDSG Muster für Verfahrensregister Internet-Auftritt Auftragsdatenverarbeitung Datenschutzhinweise auf Verträgen, Aufnahmeanträgen etc DIE AKTIVITÄTEN IN DER LAUFENDEN TÄTIGKEIT Checkliste für die laufenden Aktivitäten Datenschutzleitfaden für die Geschäftsleitung im DRK Seite 2 von 20

3 1 EINLEITUNG Der nachfolgende Leitfaden ist an die Datenschutzbeauftragten in allen DRK-Gliederungen gerichtet und legt in vier großen Abschnitten dar, welche Aufgaben die/der Datenschutzbeauftragte zu bewältigen hat, wie ein Bestellungsvertrag für eine(n) Datenschutzbeauftragte(n) inkl. einem Merkblatt gestaltet werden kann, welche Schritte in welcher Reihenfolge zu Beginn der Tätigkeit getan werden sollten (begleitende Checkliste) und welche Schritte fortlaufend getan werden sollten. Der Leitfaden wurde in einem Arbeitskreis Datenschutz im Deutschen Roten Kreuz entwickelt, der sich aus den Datenschutzbeauftragten einiger Landesverbände sowie dem externen Datenschutzbeauftragten des Generalsekretariats zusammensetzt. Die Leitung des Arbeitskreises oblag dem externen Datenschutzbeauftragten des Generalsekretariats. Der Leitfaden besteht aus dem vorliegenden Hauptdokument und diversen mitgeltenden Unterlagen, deren Namen in den ersten beiden Stellen nach folgender Vereinbarung vergeben sind: AN = Anlagen zum Leitfaden CK = Checklisten MU = Musterdokumente Die Stellen 3 und 4 im Namen stehen fest für DS = Datenschutz. An den Stellen 5 und 6 folgt eine 2stellige laufende Nummer. An den anschließenden Unterstrich folgt ein sprechender Titel sowie abschließend der Dateityp (.doc,.xls,.ppt etc.). Beispiel: CKDS01_Checkliste für die ersten Aktivitäten.doc bedeutet Checkliste Nr. 01 zum Datenschutz und enthält in einem WORD-Dokument Prüfkriterien für die ersten Aktivitäten einer/eines Datenschutzbeauftragten. Dadurch ergibt sich in der Dateiansicht insgesamt eine übersichtliche Reihenfolge, die ein einfaches Auffinden einer Unterlage gewährleistet. Auf die mitgeltenden Unterlagen wird an vielen Stellen des Hauptdokumentes verwiesen, wobei allerdings nur die ersten 6 Stellen wie z.b. CKDS01 angesprochen sind. Jedes Dokument unterliegt einer eigenen Versions- und Datumsverwaltung, so dass bei Änderungen nur einzelne Teile auszutauschen sind. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 3 von 20

4 2 DIE AUFGABEN DER/DES DATENSCHUTZBEAUFTRAGTEN Die/Der betriebliche Datenschutzbeauftragte ist BeraterIn der Geschäftsleitung in Sachen Datenschutz im Betrieb. Die nachfolgend beschriebenen Aufgaben kann sie/er bei Bedarf an fachkundige Dritte delegieren: 1. Sie/Er unterstützt diese bei der Umsetzung eines den einschlägigen Datenschutzgesetzten und Richtlinien gemäßen Datenschutzes. 2. Sie/Er überwacht die Einhaltung der einschlägigen Regeln vor Ort und gibt Hinweise zum ordnungsgemäßen Datenschutz am Arbeitsplatz. 3. Sie/Er wirkt mit bei der Erarbeitung von Dienstanweisungen zur Umsetzung des Datenschutzes in den Daten verarbeitenden Abteilungen. 4. Sie/Er verwaltet die Verfahrensverzeichnisse gem. 4g BDSG. 5. Sie/Er schult und informiert die MitarbeiterInnen. 6. Sie/Er prüft/veranlasst die Verpflichtung aller MitarbeiterInnen auf das Datengeheimnis ( 5 BDSG). 7. Sie/Er prüft Risiken und empfiehlt Maßnahmen unter Berücksichtigung der betrieblichen Erfordernisse im Rahmen datenschutzrechtlicher Erfordernisse, insbesondere alle Maßnahmen gemäß der Anlage zu 9 BDSG. 8. Sie/Er prüft die Zulässigkeit automatisierter Datenverarbeitung sowie der Erhebung und Nutzung von personenbezogenen Daten u.a. auf Beachtung der Erforderlichkeit und Datensparsamkeit. Dies gilt insbesondere vor der Neueinführung von Datenverarbeitungsprogrammen (Vorabkontrolle). 9. Sie/Er überprüft die Internetauftritte hinsichtlich Impressum und Datenschutzerklärung. 10. Sie/Er prüft Verträge (insbesondere in Bezug auf Auftragsdatenverarbeitung gem. 11 BDSG), Formulare und Vordrucke hinsichtlich ihrer datenschutzrechtlichen Formulierungen. 11. Sie/Er beteiligt sich an der Bearbeitung von Auskunftsersuchen und Beschwerden. 12. Sie/Er berichtet der Geschäftsleitung über den Stand des Datenschutzes im Tätigkeitsbereich. Befugnisse: 1. Die/Der Datenschutzbeauftragte ist unabhängig und weisungsfrei auf dem Gebiet des Datenschutzes. 2. Sie/Er hat ein direktes Kontrollrecht und damit Zutritt im Rahmen ihrer/seiner Tätigkeit in allen Räumen. 3. Sie/Er hat direktes Empfehlungsrecht gegenüber der Geschäftsleitung. 4. Ihr/ihm sind, sofern nicht ohnehin bekannt, folgende Informationen über eingesetzte Datenverarbeitungsanlagen, insbesondere bei Änderungen der Art der Dateien, Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 4 von 20

5 Art der gespeicherten Dateien Zwecke, zu deren Erfüllung diese Daten erforderlich sind Weitergabe der Daten (Empfänger) zugriffsberechtigte Personen zugänglich zu machen. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 5 von 20

6 3 MUSTER FÜR BESTELLUNGSVERTRÄGE INKL. MERKBLATT Zur/Zum betrieblichen Datenschutzbeauftragten kann sowohl ein(e) eigene(r) MitarbeiterIn als auch ein(e) Externe(r) bestellt werden. Anmerkung: Da die Einstufung des Bayerischen Roten Kreuzes als öffentliche Behörde zur Bestellung einer/eines behördlichen Datenschutzbeauftragten gem. 47 Abs.2 Satz3 BDSG verpflichtet, ist die Bestellung einer/eines Externen nur zulässig, wenn diese(r) ebenfalls in einer Behörde angestellt ist. Je nachdem, ob eine interne oder eine externe Bestellung erfolgt, sind unterschiedliche Vertragsgestaltungen notwendig. Je eine Variante befindet sich in den mitgeltenden Unterlagen in den Dokumenten MUDS02.DOC für die Bestellung eines internen und MUDS03.DOC für die Bestellung einer/eines externen Datenschutzbeauftragten. 3.1 Begleitendes Merkblatt Wer muss eine(n) Datenschutzbeauftragte(n) bestellen? Das Bundesdatenschutzgesetz gilt für alle nicht öffentlichen Stellen soweit sie personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen oder in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Solche Stellen haben eine(n) Datenschutzbeauftragte(n) zu bestellen, wenn mindestens fünf ArbeitnehmerInnen mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten oder in der Regel mindestens 20 ArbeitnehmerInnen mit der Verarbeitung, Nutzung oder Erhebung personenbezogener Daten auf andere Weise (manuelle Verfahren) beschäftigt sind. Bei Mischformen der Verarbeitung reicht es, wenn die Mindestzahl in einem Bereich erreicht wird. Zu berücksichtigen sind auch Teilzeitkräfte und LeiharbeitnehmerInnen in vollem Umfang! Prinzipiell gehören nicht nur die unmittelbar z.b. im Rechenzentrum oder der Softwareentwicklung tätigen ArbeitnehmerInnen dazu, sondern alle, die Daten erfassen, verändern oder nutzen! Als ArbeitnehmerInnen im Sinne dieser Vorschrift gelten nicht nur entlohnte, sondern auch ehrenamtlich tätige MitarbeiterInnen! Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 6 von 20

7 3.1.2 Wie muss die Bestellung erfolgen? Sie muss schriftlich durch die Unternehmensleitung erfolgen und allen MitarbeiterInnen bekannt gemacht werden. Sie muss nicht an die Aufsichtsbehörde gemeldet werden. Wenn diese aber um Auskunft bittet, ist dieser Bitte nachzukommen Wann muss die Bestellung erfolgen? Sie muss spätestens innerhalb eines Monats nach Aufnahme der Geschäftstätigkeit bzw. nach Eintritt der o.g. Voraussetzungen für eine Bestellpflicht erfolgen Wer kommt als Datenschutzbeauftragte(r) in Frage? Welche persönlichen Voraussetzungen müssen erfüllt sein? Die/Der Datenschutzbeauftragte muss die Gelegenheit erhalten, die erforderlichen Kenntnisse zu erwerben und durch ständige Fortbildung aktuell zu halten: Die/Der Datenschutzbeauftragte muss die gesetzlichen Regelungen (Bundesdatenschutzgesetz und einschlägige spezielle datenschutzrelevante Regelungen z.b. im Bereich der Teledienste) kennen und sie in der Praxis anwenden können. Ferner müssen Kenntnisse in der Datenverarbeitung, der Informationstechnik und der betrieblichen Organisation vorhanden sein. Die/Der Datenschutzbeauftragte muss sorgfältig und zuverlässig arbeiten, lernfähig sein und sich durch Loyalität und Gewissenhaftigkeit auszeichnen. Nicht zur/zum Datenschutzbeauftragten dürfen Personen bestellt werden, die parallel mit solchen Aufgaben betraut sind, die mit den Aufgaben der/des Datenschutzbeauftragten in Interessenkonflikt geraten könnten und daher keine unabhängige Aufgabenwahrnehmung gewährleisten. Hierunter fallen z.b. neben GeschäftsführerInnen und Vorständen auch die Leitungen der EDV-, Personal- oder Marketing-/Vertriebsabteilung, Betriebsräte etc.. Auch MitarbeiterInnen der vorgenannten Abteilungen können in einen Interessenkonflikt geraten, selbst wenn sie keine Leitungs- und Vorgesetztenfunktion übernehmen. Daher muss die Zulässigkeit der/des Datenschutzbeauftragten gem. 4f BDSG im Einzelfall überprüft werden. Hilfestellung kann hierbei die zuständige Aufsichtsbehörde geben (i.d.r. Landesdatenschutzbeauftragte(r)). Die/Der Datenschutzbeauftragte kann wahlweise ein(e) interne(r) MitarbeiterIn oder ein(e) Externe(r) sein, sofern die gerade genannten Bedingungen erfüllt sind. In jedem Falle sind der/dem Datenschutzbeauftragten zur Erfüllung der Aufgaben ausreichend Zeit (so dass gegebenenfalls auch eine hauptamtliche Bestellung in Frage kommt), Räume, Einrichtungen, Geräte und Mittel sowie gegebenenfalls Hilfspersonal Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 7 von 20

8 zur Verfügung zu stellen Welche Stellung hat die/der Datenschutzbeauftragte? Die Stellung muss unabhängig und organisatorisch herausgehoben sein. Daher ist sie/er direkt der Geschäftsführung zu unterstellen. Sie/Er nimmt der Geschäftsführung aber nicht die Grundsatzverantwortung ab, sondern unterstützt diese bei deren Wahrung. Sie/Er ist weisungsfrei und darf wegen der Erfüllung ihrer/seiner Aufgaben nicht benachteiligt werden. Wenn sie/er nicht durch den Betroffenen davon befreit wird, muss sie/er die Identität von Betroffenen sowie die begleitenden Umstände verschwiegen halten. Sie/Er kann direkt von allen Betroffenen angesprochen werden (MitarbeiterInnen, Kunden bzw. Kundinnen, sonstige Personen). Nur aus wichtigen Gründen kann eine Bestellung widerrufen werden Welche Aufgaben hat die/der Datenschutzbeauftragte? Folgende Aufgaben können konkret festgelegt werden: Beratung und Mitwirkung Mitwirkung bei der Erstellung der Verfahrensregister Mitwirkung bei der Entwicklung und Weiterentwicklung von Datenschutz- und Datensicherheitskonzepten Mitwirkung bei der Weiterentwicklung aller datenschutzrelevanten Richtlinien und Anweisungen Mitwirkung bei der Einführung technischer Sicherheitsmaßnahmen, wenn sie für die Verarbeitung personenbezogener Daten relevant sind Mitwirkung bei der datenschutzgerechten Gestaltung von Formularen, Verträgen und Betriebsvereinbarungen Mitwirkung bei der Auftragsvergabe zur Verarbeitung personenbezogener Daten durch Dritte Mitwirkung bei der Auswahl von MitarbeiterInnen, die personenbezogene Daten verarbeiten werden Überwachungsaufgaben Durchführung von Vorabkontrollen inkl. schriftlicher Dokumentation vor der Inbetriebnahme von neuen, automatisierten Verarbeitungen, wenn diese besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 8 von 20

9 Überwachung der ordnungsgemäßen Anwendung von DV-Programmen Überwachung aller Datenschutz- und Datensicherungsmaßnahmen Bearbeitung von Beschwerden, die sich auf Datenschutzverletzungen beziehen Teilnahme bei der Überprüfung von Datenschutzverletzungen Überwachung der Einhaltung von Verpflichtungserklärungen gem. 5 BDSG Überwachung von Meldepflichten an die Aufsichtsbehörden Überwachung der Einhaltung von Betriebsvereinbarungen soweit vereinbart Überwachung der Datenträgerentsorgung Schulung und Zusammenarbeit Schulung der MitarbeiterInnen in datenschutzrechtlichen und praktischen Fragen regelmäßige Berichte an die Geschäftsleitung über den Stand des Datenschutzes Zusammenarbeit und Kontaktpflege in Sachen Datenschutz und Datensicherheit mit allen relevanten internen und externen Stellen Vertretung des Unternehmens in allen Datenschutzangelegenheiten gegenüber der zuständigen Aufsichtsbehörde Spezielle Problematik Ehrenamt im DRK Alle EhrenamtlerInnen müssen ebenfalls über die Grundzüge der gesetzlichen Datenschutzvorschriften in Kenntnis gesetzt und schriftlich auf die Einhaltung des Datengeheimnisses nach 5 BDSG verpflichtet werden. Hier können speziell auf diese FunktionsträgerInnen angepasste Varianten der 5-Erklärung und des Merkblattes zum Datenschutz zum Einsatz kommen, wie sie detailliert in dem ausführlichen Leitfaden zum Datenschutz für die/den Datenschutzbeauftragten im Roten Kreuz beschrieben sind. An dieser Stelle muss der Appell an das Management gerichtet werden, entsprechende Konzepte zur Verbreitung und Wahrung des Datenschutzes im ehrenamtlichen Bereich entwickeln zu lassen und mitzutragen. Die Zielstellung muss letztendlich darin bestehen, alle ehrenamtlichen Bereiche innerhalb einer DRK-Gliederung in die Vermittlung von Kenntnissen zum Datenschutz gemäß den Festlegungen des Bundesdatenschutzgesetzes (BDSG) einzubeziehen und daraus ableitend Reglungen für die Umsetzung im ehrenamtlichen Bereich zu schaffen. Durch die Heterogenität im Deutschen Roten Kreuz kann es kein Standardkonzept geben, das in allen DRK-Gliederungen verwendet werden kann. In den mitgeltenden Unterlagen befindet sich in den Anlagen ANDS01.DOC bis ANDS03.DOC die Beschreibung eines Verfahrens, das im Landesverband Sachsen entworfen wurde und sich derzeit in der Umsetzungsphase befindet. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 9 von 20

10 4 DIE ERSTEN AKTIVITÄTEN BEI BEGINN DER TÄTIGKEIT 4.1 Checkliste für die ersten Aktivitäten Die Aktivitäten nach erfolgter erstmaliger Bestellung eines/einer Datenschutzbeauftragten können in der Regel nach einer Checkliste abgearbeitet werden, die sich in den mitgeltenden Unterlagen im Dokument CKDS01.DOC befindet. 4.2 Einweisung der MitarbeiterInnen Für die Schulung des bestehenden Personals können verschiedene Wege gegangen werden: Die/Der Datenschutzbeauftragte kann persönliche Schulungen in Form eines Folienvortrags durchführen, sofern dies organisatorisch möglich ist. Die Folien können allen TeilnehmerInnen ausgehändigt werden. Wenn direkt z.b. nur Führungskräfte geschult werden sollen oder können, müssen diese anschließend als Multiplikatoren dienen. Musterfolien befinden sich in den mitgeltenden Unterlagen im Dokument ANDS04.PPT. Es gibt elearning-programme auf einer Internetplattform, in denen jede(r) MitarbeiterIn hörender und lesender Weise in einem individuellen Lerntempo in die Grundzüge des Bundesdatenschutzgesetzes eingewiesen wird und anschließend eine Abschlussprüfung durchläuft. Bestandene Prüfungen werden mit einem Zertifikat bescheinigt. Diese Schulungsform bietet sich besonders bei großen MitarbeiterInnenzahlen und/oder der Verteilung auf mehrere Standorte an. Kurzfristig wird eine kostengünstige Lösung für den Gesamtverband realisiert. Beide Varianten haben ihre Vor- und Nachteile, die jede/jeder Datenschutzbeauftragte im Hinblick auf die Gegebenheiten in ihrer/seiner Gliederung gegeneinander abwägen muss: Vorteile der persönlichen Schulung: Der persönliche Kontakt zu den MitarbeiterInnen wird hergestellt. Der Bekanntheitsgrad wird gesteigert. Beides ist für die spätere Zusammenarbeit z.b. bei der Erstellung der gesetzlich geforderten Verfahrensregister von Vorteil. Die/Der Datenschutzbeauftragte kann auf die Belange des Teilnehmerkreises eingehen und dessen individuelle Fragen und Probleme behandeln. Nachteile der persönlichen Schulung: Persönliche Schulungen sind bei mehreren oder gar vielen Standorten aufwendig. Personalwechseln kann schwieriger Rechnung getragen werden. Die Koordination der Termine, Orte und TeilnehmerInnen erfordert erheblichen Aufwand. Die Kosten dürften deutlich über denjenigen der elearning-programme liegen. Unterstützend zu den genannten Formen können jeder/jedem MitarbeiterIn schriftliche Unterlagen in Papierform ausgehändigt werden. Basisbroschüren findet man z.b. bei der Gesellschaft für Datenschutz und Datensicherung e.v. in Bonn ( oder in der Wissensbörse des Deutschen Roten Kreuzes. Nur wenn weder die Form des Folienvortrags noch die Form des elearnings eingesetzt werden kann, sollten solche Unterlagen in Papierform zur Basisschulung herangezogen werden. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 10 von 20

11 4.3 Verpflichtung auf das Datengeheimnis Die Einweisung in die Grundzüge des Bundesdatenschutzgesetzes ist zwingend erforderlich, bevor ein(e) MitarbeiterIn auf die Einhaltung des Datengeheimnisses nach 5 BDSG verpflichtet werden kann. Ansonsten wäre diese Verpflichtung nichtig. Die Verpflichtung muss schriftlich erfolgen. Ein rechtskonformes Muster für eine 5-Erklärung befindet sich in den mitgeltenden Unterlagen im Dokument MUDS04.DOC. Speziell im DRK gehören zum Kreis der zu Verpflichtenden auch alle EhrenamtlerInnen sowie Zivildienstleistende, FSJler (Freiwilliges Soziales Jahr), Honorarkräfte etc.! Auszüge aus den Gesetzestexten Jeder/m MitarbeiterIn, die/der auf das Datengeheimnis verpflichtet wird, muss die Gelegenheit haben, die relevanten Gesetzestexte im Original nachlesen zu können. Dies kann z.b. in schriftlicher Form geschehen. Alternativ können die Texte auf einem für alle zugänglichen Laufwerk veröffentlicht und gegebenenfalls aktualisiert werden. Bei dieser Variante ist in der 5-Erklärung auf den Ablageort der Gesetzestexte hinzuweisen. Die relevanten Paragraphen befinden sich in den mitgeltenden Unterlagen im Dokument MUDS05.DOC Begleitendes Merkblatt Die 5-Erklärung sollte von einem Merkblatt begleitet werden, in dem jederzeit die wichtigsten Grundlagen und Auswirkungen für die praktische Arbeit nachgelesen werden können. Ein entsprechendes Muster befindet sich in den mitgeltenden Unterlagen im Dokument MUDS06.DOC Nutzungserklärungen für Internet und Alternativ zur Einbindung in ein Merkblatt zum Datenschutz ist es auch denkbar, Regeln für die Nutzung von Internet und von jeder/m MitarbeiterIn gesondert schriftlich einzuholen oder über eine Betriebsvereinbarung zu regeln. Bei Mischformen mit privater Nutzung ist eine derartige Regelung unerlässlich! Drei Varianten, die denkbar sind, befinden sich in den mitgeltenden Unterlagen in den Dokumenten MUDS07.DOC bis MUDS09.DOC und können auf die individuellen Belange angepasst werden. In der Version des MUDS07.DOC ist die private Nutzung von Internet und verboten. In der Version des MUDS08.DOC ist die private Nutzung des Internets erlaubt, wohingegen die private Nutzung des -systems verboten bleibt. In der Version des MUDS09.DOC ist die private Nutzung sowohl von Internet als auch von erlaubt. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 11 von 20

12 4.4 Das Verfahrensregister nach 4e BDSG Jede speichernde Stelle muss gemäß 4e BDSG eine Übersicht über alle DV-Verfahren führen, die personenbezogene Daten verarbeiten oder enthalten. Die je DV-Verfahren zu dokumentierenden Kategorien sind im BDSG verankert und können in 3 verschiedene Blöcke eingeteilt werden, die unterschiedlichen Zielgruppen zur Kenntnis gebracht werden. Nachfolgende Grafik soll dies verdeutlichen: Die Verantwortung für die Vollständigkeit und Richtigkeit der Angaben liegt rein juristisch bei der speichernden Stelle. Diese muss darauf hinwirken, dass in den einzelnen Fachabteilungen alle Angaben erarbeitet und regelmäßig aktualisiert und an die/den Datenschutzbeauftragte(n) weitergeleitet werden. Die/Der Datenschutzbeauftragte führt zentral dieses Verzeichnis und überwacht regelmäßig die Erstellung und Aktualisierung, trägt dabei selbst aber keine inhaltliche Verantwortung. Was ist zu melden? Zu melden sind alle DV-Verfahren, die personenbezogene Daten verarbeiten oder enthalten. Verfahren ist dabei ein Bündel von Verarbeitungen, die über eine von der/dem Verantwortlichen definierte Zweckbestimmung verbunden sind. Je Verfahren ist ein Formularpaar auszufüllen. Muster, die auf Basis der gesetzlichen Anforderungen erstellt wurden, sind in den nachfolgenden Kapiteln zu finden. Formular 1 enthält Angaben über Inhalte und ermöglicht die Identifikation des einzelnen Verfahrens. Formular 2 stellt Fragen zu den Maßnahmen, die im Hinblick auf Sicherheit und Prüfbarkeit getroffen wurden. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 12 von 20

13 Die Fragen in den Formularen sind meist selbsterklärend. Nachfolgend einige weitergehende Erläuterungen: Was sind personenbezogene Daten? Alle Angaben über natürliche Personen, gleichgültig ob sie sich unmittelbar auf die Person beziehen (wie beispielsweise in einer Adressdatenbank), oder ob sie auf eine Person beziehbar sind (wie beispielsweise die zum Einloggen verwendete persönliche Kennung) sind im Sinne des BDSG personenbezogene Daten. Frage nach den Regelfristen für die Löschung der Daten Daten sind grundsätzlich dann zu löschen, wenn der Grund für ihre Speicherung entfallen ist. Häufig gibt es gesetzliche Aufbewahrungsvorschriften, die eine Speicherung auch dann noch vorsehen, wenn die Daten betrieblich nicht mehr benötigt werden. So ist beispielsweise eine Rechnung nicht mehr von aktueller Bedeutung, wenn sie bezahlt worden ist; gleichwohl müssen die Daten bis zum Jahresabschluss wegen der Gewinn- und Verlustrechnung im Zugriff sein; anschließend sind sie im Rahmen der gesetzlichen Aufbewahrungsvorschriften aufzubewahren. Für die Meldung ist die Frist einzutragen, nach der die Daten in elektronischer Speicherform gelöscht oder überschrieben werden. Sofern eine weitere Aufbewahrung in anderer Form vorgesehen ist, machen Sie bitte eine entsprechende Anmerkung. In komplexen Systemen, beispielsweise bei der Entgeltabrechnung, gibt es unterschiedliche Fristen für die Löschung von Daten; das Feld im Formular könnte nicht groß genug sein. Sie können in einem solchen Fall in einer Anlage erläutern, welche unterschiedlichen Fristen je Datenart bestehen. Sollte keine fristabhängige Löschung von Daten im System vorgesehen sein, tragen Sie bitte keine ein. Datensicherheit und Prüfbarkeit Daten und Datenverarbeitungssysteme sollen sicher und prüfbar sein. Diese Anforderungen ergeben sich nicht allein aus dem Datenschutzrecht (hier: für personenbezogene Daten), sondern auch aus den Ordnungsmäßigkeitserfordernissen des Handelsrechts (für finanzwirksame Daten). Allgemein gelten diese Forderungen natürlich auch im Unternehmensinteresse, soweit Daten und DV-Verfahren wichtig sind für Bestand und Ergebnis des Unternehmens. Die Datenschutzrichtlinie der EU hat vier Sicherheitsziele aufgestellt, die allgemein gültig sind. Im konkreten Fall der Erhebung für das Register des Beauftragten für den Datenschutz sind sie auf personenbezogene Daten und die Systeme, die sie verarbeiten, anzuwenden. Diese vier Sicherheitsziele sind: - Verfügbarkeit - Integrität - Vertraulichkeit - Prüfbarkeit (Beweisbarkeit). Der Fragebogen ist so angelegt, dass zu jedem DV-Verfahren beschrieben werden kann, welche Maßnahmen im Hinblick auf diese vier Sicherheitsziele ergriffen wurden. Verschiedene Stichworte, die beispielhaft genannt werden, sollen die Antwort erleichtern. Das Sicherheitsziel Verfügbarkeit deckt alles ab, was sicherstellt, dass Daten und DV- Technik dem Benutzer so zur Verfügung stehen, wie dies gewollt ist. Das Sicherheitsziel Integrität zielt darauf ab, dass Programme und Geräte das tun, was beabsichtigt ist und nichts anderes; das heißt auch, dass sie vor Manipulation zu schützen sind. Das Sicherheitsziel Vertraulichkeit betrifft den Aspekt der gezielten oder zufälligen Preisgabe von Daten mit der Folge, dass Unbefugte sie zur Kenntnis nehmen können. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 13 von 20

14 Das Sicherheitsziel Prüfbarkeit will Transparenz und Nachvollziehbarkeit sicherstellen und richtet sich vorwiegend an Dokumentations- und Protokollierverfahren, die DV-Systeme und ihre Nutzung darstellen. Diese 4 Sicherheitsziele leiten sich letztendlich aus den Maßnahmen zu 9 BDSG ab, die sich wie folgt darstellen: 1. Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Dies ist nur räumlich zu verstehen! Beispiele: - Zutrittskontrollsystem, - Ausweisleser (Magnetkarte, Chipkarte) - Schlüssel/Schlüsselvergabe - Türsicherung (elektrische Türöffner usw.) - Werkschutz, - Pförtner-Überwachungseinrichtung (Alarmanlage, Video/Fernsehmonitor) 2. Zugangskontrolle Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern! Welche Maßnahmen sind hinsichtlich der Benutzeridentifikation und Authentisierung technisch (Kennwort-/Passwortschutz) und organisatorisch (Benutzerstammsatz) vorhanden? Beispiele: - Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts) - automatische Sperrung - Einrichtung eines Benutzerstammsatzes pro User - Verschlüsselung 3. Zugriffskontrolle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder entfernt werden können. Die unerlaubte Tätigkeit in DV- Systemen außerhalb eingeräumter Berechtigungen ist zu verhindern! Ausgestaltung des Berechtigungskonzeptes und der Zugriffsrechte an die Erfordernisse und deren Überwachung und Protokollierung sind gefordert. Beispiele : - differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte) - Auswertung und Kenntnisnahme von Veränderungen und Löschungen 4. Weitergabekontrolle Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Dabei sind sämtliche Aspekte der Weitergabe personenbezogener Daten wie elektronische Übertragung, Datentransport, Übermittlungskontrolle, Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie deren nachträgliche Überprüfung zu beachten. Beispiele: - Verschlüsselung - Protokollierung - Transportsicherung Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 14 von 20

15 5. Eingabekontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Dies zielt ab auf Nachvollziehbarkeit und Dokumentation der Datenverwaltung mit Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind. Beispiele: - differenzierte Berechtigungen (Datenbestände, Funktionen) - Feldzugriff auf Datenbanken - Sicherheits-/Protokollierungssoftware - Kontrolle der Hilfsprogramme - Funktionstrennung (Produktion/Test) 6. Auftragskontrolle Es ist sicher zu stellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können, um eine weisungsgemäßen Auftragsdatenverarbeitung zu gewährleisten. Beispiele: - eindeutige Vertragsgestaltung - formalisierte Auftragserteilung (Auftragsformular) - Kriterien zur Auswahl des Auftragnehmers - Kontrolle der Vertragsausführung 7. Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Maßnahmen zur Datensicherung (physikalisch / logisch). Beispiele: - Kopieren der Datenbestände (RAID-Verfahren) - getrennte Aufbewahrung - Virenschutz / Firewall - Notfallplan 8. Trennungskontrolle Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Beispiele: - Interne Mandantenfähigkeit /Zweckbindung - Benutzerprofile - Berechtigungskonzepte - Zugriffsregelungen Muster für Verfahrensregister In den mitgeltenden Unterlagen befindet sich im Dokument CKDS02.DOC ein Muster, das für die manuelle und handschriftliche Verwaltung gedacht ist und zunächst den ersten Teil, der auf Anfrage Jedermann (s. auch obige Graphik) zur Verfügung gestellt werden muss, umfasst. Der jeweils 2. Teil eines Bogens zum Verfahrensregister muss die Maßnahmen gemäß Anlage zu 9 BDSG beschreiben und nicht veröffentlicht d.h. Jedermann zugänglich gemacht werden. Gleichwohl ist er auf Anfrage den Aufsichtsbehörden vorzulegen. In den mitgeltenden Unterlagen befindet sich im Dokument CKDS03.DOC ein Muster, das wiederum zur manuellen und handschriftlichen Verwaltung geeignet ist und daher in Form einer Prüfliste aufgebaut wurde. Verfahren, für die dieselben Maßnahmen gelten, können durchaus in einem Bogen gebündelt werden. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 15 von 20

16 Alternativ ist eine elektronische Verwaltung z.b. unter EXCEL denkbar. Ein ausgefülltes Muster aus dem Landesverband Sachsen befindet sich in den mitgeltenden Unterlagen im Dokument MUDS10.XLS. Als Alternative zur Checkliste CKDS03.DOC ist es denkbar, eine IT-Policy in beschreibender Form zu verfassen und sich auf der 2. Seite jedes Bogens darauf zu beziehen. Die IT-Policy muss regelmäßig aktualisiert werden. Die genannte Checkliste gibt beste Anregungen über diejenigen Inhalte, die in einer solchen IT-Policy aufgegriffen werden müssen. 4.5 Internet-Auftritt Nachfolgend sind die wichtigsten praktischen Maßnahmen für Internetauftritte zusammengefasst, die sich aus der rechtlichen Situation ergeben: 1. Für die/den NutzerIn muss erkennbar sein, mit welchen natürlichen oder juristischen Personen er es bei dem Angebot zu tun hat (Anbieterkennung). Das geforderte Impressum muss für die/den NutzerIn schnell auffindbar bzw. ständig verfügbar sein. Inhaltlich muss das Impressum folgende Informationen enthalten: den Namen und die Anschrift, unter der der Diensteanbieter niedergelassen ist, bei juristischen Personen zusätzlich den Vertretungsberechtigten, Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihm ermöglichen, einschließlich der Adresse der elektronischen Post, das Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister, in das er eingetragen ist, und die entsprechende Registernummer, in Fällen, in denen er eine Umsatzsteueridentifikationsnummer nach 27a des Umsatzsteuergesetzes besitzt, die Angabe dieser Nummer. Ein Button Impressum muss auf jeder Seite direkt auffindbar sein, am besten ist die Plazierung als eigener Punkt im Navigationsframe. 2. Die/Der NutzerIn ist zu Beginn über die Verarbeitung ihrer/seiner personenbezogenen Daten und ihre/seine Widerspruchs- bzw. Widerrufsrechte umfassend und verständlich zu unterrichten. Werden über die Dauer der Nutzung hinaus Cookies gespeichert, so muss die/der NutzerIn vorher (!) über Zweck, Inhalt und Verfallsdatum der Cookies informiert werden. Der Einsatz von Cookies sollte generell auf ein Minimum beschränkt werden. Ein eigener Button, der zu einer Seite Datenschutzerklärung führt, muss wie das Impressum auf jeder Seite direkt auffindbar sein. Er sollte daher ebenfalls im Navigationsframe angesiedelt werden und dort für jedermann verständlich die gerade genannten Informationen darstellen. 3. Nutzungsprofile dürfen nur unter Pseudonym erstellt werden (z.b. Datum an Stelle des Namens) und nur intern durch den Diensteanbieter und nur für Zwecke der Werbung, Marktforschung oder der bedarfsgerechten Gestaltung der Dienste verwendet werden. Alles Weitergehende bedarf der ausdrücklichen Einwilligung durch die/den NutzerIn. 4. Die Bestandsdaten dürfen ausschließlich zur Durchführung des Tele- bzw. Mediendienstes erhoben, verarbeitet und genutzt werden. Jegliche weitere Nutzung bedarf der expliziten Einwilligung der/des Nutzers/nutzerin, wobei die/der NutzerIn über deren Zweck und sein Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 16 von 20

17 Widerspruchsrecht umfassend informiert werden muss. Einmal erteilte Einwilligungen muss die/der NutzerIn jederzeit für sie/ihn kostenlos widerrufen können. In der Praxis sollte ein gesonderter Button eingerichtet werden, der zu einer Seite Newsletter führt. Dort kann die/der NutzerIn explizit eine -Adresse, an die elektronische Neuigkeiten verschickt werden dürfen, eintragen und absenden ( opt-in ). Die bloße Einräumung eines Widerspruchsrechts ( opt-out ) ist nicht zulässig! Am Ende jedes Newsletters muss sich ein persönlicher Link zu einem Um- oder Abmeldeformular befinden. Über die Möglichkeiten dieses Widerrufs muss die/der NutzerIn vor der Einwilligung hingewiesen werden. Es muss auch nachträglich festgestellt werden können, ob und welche Einwilligungen erteilt wurden. Diese müssen entsprechend protokolliert werden und von der/dem NutzerIn abrufbar sein. Werden personenbezogene Daten auch noch auf Basis älterer Einwilligungserklärungen verarbeitet, müssen auch diese Fassungen bereitgehalten werden. Die Beweislast liegt beim Diensteanbieter. 5. Sollen Daten an Dritte weitergeleitet werden, muss die/der NutzerIn darüber informiert werden. Werbeeinblendungen müssen als solche zu erkennen sein. 6. Bei Kontaktformularen ist auf eine möglichst hohe Datensparsamkeit zu achten, z.b. durch den Einsatz möglichst vieler optionaler Felder. Zu diesen Bestimmungen hat der Gesetzgeber entsprechende Bußgeldvorschriften erlassen, um ihre Ernsthaftigkeit zu unterstreichen. Im Einzelfall drohen Geldbußen bis zu ,- EURO. Rechtskonforme Muster für Impressum und Datenschutzhinweis können z.b. unter eingesehen und herunter geladen werden. Beim Betrieb eines Webshops empfiehlt sich zusätzlich der Datenschutzhinweis auf der Auch bei der Veröffentlichung von MitarbeiterInnen-Daten ist auf entsprechende Datensparsamkeit zu achten. A priori sind nur solche Informationen zulässig, die sich im engsten Sinne auf die Funktion der Mitarbeiterin / des Mitarbeiters in seinem dienstlichen Umfeld beziehen. Beispielsweise darf kein Foto ohne ausdrückliche und vorherige Zustimmung der Mitarbeiterin / des Mitarbeiters veröffentlicht werden. Des Weiteren sollte auf einen Haftungsausschluss bei Links auf andere Webseiten hingewiesen werden. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 17 von 20

18 4.6 Auftragsdatenverarbeitung Generell sind 2 Fälle zu unterscheiden: Ein externer Dienstleister hat Zugriff auf die Daten im eigenen Hause wie z.b. SoftwareprogrammiererInnen oder WartungstechnikerInnen. Ein entsprechendes Vertragsmuster befindet sich in den mitgeltenden Unterlagen im Musterdokument MUDS11.DOC. Ein externer Dienstleister betreibt eigene Server innerhalb der EU und bekommt Daten der verantwortlichen Stelle übermittelt. Umfassende vertragliche Regelungen befinden sich in den mitgeltenden Unterlagen im Musterdokument MUDS12.DOC. In beiden Fällen bedürfen die datenschutzrechtlichen Zusatzregelungen unbedingt der Schriftform! Gerade große Dienstleister weigern sich oftmals, einen vom Auftraggeber eingebrachten Vertrag der im Dokument MUDS12.DOC beschriebenen Form zu unterzeichnen, weil er erst von der eigenen Rechtsabteilung gründlich geprüft werden müsste bzw. weil eigene Vertragsformen eingebracht werden - oftmals auch nur in Form einer IT-Policy formuliert bzw. in die Allgemeinen Geschäftsbedingungen eingebettet. Eine in den mitgeltenden Unterlagen im Dokument CKDS04.DOC befindliche Checkliste soll der/dem Datenschutzbeauftragten helfen, diese auf Vollständigkeit zu prüfen. 4.7 Datenschutzhinweise auf Verträgen, Aufnahmeanträgen etc. Auf jedes Formular, in dem personenbezogene Daten erhoben werden, muss gut sichtbar ein Hinweis zum Datenschutz platziert werden. In diesem muss mindestens dargelegt werden, ob und von wem die Daten gespeichert werden, zu welchem Zweck dies geschieht und an wen die Daten gegebenenfalls zu welchem Zweck weitergeleitet werden. Auf einem Mitgliedsantrag könnte dies z.b. wie folgt formuliert werden: Datenschutzhinweis: Vorstehende Daten werden nur im Rahmen der Erforderlichkeit von Abrechnung und Betreuung Ihrer Mitgliedschaft von dem Kreisverband / Ortsverein oder durch einen Vertragspartner erfasst bzw. verarbeitet. Eine Weitergabe an Dritte außerhalb des DRK zu Werbezwecken o.ä. erfolgt nicht. Wenn sensible Daten wie z.b. bei einem Kurantrag erfasst werden, sollte eine gesonderte Einwilligungserklärung mit gesonderter Unterschrift erfolgen wie es z.b. aus der Schufa-Klausel bei der Bank bekannt ist. Ein Muster könnte z.b. so aussehen: Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 18 von 20

19 Hinweise zum Datenschutz ( 67a Abs.3 SGB X): Damit die Kostenträger der Kur ihre Aufgaben rechtmäßig erfüllen können, ist Ihr Mitwirken nach 60 SGB I erforderlich. Ihre Daten sind im vorliegenden Fall aufgrund der 24 bzw. 41 SGB V zu erheben, zu verarbeiten und zu nutzen. Dies beinhaltet auch die zweckgebundene Weitergabe erforderlicher Daten an Dritte. Fehlt die Mitwirkung, kann dies zu Nachteilen bei den Leistungsansprüchen führen. (Unterschrift) Ich bin nicht/damit * einverstanden, dass die reservierende Stelle meine Daten speichert und verarbeitet, um mich auch nach Durchführung der Kur über evtl. Folgemaßnahmen zu informieren. * Unzutreffendes bitte durchstreichen Ort, Datum Unterschrift Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 19 von 20

20 5 DIE AKTIVITÄTEN IN DER LAUFENDEN TÄTIGKEIT 5.1 Checkliste für die laufenden Aktivitäten Wenn die ersten Aktivitäten bei Beginn der Tätigkeit abgeschlossen wurden gemäß der in Kap. 4.1 beschriebenen Checkliste, ist es wichtig, regelmäßig den Status der einzelnen Aktivitäten zu hinterfragen. Hierzu befindet sich der erste Ansatz für eine Checkliste in den mitgeltenden Unterlagen im Dokument CKDS05.DOC. Eine weitere Ausarbeitung soll in den nächsten Monaten folgen. Datenschutzleitfaden für die Datenschutzbeauftragten im DRK Seite 20 von 20