Kurzpapier Nr. 19 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO

Ähnliche Dokumente
Datenschutzreform 2018

Neue Kommunikation und Datenschutz (erster Input)

Verpflichtungserklärung zum Datengeheimnis 5 KDG

Rahmenbetriebsvereinbarung zum Thema Datenschutzgrundverordnung

Verpflichtung zur Wahrung der Vertraulichkeit und zur Beachtung des Datenschutzes


DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Hinweise für Verantwortliche öffentlicher Stellen zur Verpflichtung zur Einhaltung des Datenschutzes

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

DATENSCHUTZ IN DER BETRIEBSRATSARBEIT INFORMATIONEN DES BETRIEBSRATES 91 ARBVG

B E L E H R U N G E N UND H I N W E I S E

Die Europäische Datenschutz- Grundverordnung. Schulung am

Datenschutzkonzept. Vorwort. Das Datenschutzkonzept wurde an folgendem Datum veröffentlicht: Es wurde auf folgende Arten veröffentlicht:

Brennpunkte des Vereinsrechts: Datenschutz. Referentin: Jutta Stock Kreissportbund Wesel e.v., 20. November 2018

Die Datenschutzgrundverordnung Fluch oder Segen für Betriebsräte?

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Europäische Datenschutz-Grundverordnung

Das neue Datenschutzrecht ab 25. Mai 2018 Anpassungsbedarf für HR. Leipzig, 27. Februar 2018

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

Merkblatt für Schweizer Unternehmen

Studentische Rechtsberatung der Universität Passau e. V. - Mitgliedschaftsantrag - Innstraße 39, Passau. Hier falten

Datenschutz Notwendigkeit und Herausforderungen. Ein Überblick. FH-Prof. Dr. Franziska Cecon Professur für Public Management

Datenschutz in der Zahnarztpraxis. Rechtsanwalt Peter Ihle Hauptgeschäftsführer der ZÄK M-V

- Wa s i s t j e t z t z u t u n? -

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

Die Verpflichtung auf die Vertraulichkeit besteht auch nach der Beendigung des Beschäftigungsverhältnisses fort.

Datenschutzerklärung

Auftragsverarbeitungsvereinbarung gemäß Art 28 DSGVO

Datenschutzerklärung Bewerbungsmanagement

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Projektplan. Projektverantwortlicher: Projektbeginn: Projektende: Aufgabe Verantwortliche/r Beginn Ende Erledigt. 1. Management sensibilisieren

Datenschutz-Richtlinie der SenVital

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

Daten chutz. Die Datenschutzgrundverordnung

Leitlinie zur Umsetzung des Datenschutzes bei der Stadt Rees

Datenschutzgrundverordnung

Merkblatt zur Verpflichtungserklärung

Datenschutzerklärung Forschung

Startschuss DSGVO: Was muss ich wissen?

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen*

Die zehn wichtigsten Fragen und Antworten zur Datenschutz-Grundverordnung

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

In der Verletzung der Vertraulichkeit kann zugleich eine Verletzung arbeits- oder dienstrechtlicher Schweigepflichten liegen.

Dokumentationspflichten nach der DSGVO. 1. Rechenschaftspflicht, Art. 5 Abs. 2, 24 Abs. 1 DSGVO

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke Justitiarin/ Datenschutzbeauftragte

Jüdische Gemeinde Frankfurt am Main K.d.ö.R. Datenschutzordnung

WPK aktuell. Mitgliederinformation

Verpflichtung auf das Datengeheimnis nach 5 BDSG

Leitfaden für den Datenschutz im Verein

Vereinbarung zur Auftragsdatenverarbeitung nach Art. 28/29 Datenschutzgrundverordnung (DSGVO)

Datenschutzrechtliche Neuerungen für AMS Partnerinstitutionen. DI Robert Hörmann 7. Mai 2018

Grußwort der Präsidentin zur Datenschutz-Leitlinie der FH Bielefeld in der novellierten Fassung vom

NEU AB 25. MAI 2018 DIE DATENSCHUTZ- GRUNDVERORDNUNG (DSGVO) AUSWIRKUNGEN AUF DIE ENTSORGUNG VON RÖNTGENFILMEN IN ARZTPRAXEN UND KRANKENHÄUSERN

Datenschutzerklärung und Informationen gemäß Art. 13 DS-GVO

D_09d Musterschulungsunterlage zum Datenschutz

Newsletter Datenschutz

DATENSCHUTZGRUNDVERORDNUNG

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Was ist neu, was ist wichtig und was ist zu tun für Betriebs- und Personalräte?

Datenschutz. Die DSGVO und was sie von uns will

NEWSLETTER EU-DATENSCHUTZ-GRUNDVERORDNUNG NEWSLETTER NR. 15

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

EU-Datenschutz-Grundverordnung Überblick für Ingenieurinnen und Ingenieure

Fit für die Europäische Datenschutz-Grundverordnung? -Zirkeltraining für den Datenschutz-

DATENSCHUTZ IM VEREIN UND ORGANISATIONEN EU DSGVO. Jürgen Funke.

Grundprinzipien des Datenschutzes & Auswirkungen auf Finanzdienstleister

Europäische Datenschutz-Grundverordnung

DSGVO Herausforderung Datenschutz

Lauter hohe Bußgelder?- Die Datenschutzaufsicht nach der Datenschutz-Grundverordnung

Datenschutzerklärung zur Verwaltung von StudentInnen

Datenschutzanforderungen für Lieferanten

Die neue Datenschutz- Grundverordnung was müssen Unternehmen künftig beachten? Referent: Dr. Sven Polenz

Die EU-Datenschutzgrundverordnung

Merkblatt. c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

DATENSCHUTZHINWEISE nach DS-GVO

DSGVO Was Sie als Makler wissen müssen

Welche Vorgaben macht die DSGVO? Vieles in der DSGVO entspricht dem, was bereits im bisher geltenden deutschen Datenschutzrecht festgeschrieben war.

Die Betroffenenrechte

Newsletter EU-Datenschutz-Grundverordnung Nr. 15

Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen

EU-Datenschutz-Grundverordnung

Newsletter EU-Datenschutz-Grundverordnung Nr. 15

Transkript:

Kurzpapier Nr. 19 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses. Was regelt die Datenschutz-Grundverordnung (DS-GVO)? Nach Art. 29 DS-GVO dürfen Beschäftigte eines Verantwortlichen (eines Unternehmens, eines Vereins, eines Verbands, eines Selbstständigen, einer Behörde usw.) oder eines Auftragsverarbeiters personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten, es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor. Ergänzend dazu regelt Art. 32 Abs. 4 DS-GVO, dass der Verantwortliche oder Auftragsverarbeiter Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen (insbesondere seine Beschäftigten), die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten (es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor). Für den Fall der Auftragsverarbeitung bestimmt Art. 28 Abs. 3 Satz 2 lit. b DS-GVO, dass der Auftragsverarbeiter gewährleisten muss, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben (soweit sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; Letzteres gilt z. B. für privatärztliche, steuerberaterliche oder anwaltliche Verrechnungsstellen). Selbst wenn nach dem Wortlaut der DS-GVO nur die Beschäftigten eines Auftragsverarbeiters zu verpflichten sind, trifft inhaltlich diese verpflichtende Unterrichtung (im Folgenden: Verpflichtung) auch die Verantwortlichen und ihre Beschäftigten. Wie Verantwortliche diese gesetzliche Verpflichtung umsetzen (und ggfls. der Aufsichtsbehörde nachweisen), ist nicht verbindlich geregelt. Es wird empfohlen, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen. Ein Muster für eine solche Verpflichtung finden Sie in der Anlage. Zu was soll verpflichtet werden? Die Verpflichtung von Beschäftigten zur Wahrung des Datengeheimnisses und zur Beachtung der datenschutzrechtlichen Anforderungen ist ein wichtiger Bestandteil der Maßnahmen, die erforderlich sind, damit ein Verantwortlicher (siehe Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO) oder ein Auftragsverarbeiter (siehe Art. 28 Abs. 3 Satz 2 lit. b DS-GVO) die Einhaltung der Grundsätze der DS-GVO sicherstellen und nachweisen kann ( Rechenschaftspflicht ). Diese Grundsätze der DS-GVO, festgelegt in Art. 5 Abs. 1 DS-GVO, beinhalten im Wesentlichen folgende Pflichten: Personenbezogene Daten müssen a) auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Unterrichtung und Verpflichtung von Beschäftigten Stand 29.05.2018 Seite 1

Weise verarbeitet werden ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ( Zweckbindung ); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ( Richtigkeit ); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist ( Speicherbegrenzung ); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ). Kernelement der Maßnahme ist, dass die Beschäftigten auf die Einhaltung betrieblicher Weisungen verpflichtet werden. Die Form der jeweiligen Weisung ist dabei nachrangig. In Frage kommen neben Einzelanweisungen der Vorgesetzten insbesondere Betriebsvereinbarungen und allgemeine Dienstanweisungen. Außerdem kann Prozessbeschreibungen (z.b. aus dem Qualitätsmanagement), Ablaufplänen sowie Dokumentationen (z.b. Verzeichnis von Verarbeitungstätigkeiten) und Handbüchern Weisungscharakter zukommen. Wer muss verpflichtet werden? Der Kreis der zu verpflichtenden Personen (die DS- GVO spricht insoweit von unterstellten natürlichen Personen ) ist aufgrund der Bedeutung dieser Regelung weit auszulegen. Insbesondere sind ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Referendare, Leiharbeiter und ehrenamtlich Tätige mit einzubeziehen. Soweit die Verschwiegenheit von Beschäftigten im öffentlichen Bereich gesetzlich oder tariflich ausdrücklich geregelt ist, muss eine solche Verpflichtung nicht erfolgen. Wann muss die Verpflichtung erfolgen? Die Verpflichtung muss bei der Aufnahme der Tätigkeit erfolgen. Sie sollte daher möglichst (spätestens) am ersten Arbeitstag vorgenommen werden. Wie muss eine Verpflichtung erfolgen? Zuständig für die Verpflichtung ist die Unternehmensleitung, der Inhaber einer Firma oder ein von diesen Beauftragter. Selbst wenn, wie oben ausgeführt, die DS-GVO keine bestimmte Form der Verpflichtung vorschreibt, sollte schon aus Nachweisgründen ein spezielles Formular verwendet werden, wobei die Verpflichtung schriftlich oder in einem elektronischen Format erfolgen kann. Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten. Die Beschäftigten sind - möglichst anhand typischer Fälle - darüber zu informieren, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen. Mit der Verpflichtung nach der DS-GVO können auch andere Geheimhaltungsvereinbarungen kombiniert werden, z. B. zum Betriebs-, Telekommunikations- oder Steuergeheimnis. Aus Nachweisgründen im Rahmen der Rechenschaftspflicht nach der DS-GVO ist es wichtig, die Verpflichtung ausreichend zu dokumentieren. Unterrichtung und Verpflichtung von Beschäftigten Stand 29.05.2018 Seite 2

Reicht die einmalige datenschutzrechtliche Verpflichtung? Zur laufenden Sensibilisierung der Beschäftigten für Fragen des Datenschutzes empfiehlt es sich, in regelmäßigen Zeitintervallen im Rahmen von Schulungen oder in schriftlichen Hinweisen, z. B. in der Betriebszeitung, daran zu erinnern, dass die Beschäftigten verpflichtet worden sind und welche Bedeutung dieser Verpflichtung zukommt. Wenn ein Arbeitsplatzwechsel im Unternehmen oder in der Behörde erfolgt, der mit einem Aufgabenwechsel verbunden ist, sollte dies immer auch zum Anlass genommen werden, die Verpflichtung zu überprüfen und ggf. anzupassen. Unterrichtung und Verpflichtung von Beschäftigten Stand 29.05.2018 Seite 3

Anlage/Musterbeispiel für eine schriftliche Verpflichtung 1 : Verpflichtung zur Vertraulichkeit und zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO) Frau/Herr verpflichtet sich, personenbezogene Daten nicht unbefugt zu verarbeiten. Personenbezogene Daten dürfen daher nur verarbeitet werden, wenn eine Einwilligung vorliegt oder eine gesetzliche Regelung die Verarbeitung erlaubt oder vorschreibt. Die Grundsätze der DS-GVO für die Verarbeitung personenbezogener Daten sind zu wahren; sie sind in Art. 5 Abs. 1 DS-GVO festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen 2 : Personenbezogene Daten müssen a) auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ( Zweckbindung ); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ( Richtigkeit ); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist ( Speicherbegrenzung ); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ). Personenbezogene Daten dürfen daher nur nach Weisung des Verantwortlichen verarbeitet werden. Neben Einzelweisungen der Vorgesetzten gelten als Weisung: Prozessbeschreibungen, Ablaufpläne, Betriebsvereinbarungen, allgemeine Dienstanweisungen sowie betriebliche Dokumentationen und Handbücher 3. Verstöße gegen diese Verpflichtung können mit Geldbuße und/oder Freiheitsstrafe geahndet werden. Ein Verstoß kann zugleich eine Verletzung von arbeitsvertraglichen Pflichten oder spezieller Geheimhaltungspflichten darstellen. Auch (zivilrechtliche) Schadenersatzansprüche können sich aus schuldhaften Verstößen gegen diese Verpflichtung ergeben. Ihre sich aus dem Arbeits- bzw. Dienstvertrag oder gesonderten Vereinbarungen erge- 1 Soweit die Verschwiegenheit von Beschäftigten im öffentlichen Bereich gesetzlich oder tariflich ausdrücklich geregelt ist, muss eine solche Verpflichtung nicht erfolgen. 2 Der Inhalt der Verpflichtung ist im Einzelfall anzupassen. So können bestimmte Aufgaben und Tätigkeiten zusätzliche Unterrichtungen erfordern, etwa zum Beschäftigten- oder Sozialdatenschutz, zum Telekommunikationsgeheimnis usw. 3 Die Aufzählung ist im Einzelfall anzupassen. So können weitere Unterlagen Weisungscharakter haben oder aufgezählte Typen für einzelne Verantwortliche nicht von Bedeutung sein. Unterrichtung und Verpflichtung von Beschäftigten Stand 29.05.2018 Seite 4

bende Vertraulichkeitsverpflichtung wird durch diese Erklärung nicht berührt. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter. Ich bestätige diese Verpflichtung. Ein Exemplar der Verpflichtung habe ich erhalten. Ort, Datum Unterschrift des Verpflichteten Unterschrift des Verantwortlichen Unterrichtung und Verpflichtung von Beschäftigten Stand 29.05.2018 Seite 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback