Prozessabläufe Datenschutzbeauftragten bestellen. P 001 Prozessablauf. 2 Mensch und Medien GmbH

Transkript

1 V 2 Mensch und Medien GmbH

2 001 Beschreibung: Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten erheben, speichern, verarbeiten oder nutzen, müssen unter bestimmten Umständen einen. Der rozess zeigt, wann ein Datenschutzbeauftragter bestellt werden muss und beschreibt die Aufgaben des Datenschutzbeauftragten. Fundstellen im BDSG: 4f BDSG Beauftragter für den Datenschutz 4g BDSG Aufgaben des Beauftragten für den Datenschutz Arbeitshilfen: Bestellung zum betrieblichen Datenschutzbeauftragten Musterschreiben Bestellung eines betrieblichen Datenschutzbeauftragten Mitarbeiter information Bestellung eines externen Datenschutzbeauftragten Mitarbeiterinformation Bestellung zum Koordinator für den Datenschutz Musterschreiben RAXISRATGEBER DATENSCHUTZ UND DATENSICHERHEIT 1

3 Erläuterungen: Zu 1: Zu 2: Zu 3: Zu 4: Zu 5: Erfordernis eines Datenschutzbeauftragten prüfen Nichtöffentliche Stellen haben einen Datenschutzbeauftragten zu bestellen, wenn ständig mehr als neun ersonen mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten in automatisierten Verfahren beschäftigt sind. Das gleiche gilt, wenn mindestens 20 ersonen personenbezogene Daten in nicht automatisierten Verfahren verarbeiten oder nutzen. Unabhängig von der Anzahl der ersonen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden, wenn Verarbeitungsverfahren angewendet werden, die einer Vorabkontrolle unterliegen oder wenn personenbezogene Daten zum Zweck der Übermittlung oder der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung erhoben, verarbeitet oder genutzt werden. Automatisierte Datenverarbeitung mit mehr als neun Mitarbeitern? Es muss ein Datenschutzbeauftragter bestellt werden, wenn in der Regel mehr als neun Mitarbeiter ständig mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten in automatisierten Verfahren beschäftigt sind. In der Regel und ständig bedeutet, dass als Normalbelegschaft mehr als neun ersonen beschäftigt sein müssen. Ein kurzfristiges Überschreiten dieser Grenze führt ebenso wenig zur Verpflichtung, einen zu müssen, wie eine kurzfristige Unterschreitung nicht zum Wegfall dieser Verpflichtung führt. Diese ersonen müssen auch ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sein. Eine nur kurze und vorübergehende aushilfsweise Verarbeitung von personenbezogenen Daten ist unerheblich. Die Verarbeitung von personenbezogenen Daten muss eine auf Dauer angelegte Aufgabe sein. Es ist unerheblich, ob es sich bei den Beschäftigten um Vollzeit- oder Teilzeitkräfte handelt. Manuelle Datenverarbeitung mit mehr als 19 Mitarbeitern? Es muss ein Datenschutzbeauftragter bestellt werden, wenn in der Regel mindestens 20 Mitarbeiter ständig mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten in nicht automatisierten Verfahren beschäftigt sind. In der Regel und ständig bedeutet, dass als Normalbelegschaft mehr als neunzehn ersonen beschäftigt sein müssen. Eine kurzfristige Überschreitung dieser Grenze führt ebenso wenig zur Verpflichtung, einen Datenschutzbeauftragten bestellen zu müssen, wie eine kurzfristige Unterschreitung nicht zum Wegfall dieser Verpflichtung führt. Diese ersonen müssen auch ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sein. Eine nur kurze und vorübergehende aushilfsweise Verarbeitung von personenbezogenen Daten ist unerheblich. Die Verarbeitung von personenbezogenen Daten muss eine auf Dauer angelegte Aufgabe sein. Es ist unerheblich, ob es sich bei den Beschäftigten um Vollzeit- oder Teilzeitkräfte handelt. Vorabkontrolle? Unabhängig von der Anzahl der mit der Verarbeitung von personenbezogenen Daten beschäftigten Mitarbeiter, muss ein Datenschutzbeauftragter bestellt werden, wenn Datenverarbeitungsverfahren eingesetzt werden, die besondere Risiken für die Rechte und Freiheiten einer erson aufweisen. Wenn eine automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Rechte und Freiheiten einer erson aufweist (siehe rozess Notwendigkeit einer Vorabkontrolle prüfen ), muss eine Vorabkontrolle durchgeführt werden, d.h. das Verfahren muss vor Beginn der Verarbeitung vom Datenschutzbeauftragten auf seine Zulässigkeit überprüft werden. Dazu gehören insbesondere Verfahren, in denen besondere Arten personenbezogener Daten verarbeitet werden, wie z.b. Gesundheitsdaten, Daten über rassische oder ethnische Herkunft, politische Meinungen oder philosophische Überzeugungen oder Gewerkschaftszugehörigkeit oder die der Bewertung der ersönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens dienen. Automatisierte Datenverarbeitung zur geschäftsmäßigen Übermittlung? Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichern, müssen einen. Diese flicht besteht unabhängig von der Anzahl der Mitarbeiter, die mit der Datenerhebung und -verarbeitung beschäftigt sind. Zu diesen Unternehmen gehören insbesondere Auskunfteien und Unternehmen des Adresshandels oder brancheninterne Warndienste RAXISRATGEBER DATENSCHUTZ UND DATENSICHERHEIT 3

4 V Zu 6: Zu 7: Zu 8: Zu 10: Zu 11: Automatisierte Datenverarbeitung zur anonymisierten Übermittlung? Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung in anonymisierter Form erheben, müssen einen. Diese flicht besteht unabhängig von der Anzahl der mit der Verarbeitung von personenbezogenen Daten beschäftigten ersonen. Darunter fallen z.b. geschäftsmäßige Forschungseinrichtungen. Automatisierte Datenverarbeitung zur Markt- und Meinungsforschung? Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Markt- und Meinungsforschung erheben und übermitteln, müssen einen, unabhängig von der Anzahl der mit der Verarbeitung von personenbezogenen Daten beschäftigten ersonen. Unter diese Bestimmung fallen Markt- und Meinungsforschungsinstitute, die die Markt- und Meinungsforschung als eigenen Geschäftszweck betreiben. Nicht unter diese Bestimmung fallen dagegen Unternehmen, die Marktforschung nur für eigene Zwecke und für eigene rodukte betreiben. Internen oder externen Datenschutzbeauftragten festlegen Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit dieser Aufgabe kann auch eine erson außerhalb des Unternehmens betraut werden. Nur natürliche ersonen dürfen extern bestellt werden, keine Beratungsunternehmen als juristische erson. Der Datenschutzbeauftragte ist dem Leiter des Unternehmens unmittelbar zu unterstellen. Er ist in der Ausübung seiner Fachkunde weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der Betroffenen sowie über die Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet. Er kann von dieser Verpflichtung nur durch die Betroffenen befreit werden. Betroffene können sich in Datenschutzangelegenheiten jederzeit an den Datenschutzbeauftragten wenden. Da der interne Datenschutzbeauftragte regelmäßig noch andere Aufgaben wahrnimmt, müssen bei seiner Auswahl Interessenkonflikte berücksichtigt werden. Mitglieder der Unternehmensleitung dürfen nicht zum Datenschutzbeauftragten bestellt werden. Es stößt auch auf Vorbehalte, wenn etwa der IT-Leiter oder der Leiter der ersonalabteilung zum internen Datenschutzbeauftragten bestellt wird. Gegen eine Wahrnehmung dieser Aufgabe durch den internen Revisor bestehen dagegen keine Bedenken. Der interne Datenschutzbeauftragte besitzt auch einen besonderen Kündigungsschutz und es ist ihm die erforderliche Fort- und Weiterbildung zu gewähren. Soweit kein Datenschutzbeauftragter bestellt werden muss, hat der Leiter des Unternehmens die Erfüllung der Aufgaben nach den Vorschriften des BDSG in anderer Weise sicherzustellen, d.h. auch in Unternehmen, in denen kein Datenschutzbeauftragter bestellt werden muss, müssen die Aufgaben des Datenschutzes wahrgenommen und die Erfüllung der Aufgaben nach dem BDSG geregelt werden. Insbesondere bei großen Unternehmen, oder wenn ein externer Datenschutzbeauftragter bestellt werden soll, kann es zweckmäßig sein, zu Unterstützung und als Ansprechpartner für den Datenschutzbeauftragten einen oder mehrere Datenschutzkoordinatoren zu bestellen. Vertrag mit externem Datenschutzbeauftragten abschließen Zum externen Datenschutzbeauftragten darf nur eine natürliche erson bestellt werden, d.h., die Bestellung eines Beratungsunternehmens als juristische erson ist nicht zulässig. Gemäß 4f Abs. 1 Satz 1 BDSG muss die Bestellung durch einen schriftlichen Vertrag erfolgen. Datenschutzbeauftragten schriftlich bestellen Der interne Datenschutzbeauftragte ist gemäß 4g Abs. 1 Satz 1 BDSG schriftlich zu bestellen. Er ist der Unternehmensleitung unmittelbar zu unterstellen. Zum Datenschutzbeauftragten bestellt werden darf nur, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Diese Anforderungen bestimmen sich insbesondere nach dem Umfang der Datenverarbeitung im Unternehmen und dem Schutzbedarf der personenbezogenen Daten. Der interne Datenschutzbeauftragte besitzt einen besonderen Kündigungsschutz und hat Anspruch auf die Gewährung der erforderlichen Aus- und Weiterbildung sowie auf Teilnahme an geeigneten Veranstaltungen. Er darf auch Daten und Datenverarbeitungsverfahren kontrollieren, die einer besonderen Schweigepflicht unterliegen und besitzt insoweit auch ein Zeugnisverweigerungsrecht in gleichem Umfang wie die verantwortliche Stelle. 4 Mensch und Medien GmbH

5 Zu 12: Zu 13: Zu 14: Zu 15: Zu 16: Mitarbeiter informieren Die Beschäftigten sollten über die Bestellung eines Datenschutzbeauftragten unterrichtet werden. Mit dieser Information sollte auch über die organisatorische Einbettung des Datenschutzbeauftragten informiert und die Zusammenarbeit mit dem Datenschutzbeauftragten sowie seine Befugnisse und rüfrechte geregelt werden. Insbesondere sollte geregelt werden, was bezüglich der dem Datenschutzbeauftragten zu liefernden Informationen und Unterlagen für den Datenschutzbeauftragten Holschuld und was für die Mitarbeiter Bringschuld ist. Ebenso wichtig ist die Klarstellung der Unterstützungspflicht, der Weisungsfreiheit und des uneingeschränkten rüfrechts des Datenschutzbeauftragten. Aufgaben und flichten des Datenschutzbeauftragten festlegen Nach den Vorschriften des Bundesdatenschutzgesetzes wirkt der Datenschutzbeauftragte auf die Einhaltung des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz hin. Dabei hat er insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden, zu überwachen. Zu diesem Zweck ist er rechtzeitig über Vorhaben der automatisierten Verarbeitung personenbezogener Daten zu unterrichten. Die bei der Verarbeitung personenbezogener Daten tätigen ersonen hat er auf geeignete Weise mit den Vorschriften des Bundesdatenschutzgesetzes und den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. Über die vorhandenen Datenverarbeitungsverfahren hat er eine Übersicht zu führen und das Verfahrensverzeichnis auf Antrag jedermann in geeigneter Weise verfügbar zu halten. Auf Einhaltung des Datenschutzes hinwirken Der Gesetzesauftrag für den Datenschutzbeauftragten lautet, auf die Einhaltung des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken. Aus diesem Grund hat der Datenschutzbeauftragte keine Anordnungsbefugnis, sondern lediglich die Aufgabe eines sachverständigen Beraters der Geschäftsführung. Die Verantwortung für die Erfüllung der Auflagen aus dem BDSG liegt nach wie vor bei der Geschäftsführung. Der Datenschutzbeauftragte hat insbesondere die in diesem Datenschutzprozess nachfolgend beschriebenen Aufgaben zu erfüllen. Wie der Datenschutzbeauftragte darüber hinaus seine Aufgaben wahrnimmt, liegt in seinem Ermessen und richtet sich nach den Gegebenheiten und gegebenenfalls besonderen Anforderungen im Unternehmen. Datenverarbeitungsprogramme überwachen Die Überwachung der DV-rogramme bezieht sich auf die datenschutzrechtliche Ordnungsmäßigkeit der Anwendungen. rüfkriterien sind: Ist eine gesetzliche Grundlage oder eine Vertragsgrundlage für die Erhebung, Verarbeitung und Nutzung der Daten vorhanden? Besteht ein berechtigtes Interesse des Unternehmens an der Erhebung, Verarbeitung und Nutzung der Daten und werden keine überwiegenden schutzwürdigen Interessen der Betroffenen verletzt? Sind alle gespeicherten Daten für die Zweckerreichung erforderlich (Grundsatz der Datenvermeidung und Datensparsamkeit)? Ist für die Anwendungen und Daten eine verantwortliche Stelle im Unternehmen bestimmt? Sind die Zugriffsberechtigungen geregelt und auf den notwendigen Nutzerkreis beschränkt? Sind die Offenbarungen innerhalb des Unternehmens, ggf. Datenübermittlungen an Dritte oder in das Ausland notwendig und zulässig? Sind die Aufbewahrungsfristen für die Daten geregelt und werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht? Sind die rogramme ordnungsgemäß getestet und freigegeben? Sind die rogramme ggf. ordnungsgemäß lizenziert? Werden alle datenschutzrechtlich vorgegebenen Maßnahmen beachtet, z.b. Einwilligung des Betroffenen, Informations- und Hinweispflichten, Beteiligung des Betriebsrates etc.? Sind die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten eingerichtet? Vorabkontrollen durchführen Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der betroffenen ersonen aufweisen, unterliegen sie der rüfung vor Beginn der Verarbeitung. Um die Vorabkontrolle durchführen zu können, müssen die Verarbeitungsverfahren vor Ihrem Einsatz dem Datenschutzbeauftragten gemeldet werden. Zu diesen Verfahren gehören insbesonde RAXISRATGEBER DATENSCHUTZ UND DATENSICHERHEIT 5

6 V re solche, in denen besondere Arten personenbezogener Daten verarbeitet werden, z.b. Gesundheitsdaten, Daten über rassische oder ethnische Herkunft, politische Meinungen oder philosophische Überzeugungen oder Gewerkschaftszugehörigkeit oder die der Bewertung der ersönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens dienen. Siehe hierzu den rozess Vorabkontrolle durchführen. Zu 17: Zu 18: Zu 19: Zu 20: Zu 21: Interne oder externe Schulungen durchführen Der Datenschutzbeauftragte muss ersonen, die personenbezogene Daten verarbeiten, durch geeignete Maßnahmen mit den Vorschriften des Datenschutzes und den jeweiligen Datenschutzerfordernissen im Unternehmen vertraut machen. Die Vorgehensweise und die Art der Durchführung liegen im Ermessen des Datenschutzbeauftragten. Das BDSG schreibt hierzu keine besondere Vorgehensweise vor. Die Art der Schulung bzw. Einweisung in den Datenschutz richtet sich deshalb nach der Art und Sensibilität der Daten und der Aufgaben der jeweiligen Mitarbeiter. Sinnvoll ist es, auf jeden Fall die Mitarbeiter der ersonalabteilung, der IT und die Führungskräfte im Unternehmen persönlich zu schulen. Interne Verfahrensübersicht anlegen Der Datenschutzbeauftragte führt die interne Verfahrensübersicht. Diese interne Verfahrensübersicht (Verfahrensverzeichnis) enthält folgende Angaben: 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Unternehmensverfassung berufene Leiter, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. Beschreibung der ersonengruppen und der entsprechenden Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. Geplante Datenübermittlungen in Drittstaaten, 9. Allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. Externe Verfahrensübersicht anlegen Der Datenschutzbeauftragte führt die externe Verfahrensübersicht. Diese externe Verfahrensübersicht ist auf Verlangen jedermann in geeigneter Weise zur Einsichtnahme zur Verfügung zu stellen. Die externe Verfahrensübersicht enthält in zusammengeführter Form alle Angaben, die auch das interne Verfahrensverzeichnis enthält, mit Ausnahme der Angaben zu den Maßnahmen zur Sicherung der Datenverarbeitung. Datenschutzanalyse durchführen Die Datenschutzanalyse ist keine vom Gesetzgeber vorgegebene flichtaufgabe, sie empfiehlt sich jedoch mit dem Antritt der Aufgabe als Grundlage für die lanung und Durchführung der weiteren Datenschutzarbeit. Sie gibt den Stand des Datenschutzes im Unternehmen, besondere Risiken und die vorzunehmenden Regelungen und eventuelle Investitionen wieder. Datenschutz-Verfahrensanweisung erstellen Der Datenschutzbeauftragte hat darauf hinzuwirken, dass die datenschutzrechtlich relevanten Verfahren und Vorgänge und die erforderlichen technischen und organisatorischen Maßnahmen geregelt werden. Dies geschieht regelmäßig durch den Erlass entsprechender Verfahrensanweisungen. Zu den regelungsbedürftigen Bereichen zählen insbesondere die in der Anlage zu 9 BDSG genannten Themen. Folgende unkte sollten regelmäßig durch Verfahrensanweisungen geregelt werden: Gestaltung sicherer asswörter und die Art und Weise ihrer automatisierten Kontrolle, Datenschutzgerechter Einsatz von C und Notebook, Aufbewahrungsfristen und Löschvorschriften, Entsorgung von apier und Datenträgern, Datensicherung, Zugriffsberechtigungen, Sichere Benutzung von und Internet. Bei Bedarf können Verfahrensanweisungen zu besonderen Anwendungen und Verfahren, z.b. Zutrittskontrolle, Zeiterfassung, Telefonbenutzung, ersonaldatenverarbeitung etc. hinzukommen. Zu beachten sind im Einzelfall auch die Mitwirkungs- bzw. Mitbestimmungspflichten nach 6 Mensch und Medien GmbH

7 den Vorschriften des Betriebsverfassungsgesetzes. Um nicht eine unübersichtliche Vielzahl von Regelungen zu schaffen, empfiehlt es sich, ein Datenschutzhandbuch und eine IT-Sicherheitsrichtlinie zu erlassen und in diesen beiden Dokumenten die rechtlichen, technischen und organisatorischen Regelungen zusammenzufassen. Zu 22: Kein Datenschutzbeauftragter erforderlich Auch wenn nach der Gesetzeslage ein Datenschutzbeauftragter nicht bestellt werden muss, müssen für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten und für die Verarbeitungsverfahren, mit denen personenbezogene Daten verarbeitet werden, alle Datenschutzvorschriften eingehalten werden. Um dies sicher zu stellen und die Geschäftsleitung von eventuellen Haftungsansprüchen zu entlasten, kann es trotz fehlender gesetzlicher Verpflichtung angezeigt sein, einen Datenschutzbeauftragten zu bestellen RAXISRATGEBER DATENSCHUTZ UND DATENSICHERHEIT 7