Datenschutz Fortschritt baut man aus Ideen.
2
Harald März Datenschutzbeauftragter Liebe Mitarbeiterinnen und Mitarbeiter, das Datenschutzrecht ist ein relativ neues und modernes Rechtsgebiet. Die Tatsache, dass (bestimmte) Daten nur für den von dem Betroffenen gewollten Zweck verwendet werden dürfen und eine Zweckentfremdung seiner Einwilligung bedarf, ist jedoch keineswegs neu, sondern schon lange Gegenstand zahlreicher, bisweilen sogar strafrechtlich sanktionierter Vertraulichkeitsregelungen. Hierzu gehören die ärztliche Schweigepflicht ebenso wie das Brief- bzw. Fernmeldegeheimnis oder die Schweigepflicht für Betriebsräte (BetrVG) und Arbeitnehmer (Gesetz gegen den unlauteren Wettbewerb, Tarifverträge etc.). Persönlichkeitsrecht), spiegeln den Anspruch des Einzelnen auf informationelle Selbstbestimmung bei Erhebung und Verwendung von Daten und Informationen, die die eigene Person betreffen, wider. Das Datenschutzrecht basiert also auf einheitlichen und verfassungsrechtlich verbürgten Grundprinzipien. Inzwischen ist der Datenschutz derart facettenreich geworden, dass die Überschaubarkeit und die Verständlichkeit für den einzelnen Betroffenen immer mehr verloren geht. Deshalb möchte ich Ihnen mit dieser Broschüre die wichtigsten Regelungen aus dem Datenschutzgesetz näherbringen; sie kann jedoch Schulungen oder eine individuelle Beratung nicht ersetzen. Rechtspositionen, wie das Recht am eigenen Bild oder das Recht am gesprochenen Wort (abgeleitet aus dem 3
Datenschutz als Grundrecht Das Datenschutzrecht schützt nicht die Daten, sondern die Person, die hinter den Daten steht. Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. Datenschutzgesetz Der Umgang mit personenbezogenen Daten (pbd) wird durch das Datenschutzgesetz geregelt. Es kommt zur Anwendung, wenn Daten erhoben, verarbeitet oder genutzt werden, die einer natürlichen Person zugeordnet werden können. Daten von Vereinen, Verbänden oder juristischen Personen sind durch das Bundesdatenschutzgesetz (BDSG) nicht geschützt. 4
Themengruppen 1. Personenbezogene Daten Allgemeines Betroffene 2. Verantwortungsbereiche / Pflichten Geschäftsleitung Führungskräfte Betriebsrat Mitarbeiter Beauftragter für den Datenschutz Ihre persönliche Verantwortung zum Datenschutz 3. Technischorganisatorische Maßnahmen Neue Verfahren bzw. Verfahrensänderungen 4. Aktuelle Informationen / Neuerungen 5
1. Personenbezogene Daten Allgemeines Das BDSG verbietet grundsätzlich die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, außer es liegen bestimmte bzw. besondere Voraussetzungen vor (Verbot mit Erlaubnisvorbehalt). Eine Datenerhebung ist also gesetzlich zulässig, wenn sie durch das BDSG selbst (z. B. öffentlich zugängliche Daten), durch eine Rechtsvorschrift (z. B. Steuerrecht) oder durch die Einwilligung des Betroffenen (Einverständniserklärung zur Datennutzung) erlaubt wird. Eine firmeninterne Nutzung von personenbezogenen Daten ist dann zulässig, wenn ein vom Datenschutzbeauftragten (DSB) freigegebenes Verfahren existiert und die darin enthaltenen Anforderungen eingehalten werden. Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, wie z. B. Vermögensverhältnisse, Name, Adresse, Wohnverhältnisse, Geburtsjahr, Gehalt, Kreditkarten- oder Telefonnummer. Bestimmt ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt. Bestimmbar wird eine Person, wenn ihre Identität durch die Kombination eines Datums (z. B. Adresse) mit einer anderen Information (z. B. IP-Adresse) feststellbar wird. Weitaus strengere Regeln gelten für den Umgang mit besonderen Arten personenbezogener Daten, da diese als besonders schützenswert eingestuft werden. Darunter fallen z. B. die politische Meinung, eine Gewerkschaftszugehörigkeit, die ethnische Herkunft oder Gesundheitsdaten. Ebenso sensibel werden Angaben zum Sexualverhalten bzw. zur religiösen oder philosophischen Überzeugung bewertet. 6
1. Personenbezogene Daten Betroffene Personen, deren Daten verarbeitet werden, bezeichnet das BDSG als Betroffene. Betroffene können demnach Mitarbeiter, Kunden bzw. Ansprechpartner von Kunden sein. Rechte des Betroffenen Er hat ein Auskunftsrecht über die zu seiner Person gespeicherten Daten. über die Herkunft der gespeicherten Daten. über die Empfänger, an die seine personenbezogenen Daten weitergegeben wurden. Es besteht ein Löschungsanspruch, wenn die Speicherung unzulässig ist. wenn die Richtigkeit von der speichernden Stelle nicht bewiesen werden kann. wenn der Zweck des Verfahrens erfüllt wurde. Informationspflicht Der Betroffene muss informiert werden, wenn Daten des Betroffenen verloren gegangen sind oder unrechtmäßig von Dritten eingesehen wurden. Berichtigungsanspruch Personenbezogene Daten müssen berichtigt werden, wenn sie unrichtig sind. Kontaktierung der Aufsichtsbehörde Bei Verletzung seiner Rechte kann sich der Betroffene an die Aufsichtsbehörde wenden. 7
2. Verantwortungsbereiche / Pflichten Alle hier genannten Beteiligten tragen (je nach ihren Verantwortlichkeiten) dazu bei, die Einhaltung der Datenschutzgesetze zu gewährleisten. Der Gesetzgeber geht dabei auf jeden Verantwortungsbereich ein und nimmt so alle Mitarbeiter in die Pflicht. Geschäftsleitung Die Geschäftsleitung (das Unternehmen) übernimmt die Verantwortung der verarbeitenden Stellen. Dies umfasst u. a. die Gewährleistung der Betroffenenrechte, eine transparente und dokumentierte EDV, den Schutz der EDV und der Daten im Sinne der IT-Sicherheit sowie die Nachvollziehbarkeit von Zugriffen, Änderungen und der Weitergabe an Dritte. Das Unternehmen ist verpflichtet, mit der Datenverarbeitung betraute Personen mit den Vorschriften des BDSG vertraut zu machen und diese vor Beginn ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort ( 5 BDSG: Datengeheimnis). Führungskräfte Führungskräfte haben darauf hinzuwirken, dass die Nutzung und die Verarbeitung von personenbezogenen Daten der jeweiligen Zweckbestimmung entsprechend organisatorisch abgeschirmt erfolgen. Sie müssen nachvollziehbare Regelungen für die Nutzung und Verarbeitung einführen und deren Einhaltung sicherstellen. Details liefert die Leitlinie zum Datenschutz. 8
2. Verantwortungsbereiche / Pflichten Betriebsrat Der Betriebsrat muss bei seinen Entscheidungen gerade im Rahmen von neuen Betriebsvereinbarungen ebenfalls auf den Schutz der personenbezogenen Daten achten. Mitarbeiter Mitarbeiter dürfen personenbezogene Daten nur für betriebliche Aufgabenstellungen nutzen und verarbeiten. Sie haben darauf zu achten, dass der Schutz von personenbezogenen Daten durch die sechs Kontrollgebote (technisch-organisatorische Maßnahmen) sichergestellt wird. Zwischen vertraulichen Unternehmensdaten und personenbezogenen Daten besteht im Grundsatz kein wesentlicher Unterschied. Details liefert die Einzelregelung zum Datenschutz. Beachten Sie zwingend das Datengeheimnis. Dazu haben Sie sich mit Ihrer Unterschrift auf der Verpflichtungserklärung arbeitsvertraglich bereit erklärt. Beauftragter für den Datenschutz Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzrechts hin. Er ist direkt der Geschäftsleitung unterstellt und im Rahmen seiner Tätigkeit als Datenschutzbeauftragter weisungsfrei. 9
2. Verantwortungsbereiche / Pflichten Ihre persönliche Verantwortung zum Datenschutz Mitarbeiter, die mit personenbezogenen Daten arbeiten, haben eine verantwortungsvolle Aufgabe: Sie sollen Betroffene schützen, deren Daten sie verarbeiten also auch sich selbst. Datenvermeidung & Datensparsamkeit Erheben, verarbeiten oder nutzen Sie personenbezogene Daten nur, wenn ein Erlaubnistatbestand aus dem BDSG oder einer anderen Rechtsvorschrift (z. B. Steuerrecht) vorliegt. Neue Verfahren bzw. Verfahrensänderungen Um die Legalität bei der Erhebung, Verarbeitung und Nutzung (sog. Verfahren) von pbd sicherzustellen, sind alle Mitarbeiter verpflichtet, diese Verfahren formell an den DSB zu melden. Mit dieser Meldung, die auch die Grundlage von zukünftigen Prüfungen bildet, werden die notwendigen Informationen durch den Mitarbeiter dokumentiert. Verlust von personenbezogenen Daten Bei Verlust von personenbezogenen Daten ist umgehend der DSB zu informieren, damit dessen Informationspflicht gegenüber der Aufsichtsbehörde eingehalten werden kann. 10
3. Technisch-organisatorische Maßnahmen ( Kontrollgebote ) Zutrittskontrolle Schließen Sie Räume oder Rollcontainer ab, wenn Ihr Arbeitsplatz für längere Zeit unbesetzt ist, und respektieren Sie die Zutrittsregelungen auf dem Firmengelände. Zugangskontrolle Geben Sie niemals Ihre Benutzerkennung an andere Mitarbeiter oder auch Vorgesetzte weiter. Verwahren Sie Daten, Datenträger und Ausdrucke stets sicher. Zugriffskontrolle Stimmen Sie den Vorgaben des Zutritts-, Zugriffs- und Zugangsrechts bewusst zu und prüfen Sie diese regelmäßig auf Aktualität. Sperren Sie Ihren Arbeitsplatzrechner durch Drücken der Tastenkombination Windows-Taste + L bzw. Strg + Alt + Entf. Weitergabekontrolle Melden Sie Verfahren, die personenbezogene Daten an andere Stellen (außerhalb der Abteilung) übermitteln, dem Datenschutzbeauftragten. Schützen Sie die Daten auch vor einer Weitergabe an Berechtigte, z. B. durch Verschlüsselung. Auftragskontrolle Sofern personenbezogene Daten von Dritten verarbeitet werden können oder der Zugriff darauf nicht ausgeschlossen werden kann, ist vor Aufnahme der Tätigkeit ein Auftragsdatenverarbeitungsvertrag abzuschließen. Trennungsgebot Sollten Sie personenbezogene Daten von unterschiedlichen Auftraggebern (Stellen) verarbeiten, sind diese mittels mandantenfähiger Software oder durch ein Berechtigungskonzept zu trennen. 11
4. Aktuelle Informationen / Neuerungen Unter Themen Unternehmenshandbuch Datenschutz können Sie die derzeit gültigen Informationen zum Thema Datenschutz jederzeit abrufen. Gesetzesänderungen, durch die EU konkretisierte bzw. ersetzte Regeln von national verabschiedeten Normen und damit verbundene interne Anpassungen von Leit- bzw. Richtlinien fordern jedoch eine fortwährende Auseinandersetzung mit diesem wichtigen Thema. Aus diesem Grund stellen wir alle Neuerungen, die den Datenschutz betreffen, zeitnah in das firmeneigene intramax. Jede Person, die personenbezogene Daten erhebt, verarbeitet oder nutzt, hat in ihrem Verantwortungsbereich die unumgängliche Pflicht, sich regelmäßig zu informieren und die Soll-Vorgaben nachvollziehbar umzusetzen. 12
Aufgabengebiet des Datenschutzbeauftragten Beratung bei allen Fragen, die den Datenschutz betreffen Auskunftspflicht gegenüber Betroffenen Verschwiegenheitspflicht Kontaktperson zu den Aufsichtsbehörden Beratung und Unterstützung bei Einführung neuer Verfahren Bei Fragen zum Thema Datenschutz bzw. Datensicherheit wenden Sie sich bitte an Ihren betrieblichen Beauftragten für den Datenschutz: Harald März Telefon: +49 9181 909-13133 E-Mail: hmaerz@max-boegl.de 13
Max Bögl Mit mehr als 6.000 hoch qualifizierten Mitarbeitern und einem Jahresumsatz von über 1,6 Mrd. Euro zählt Max Bögl zu den größten Bau-, Technologie- und Dienstleistungsunternehmen der deutschen Bauindustrie. Seit der Gründung im Jahr 1929 ist die Firmengeschichte geprägt von Innovationskraft in Forschung und Technik. An weltweit über 35 Standorten stehen den Kunden der Firmengruppe Fachspezialisten aus den Bereichen Hochbau, Infrastruktur und Energie beratend zur Seite von der Planung und Finanzierung über die Ausführung bis zum Betreiben. Maßgeschneiderte Einzelleistungen stehen dabei ebenso im Mittelpunkt wie qualitativ, bautechnisch und ökologisch hochwertige sowie nachhaltige Gesamtlösungen aus einer Hand. Basierend auf der langjährigen Erfahrung und Kompetenz im hochpräzisen Betonfertigteilbau positioniert sich Max Bögl zudem als wichtiger Impulsgeber in der Entwicklung zukunftsweisender Technologien, Produkte und Bauverfahren. Das breite Leistungsspektrum und die hohe Wertschöpfungstiefe mit eigenem Stahlbau, eigenen Fertigteilwerken, modernstem Fuhrund Gerätepark sowie eigenen Roh- und Baustoffen garantieren höchste Qualität von der ersten Konzeptidee bis zum fertigen Bauprodukt. www.max-boegl.de 14
15
v Max-Bögl-Straße 1 92369 Sengenthal Postanschrift: Postfach 11 20 92301 Neumarkt i. d. OPf. Telefon +49 9181 909-0 Telefax +49 9181 905061 info@max-boegl.de www.max boegl.de Firmengruppe Max Bögl 09/16. Bildnachweise: Michael Heinrich (Titel); Reinhard Mederer (Titel); shutterstock (Titel); Firmengruppe Max Bögl (S. 2, 15); fotolia.de (S. 4, 8, 10); istock (S. 6, 12)