DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main



Ähnliche Dokumente
Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutz und Schule

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Datenschutzbeauftragte

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Nutzung dieser Internetseite

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Kirchlicher Datenschutz

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

DAS MANDANTEN I MERKBLATT

Hinweise zum Datenschutz, Einwilligungs-Erklärung

GDD-Erfa-Kreis Berlin

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

Datenschutzhinweise zum VAPIANO PEOPLE Programm

Datenschutzdienste der SPIE GmbH. SPIE, gemeinsam zum Erfolg

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Was sagt der Anwalt: Rechtliche Aspekte im BEM

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Antrag'auf'Hilfeleistungen'aus'dem'Fonds'Sexueller'' Missbrauch'im'familiären'Bereich' '' A)'Zweck'des'Fonds'Sexueller'Missbrauch'

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Komitee für Zukunftstechnologien. Teilnahmeerklärung

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Einwilligungserklärung

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Das digitale Klassenund Notizbuch

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Anlage zur Auftragsdatenverarbeitung

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Secorvo. Partner und Unterstützer

Widerrufsbelehrung. Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Widerrufsbelehrung der redcoon GmbH

Datenübernahme und Datensicherheit

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Bestandskauf und Datenschutz?

Bewerbungsformular für das Förderprogramm Teamwork gefragt! Beteiligung von Personen aus anderen Kulturen in der Gemeinde

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Vereinbarung Auftrag gemäß 11 BDSG

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Personal- und Kundendaten Datenschutz in Werbeagenturen

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Bestes familienfreundliches Employer Branding

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Das neue Widerrufsrecht

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Maklerauftrag für Vermieter

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Datenschutz und -Sicherheit. Gesetzeskonformer. Datenschutz schützt nicht nur Ihre Gäste, sondern auch Sie.

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)

Fragebogen zum Arbeits-, Gesundheits- und Umweltschutz E.ON Energy from Waste Leudelange S.àr.l., Stand 09/2008

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Cloud Computing - und Datenschutz

In vier Schritten zu Ihrer neuen Krankenkasse So wechseln Sie:

Rechtliche Neuerungen. Informationspflichten und Widerrufsrecht bei Architekten- und Planungsverträgen mit Verbrauchern

Angaben zur Person für die erstmalige Schulaufnahme

Diese Broschüre fasst die wichtigsten Informationen zusammen, damit Sie einen Entscheid treffen können.

Informationssicherheitsmanagement

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

PRAXIS FÜR PRAKTIKER

Widerrufsrecht, Widerrufsbelehrung, Ausschluss des Widerrufsrechts und Muster- Widerrufsformular Stand

Aus der Praxis für die Praxis Arbeitshilfe Foto- und Bildrechte, Urheberrechte von Menschen im Verein

wegen unentschuldigter Fehltage in der Berufsschule oder fehlender Bereitschaft zur Eingliederung in die betriebliche Ordnung

Grundsätze der elektronischen Kommunikation mit der Gemeindeverwaltung Neuhofen

Allgemeine Geschäftsbedingungen. Onlineshop. Datenblatt. Stand 2015

VOLKER von WÜLFING IMMOBILIEN GMBH 0531/ Seite 1/5. Kurzangebot

Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung (DS-GVO)

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Hinweise bei außerhalb von Geschäftsräumen geschlossenen Verträgen und bei Fernabsatzverträgen mit Ausnahme von Verträgen über Finanzdienstleistungen

Der Schutz von Patientendaten

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Transkript:

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck Sehr geehrter Gast, Sie hatten beim DQS-Kundentag keine Gelegenheit, den Datenschutz-Kurzcheck durchführen zu lassen? Gerne ermöglichen wir es Ihnen oder dem fachlich zuständigen Ansprechpartner in Ihrem Unternehmen, diesen Service auch nach der Veranstaltung in Anspruch zu nehmen. In diesem Falle füllen Sie den Fragebogen aus und senden Ihn per Post oder per Telefax an 069 95427-404 an uns zurück. Wir benötigen dabei bitte folgende Angaben von Ihnen: Vorname, Nachname des Teilnehmers am Kundentag ggf. Vorname, Nachname des fachlichen Ansprechpartners Datenschutz Telefon E-Mail Bitte beachten Sie: Wir verarbeiten Ihre Daten elektronisch, um für Sie einen unverbindlichen Datenschutz-Check durchzuführen und Ihnen die Daten zukommen zu lassen. Anschließend werden Ihre Daten von uns datenschutzkonform vernichtet. Diese Einwilligung können Sie jederzeit widerrufen. Die Auswertung der Antworten hätten Sie gerne per Post per E-Mail. Datum Unterschrift Mit freundlichen Grüßen Ihr Team der DQS-Kundentage 2010

Dieser Kurz-Check zum Datenschutz wendet sich an Unternehmen (keine öffentlichen Stellen). Ziel diese Checks ist es, die Verantwortlichen bezüglich der Aufgaben, die für ein Unternehmen aus dem gesetzlichen Datenschutz erwachsen, zu sensibilisieren. Die Antworten aus dem Test sind rechtlich unverbindlich. 1. Thema: Mit werden die Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach Außerbetriebnahme von Verfahren zur Informationsverarbeitung sicher zu stellen. ist die übergeordnete Umsetzung des Datenschutzes in einer Organisation. Gibt es im Unternehmen eine Datenschutz-Leitlinie oder -Policy, die den Mitarbeitern auch bekannt ist? Gibt es im Unternehmen Richtlinien/Betriebsvereinbarungen/Arbeitsanweisungen zum Datenschutz? Ist das Thema Datenschutz in den Unternehmensprozessen eingearbeitet? Sind Meldewege für Datenschutz- und Sicherheitsvorfälle vorhanden (Incident-Management)? 2. Thema: Verantwortlichkeit im Datenschutz Das BDSG verlangt, dass unter gewissen Voraussetzungen ein Datenschutzbeauftragter (DSB) zu bestellen ist. Der DSB hat primär eine beratende Funktion und wirkt auf die Umsetzung des Datenschutzes hin. Bei der Umsetzung des Datenschutzes muss er durch diverse Personen im Unternehmen unterstützt werden (Unternehmensleitung, Abteilungsleiter, IT-Sicherheitsberater, Administrator, Benutzer etc.). Damit er wirkungsvoll unterstützt wird, müssen auch hier Verantwortlichkeiten festgelegt werden. Ist ein Datenschutzbeauftragter schriftlich bestellt worden? Ist im Unternehmen eine Stellenbeschreibung für den Datenschutzbeauftragten vorhanden? Sind die Verantwortlichkeiten für weitere involvierte Mitarbeiter klar geregelt (z.b. Abteilungsleiter, Vorgesetzte, EDV-Abteilung)? 3. Thema: Prüfung der rechtlichen Rahmenbedingungen Der Gesetzgeber untersagt Unternehmen prinzipiell die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, außer, es liegt eine Einwilligung des Betroffenen vor oder ein Gesetz oder das BDSG erlauben oder ordnen die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten an. Ist bekannt, in welchen Prozessen personenbezogene Daten erhoben, verarbeitet und genutzt werden? Ist bekannt, an wen personenbezogene Daten weitergegeben werden (interne Stellen und auch Dritte)? Wurde die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten vorab auf ihre Rechtmäßigkeit geprüft? Dipl.-Ök. Stephan Rehfeld Seite 1/4

4. Thema: Technisch-organisatorische Maßnahmen Der Datenschutz in einem Unternehmen kann nur umgesetzt werden, wenn alle Beteiligten über den Datenschutz unterrichtet sind und datenschutzkonform handeln. Ein wichtiger Baustein ist aber auch, dass der Einsatz von Technik datenschutzkonform geplant und umgesetzt wird. Gibt es im Unternehmen Risiko- oder Gefährdungsanalysen zum Einsatz von Technik bei der Verarbeitung von personenbezogenen Daten? Gibt es einen Projektplan zur Ergreifung von Maßnahmen, um den Risiken- oder Gefährdungen bei der elektronischen Verarbeitung von personenbezogenen Daten entgegenzuwirken? Gibt es im Unternehmen Arbeitsanweisungen, Richtlinien, Betriebsvereinbarungen, die den Technikeinsatz bei der Verarbeitung von personenbezogenen Daten regeln (z.b. Richtlinie zur PC-Nutzung, Richtlinie zur Datenträgervernichtung, Richtlinie zum Einsatz von Laptops und Smartphones)? 5. Thema: Unterrichtung und Verpflichtung der Mitarbeiter auf das Datengeheimnis Der Mitarbeiter ist ein wichtiger Baustein, damit ein Unternehmen datenschutzkonform arbeitet. Daher schreibt der Gesetzgeber vor, dass alle Mitarbeiter über das Datengeheimnis gemäß 5 BDSG unterrichtet und anschließend verpflichtet werden müssen. Sind alle Mitarbeiter über das Datengeheimnis arbeitsplatzspezifisch unterrichtet worden? Kann das Unternehmen nachweisen, dass alle Mitarbeiter auf das Datengeheimnis verpflichtet worden sind? Ist sichergestellt, dass neu eingestellte Mitarbeiter über das Datengeheimnis unterrichtet und darauf verpflichtet werden? 6. Thema: Wahrung der Rechte der Betroffenen Betroffene verfügen über Rechte, die auch durch Vertrag nicht ausgeschlossen werden können. Unternehmen müssen die Rechte der Betroffenen wahren (Auskunft, Korrektur, Sperrung, Löschung, Verfahrensverzeichnis für jedermann). Ist gewährleistet, dass Anfragen von Betroffenen auf Auskunft, Berichtigung, Sperrung und Löschung erfüllt werden können? Ist gewährleistet, dass das Verfahrensverzeichnis für jedermann anfragenden Personen in einem angemessenen Zeitraum zur Verfügung gestellt werden kann? 7. Thema: Meldepflicht und Verfahrensverzeichnisse Gewisse Verarbeitungen müssen vor Inbetriebnahme der zuständigen Aufsichtsbehörde gemeldet werden. Ferner müssen Unternehmen sog. Verfahrensverzeichnisse führen. Wurde/wird der Meldepflicht nachgekommen? Liegen vollständig aktuelle Verfahrensverzeichnisse vor und werden die Verzeichnisse weitergeführt? 8. Thema: Datenschutzrechtliche Freigabe Werden personenbezogene Daten in Testsystemen verwendet, sind datenschutzrechtliche Anforderungen zu erfüllen. Der DSB ist frühzeitig einzubinden. Ist die frühzeitige Einbindung des DSB bei Verwendung von personenbezogenen Daten in Testsystemen sichergestellt? Dipl.-Ök. Stephan Rehfeld Seite 2/4

9. Thema: Abrufverfahren Werden personenbezogene Daten für Dritte zum Abruf bereitgehalten, so stellen diese Abrufverfahren (z.b. Fernwartung) eine besondere datenschutzrechtliche Gefährdung dar und es müssen spezielle gesetzliche Regelungen beachtet werden (z.b. 10 BDSG). Sind im Unternehmen für alle Abrufverfahren die rechtlichen Regelungen umgesetzt und die Beteiligten über diese Regelungen informiert worden? 10. Thema: Auftragsdatenverarbeitung Häufig werden personenbezogene Daten nicht durch die verantwortliche Stelle (Unternehmen) selbst, sondern durch Dritte erhoben, verarbeitet oder genutzt (Form des Outsourcings). Das Unternehmen bedient sich bei der technischen Ausführung der Aufgabe eines Dienstleisters. Beispiele hierfür können Inkassounternehmen, Marktforscher, Adressdienstleister, Call Center oder auch externe Auditoren sein. Sind alle Auftragsdatenverarbeitungen im Unternehmen identifiziert worden (Unternehmen als Auftraggeber und Auftragnehmer)? Liegen zu allen Auftragsdatenverarbeitungen schriftliche Verträge vor und entsprechen diese Verträge dem aktuellen Rechtsstand (Unternehmen als Auftraggeber)? Sind im Unternehmen datenschutzkonforme Musterverträge vorhanden (Unternehmen als Auftraggeber)? Gibt es Prüfpläne für bestehende Auftragsdatenverarbeitungen (Unternehmen als Auftraggeber)? 11. Thema: Regelung der Verknüpfung und Verwendung von personenbezogenen Daten Standardmäßig wird der Nutzer mit Hilfe von Bildschirmmasken für die Datenerfassung und -auswertung durch eine Software geführt. Dennoch können personenbezogene Daten exportiert und mit Hilfe von freien Abfragesprachen ausgewertet werden (z.b. SQL). Dies stellt aus Sicht des Datenschutzes eine besondere Gefährdung dar. Ist der Einsatz von freien Abfragesprachen (z.b. SQL) auf das erforderliche Minimum beschränkt und geregelt? 12. Thema: Dokumentation der datenschutzrechtlichen Zulässigkeit Vor Einsatz von Hard- und Software zur Verarbeitung von personenbezogenen Daten muss die datenschutzrechtliche Zulässigkeit geprüft werden. Wird vor dem Einsatz neuer Hard- und Software eine Gefährdungsanalyse durchgeführt? Wird der DSB bei Vorhaben automatisierter Verarbeitung personenbezogener Daten frühzeitig hinzugezogen? Wird die ordnungsgemäße Anwendung bestehender EDV-Systeme gewährleistet? Dipl.-Ök. Stephan Rehfeld Seite 3/4

13. Thema: Datenschutz im laufenden Betrieb Die Aufrechterhaltung des Datenschutzes im laufenden Betrieb muss kontrolliert werden. Auf der einen Seite hat der DSB Kontrollaufgaben, auf der anderen Seite soll die Arbeit des DSB kontrolliert werden (Revision). Wird das regelmäßig einer Revision unterworfen? Wird die IT-Sicherheit regelmäßig einer Revision unterworfen? Führt der DSB regelmäßig folgende Kontrollen durch: Kontrolle der Einhaltung der Rechtsgrundlagen und Zweckbestimmung? Kontrolle der Wahrung der Rechte der Betroffenen? Kontrolle der Unterrichtung und Verpflichtung der Mitarbeiter? Kontrolle der Aktualität der Verfahrens- und Geräteverzeichnisse? 14. Thema: Datenschutzgerechte Löschung und Vernichtung Zur Einhaltung des gesetzlichen Datenschutzes ist es wichtig, dass Datenträger und Unterlagen vernichtet und nicht wiederhergestellt werden können. Sind Regelungen zu Löschung/Vernichtung von Datenträgern vorhanden? Ist gewährleistet, dass alle Datenträger und Unterlagen vernichtet werden? Gibt es Regelungen zur Einhaltung der gesetzlichen Aufbewahrungsfristen? Dipl.-Ök. Stephan Rehfeld Seite 4/4

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback