Checkliste zum Datenschutz

Transkript

1 Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf besteht. Schon allein aufgrund der Komplexität dieses Themas und der vielfältigen speziellen Anforderungen an Unternehmen einzelner Branchen und möglicherweise bestehenden Sondervorschriften mit datenschutzrechtlich relevanten Inhalten, wie z.b. Tarifverträge oder betriebliche Vereinbarungen kann dieser erste Test keinen Anspruch auf Vollständigkeit erheben. 1. Erhebung und Nutzung von personenbezogenen Daten 1.1 Erhebung von Daten Ist die Rechtmäßigkeit der Datenerhebung gewährleistet? Wie und wo werden die Daten erhoben? (Fragebögen, Internet, von Mitarbeitern) Werden Daten, soweit wie möglich, direkt beim Betroffenen erhoben? Sind alle formalen Anforderungen für die Datenerhebung eingehalten? Dokumentation des Datenerhebungsverfahrens ist vorhanden. 1.2 Nutzung von personenbezogenen Daten Werden die erfassten Daten den jeweiligen rechtlichen Erfordernissen entsprechend genutzt und gespeichert? Seite 1 von 7

2 Welche Daten werden weiterverarbeitet? Von wem werden sie verarbeitet bzw. genutzt? (Welche Abteilung des Unternehmens?) Wird die definierte Zweckbestimmung für die Verarbeitung der Daten eingehalten? Sind alle formalen Anforderungen der Datenverarbeitung eingehalten? 1.3 Übermittlung der Daten Erfolgt die Übermittlung der Daten rechtmäßig? Auch wenn die vorhandenen personenbezogenen Daten ordnungsgemäß erlangt und gespeichert wurden, bedarf deren Weitergabe, selbst an andere Stellen innerhalb des Unternehmens oder des Konzerns, einer erneuten datenschutzrechtlichen Überprüfung. : Welche Daten werden an wen weitergegeben? Wird die definierte Zweckbestimmung für die Übermittlung der Daten eingehalten? Werden bei einer Datenübertragung ins Ausland alle Anforderungen beachtet? Sind alle formalen Anforderungen der Datenweitergabe eingehalten? Werden Daten in ein drittland Übermittelt? 1.4. Nutzung und Angebot von Dienstleistungen Werden Daten nur Internverarbeitet ohne Auslagerung an externe Dienstleister? Seite 2 von 7

3 Auch bei der Auslagerung einzelner Aufgabenbereiche an externe Dienstleister, z.b. Steuerberater, Rechtsanwälte, Lohnbuchhalter etc., sind die Anforderungen des Datenschutzes zu beachten. Verantwortlich hierfür ist der Auftraggeber! Eine Pflicht zur Information des Betroffenen besteht zumindest dann, wenn er mit der Weitergabe der Daten nicht rechnen musste. Ob darüber hinaus Informationspflichten bestehen, ist noch nicht abschließend geklärt. Bis zum Vorliegen von präjudizierenden Entscheidungen sollte jedoch eine Unterrichtung des Betroffenen erfolgen. Die vertragliche Vereinbarung zwischen dem Auftraggeber und dem externen Dienstleister muss stets eine Regelung zur Aufrechterhaltung des Datenschutzes enthalten. 5. Besonders sensible Daten Werden keine sensiblen Daten gespeichert? Bestimmte, besonders sensible Daten unterliegen gesteigerten Anforderungen an ihre Sicherheit. Auch diese muss während des gesamten Erhebungs- und Verarbeitungsprozesses gewährleistet bleiben. Erläterung: Datenübermittlung in Länder außerhalb der EU EDV-gestützte Arbeitszeiterfassung Weitergabe von Daten im Rahmen der Kundenbindung Videoüberwachung öffentlich zugänglicher Gebäude und Grundstücke Datenschutz bei der Faxübertragung von Dokumenten Besonders schutzbedürftige Daten bei Rechtsanwälten, Ärzten, Steuerberatern etc. Datenschutz bei Bonitätsprüfungen. Seite 3 von 7

4 2. Innerbetriebliche Organisation 2.1. Datenschutzbeauftragter Ist ein externer oder interner Datenschutzbeauftragter für Ihr Unternehmen bestellt? Der Datenschutzbeauftragte muss Fachkunde und Zuverlässigkeit nachweisen. Ihm muss es möglich sein, den Datenschutz im Unternehmen umzusetzen. Er berät vor allem in den Bereichen Datenbeschaffung, Datenverarbeitung, Datenweitergabe und Dienstleistungsnutzung. Erfüllt der Datenschutzbeauftragte diese Anforderungen nicht oder entspricht seine Bestellung nicht den formalen Erfordernissen, so gilt er als nicht bestellt. Dies kann die Verhängung eines Bußgeldes zur Folge haben! Ist laut Bundesdatenschutzgesetz die Bestellung eines Datenschutzbeauftragter nicht erforderlich, so muss die Geschäftsleitung den Datenschutz sicherstellen Mitarbeiter Sind Ihre Mitarbeiter über die in Ihrem Unternehmen geltenden Datenschutzregelungen ausreichend unterrichtet und in dessen Handhabung eingewiesen? Seite 4 von 7

5 Klären sie Ihre Mitarbeiter zum Thema Datenschutz im Unternehmen gleich bei Ihrer Einstellung auf (z.b. über Datenschutz- und Datensicherheitspflichten). Weisen Sie beim Umgang mit sensiblen Daten auf die spezielle Datenschutzpflicht extra hin. Führen Sie regelmäßige Weiterbildungen Ihrer Mitarbeiter durch Betroffene Werden die Rechte der Betroffenen geschützt, sind alle formellen Anforderungen an den Schutz der Betroffenen eingehalten? Die Betroffenen müssen von der Datenerhebung unterrichtet werden und in diese einwilligen. Eine kompetente und zeitnahe Bearbeitung von Auskunftsersuchen muss gewährleistet werden. Die Mitarbeiter müssen geschult werden, damit sie eventuell auftretende Anfragen bearbeiten können. Es müssen die technischen Möglichkeiten vorhanden sein, um Daten berichtigen oder löschen zu können Datensicherheit Werden Ihre angewandten Datenverarbeitungsverfahren den hohen und sich ständig ändernden Anforderungen des Datenschutzes gerecht? Seite 5 von 7

6 Problematik: Systeme sollten durch Passwort und Virenschutz gesichert werden. Sie sollten ein IT-Sicherheitskonzept für ihr Unternehmen entwerfen. Den Mitarbeitern sollte nur der Zugriff auf für sie notwendige Daten ermöglicht werden. Die Internetnutzung sollte durch ein Virenschutzprogramm und eine Firewall sicherer gemacht werden 2.5. Datenschutz-Management Weist Ihr Unternehmen Datenschutzstrukturen auf, die den rechtlichen und tatsächlichen Anforderungen entsprechen? Regeln Sie die Verantwortlichkeiten im Bereich Datenschutz und -sicherheit durch verbindliche Dienstanweisungen. Der Datenschutzbeauftragte ist bei der Änderung bestehender und bei der Einführung neuer Verfahren zu informieren und bereits im Vorfeld einzubeziehen. Schulen sie regelmäßig Ihre Mitarbeiter. Beziehen Sie neue Entwicklungen in den Bereichen Technik und Recht in die Fortbildungsmaßnahmen ein. Kontrollieren sie die Einhaltung der Datenschutz- und Datensicherheitregelungen. Bei Umgängen mit personenbezogenen Daten muss eine Legalitätsprüfung vorgenommen werden. Werden die gesetzlich geforderten Verzeichnisse vollständig und regelmäßig geführt? Sind sie jederzeit und für jedermann einsehbar? Ist die innerbetriebliche Organisation an die Erfordernisse des Datenschutzes angepasst? Seite 6 von 7

7 en zum Bewertungsschema Die Aussage weiß nicht entspricht einem nicht vorhandenes Wissen über den technologischen Stand des Unternehmens und den gesetzlichen Verpflichtungen deren Einhaltung vom Zufall abhängig macht. Hier besteht der gleiche Handlungsbedarf, als wenn solche Strukturen völlig fehlen oder Regelungen missachtet werden. Bei den Aussagen JA besteht zunächst kein Handlungsbedarf. Diese Bereiche sollten jedoch im Hinblick auf Veränderung der Gesetzeslage oder den Bedingungen im Unternehmen (z.b. Änderung der Software, Erweiterung des Tätigkeitsfeldes) beobachtet werden. Bei den Aussagen NEIN besteht akuter Handlungsbedarf. Bitte beachten Sie: Dieser Kurzscheck kann lediglich einen kurzen und stark vereinfachten Überblick über die aktuelle Positionierung Ihres Unternehmens in Sachen Datenschutz geben. Er erhebt keinesfalls einen Anspruch auf Vollständigkeit! Je nach datenschutzrechtlicher Relevanz sind die einzelnen Bereiche unterschiedlich zu gewichten. Seite 7 von 7