Meldepflicht nach 4d BDSG

Ähnliche Dokumente
BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT

Bearbeitungshinweise Datenverarbeitungsverfahren

Formular Meldung nach 4d BDSG

Anleitung zum Ausfüllen des Formulars

Öffentliches Verfahrensverzeichnis

Bearbeitungshinweise

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Firmeninformation zum Datenschutz

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Das Datenschutzregister der Max-Planck-Gesellschaft

Bayerisches Landesamt für Datenschutzaufsicht

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

MPE-Garry GmbH. Öffentliches Verfahrensverzeichnis, gemäß 4g Abs. 2 i.v.m. 4e Nr. 1-8 BDSG. 13 April 2015 Verfasst von: Kilian Bauer

Worüber wir sprechen. Digitalisierung was kann man darunter verstehen. Datenschutz eine fachliche Eingrenzung

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v.

Antrag auf Eintragung in das Immobiliardarlehensvermittlerregister gemäß 11 a GewO

4d Meldepflicht. 6 Unabdingbare Rechte des Betroffenen. 6a Automatisierte Einzelentscheidung

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Verpflichtung auf das Datengeheimnis nach 5 BDSG

Gesetzliche Grundlagen des Datenschutzes

Datenschutz & Datensicherheit

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Cloud und Datenschutz

Datenschutz und Datensicherheit. Norbert Höhn Datenschutzbeauftragter des BHV Stand: September 2017

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

Öffentliches Verfahrensverzeichnis

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT

(Name der Fremdkraft) 1. Verpflichtung auf das Datengeheimnis nach 5 BDSG

Grundlagen des Datenschutzes

Leseprobe zum Download

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Erlass des Ordinariates. Verordnung zur Durchführung der Ordnung über den kirchlichen Datenschutz (KDO-DVO)

Grundlagen des Datenschutzes

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Verfahrensbeschreibung

Verpflichtung auf das Datengeheimnis

IT-Compliance und Datenschutz. 16. März 2007

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Checkliste: Liegt ein Fall des 42a BDSG vor?

Verpflichtung Mitarbeiter externer Firmen

Anforderungen an die datenschutzkonforme Auskunftserteilung über gespeicherte Daten von Personen nach 34 Bundesdatenschutzgesetz (BDSG)

Datenschutz in der Marktund Sozialforschung

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Datenschutz. Verfahrensverzeichnis nach 4g i.v.m. 18 und 4e BDSG

Guter Datenschutz schafft Vertrauen

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Öffentliches Verfahrensverzeichnis der Vater Unternehmensgruppe nach 4e Bundesdatenschutzgesetz (BDSG)

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Bestellung zum Datenschutzbeauftragten

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Gründe für ein Verfahrensverzeichnis

Verfahrensverzeichnis Europäische Meldeauskunft RISER (RISER-Dienst)

Datenschutz ist Grundrechtsschutz

Recht auf Auskunft nach 34 BDSG

Datenschutzreform 2018

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance

Firma. Erlaubnis muss bis spätestens 21. März 2017 erworben worden sein

Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

ANTRAG AUF EINTRAGUNG IN DAS VERMITTLERREGISTER NACH 34i Abs. 8, 11a Abs. 1 GEWERBEORDNUNG (GewO)

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

Hinweis: Bitte beachten Sie, dass Sie zusätzlich zu diesem Antrag einen entsprechenden Erlaubnisantrag stellen müssen.

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Öffentliches Verfahrensverzeichnis

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG

Verpflichtungserklärung Fernmeldegeheimnis i.s.d. 88 des Telekommunikationsgesetzes (TKG)

Auftragsdatenverarbeitung

AUFNAHMEANTRAG SC Wildpark Messel 1913 e.v. Stand:

Öffentliches Verfahrensverzeichnis der Sparda-Bank West eg

Anhang zu den AGB Saas Auftragsdatenverarbeitung

Anhang zu den AGB Saas Auftragsdatenverarbeitung

Antrag auf Eintragung in das Vermittlerregister für natürliche Personen (bei OHG, KG, GbR die jeweiligen geschäftsführungsberechtigten Gesellschafter)

Erstantrag ( 28 PAuswV):

Muster eines internen Verfahrensverzeichnisses für automatisierte Datenverarbeitungen

Ihre externen Datenschutzbeauftragten

Schutzgut Daten 202 a StGB Ausspähen von Daten 303 a Datenveränderung 303 b Computersabotage 269 Fälschung beweiserheblicher Daten

VORLESUNG DATENSCHUTZRECHT

Datenschutz in der Selbstständigkeit. Was muss man beachten?

Transkript:

BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Meldepflicht nach 4d BDSG Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981) 53-5300 E-Mail: poststelle@lda.bayern.de Webseite: www.lda.bayern.de Stand: Nov. 2015

Meldepflicht nach 4d BDSG Anwendungsbereich des Bundesdatenschutzgesetzes Das Bundesdatenschutzgesetz (BDSG) ist für nicht-öffentliche Stellen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten anzuwenden, wenn die Daten unter Einsatz von Datenverarbeitungsanlagen (also automatisiert) oder in oder aus nicht automatisierten Dateien (Karteien, Formularsammlungen) verarbeitet, genutzt oder dafür erhoben werden und dies nicht ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt ( 1 Abs. 2 Nr. 3 BDSG). Herkömmliche Akten werden nur in besonders geregelten Fällen vom BDSG erfasst, wie z. B. Personalakten gemäß 32 Abs. 2 BDSG. Was ist Gegenstand der Meldepflicht? Es müssen nur Verfahren automatisierter Verarbeitungen personenbezogener Daten bei der Datenschutzaufsichtsbehörde gemeldet werden. Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Daher kann ein Verfahren eine Vielzahl von DV-Dateien umfassen. Die Verfahren automatisierter Verarbeitungen, in denen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ( 29 BDSG, z. B. Auskunfteien, Adresshandel) oder zum Zweck der anonymisierten Übermittlung ( 30 BDSG) oder zum Zweck der Markt- oder Meinungsforschung ( 30a BDSG) gespeichert werden, unterfallen ohne Ausnahme der Meldepflicht ( 4d Abs. 4 BDSG). Im Übrigen bestehen weitreichende Ausnahmen von der Meldepflicht. Für Verarbeitungen, die anderen Zwecken als den in den 29, 30 und 30a BDSG genannten dienen, entfällt die Meldepflicht unter folgenden Voraussetzungen: Wenn die verantwortliche Stelle einen betrieblichen Datenschutzbeauftragten (DSB) bestellt hat ( 4d Abs. 2 BDSG). Die Bestellung eines DSB ist für viele nicht-öffentliche Stellen durch 4f Abs. 1 BDSG vorgeschrieben. Wenn keine Pflicht zur Bestellung eines DSB besteht, können verantwortliche Stellen freiwillig einen DSB bestellen und sind dann ebenfalls von der Meldepflicht befreit. Wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist ( 4d Abs. 3 BDSG). Im Umkehrschluss zu diesen beiden Sachverhalten kann sich damit eine Meldepflicht ergeben, wenn ein betrieblicher Datenschutzbeauftragter aufgrund der Beschäftigtenzahl nicht vorgeschrieben und auch nicht auf freiwilliger Basis bestellt ist und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten

Meldepflicht nach 4d BDSG für eigene Zwecke erfolgt, ohne dass insoweit eine Einwilligung des Betroffenen oder ein rechtsgeschäftliches bzw. rechtsgeschäftsähnliches Schuldverhältnis gegeben ist. Beispiele: Einsatz umfangreicher Videoüberwachung von öffentlichen Bereichen Internet-Führungskräfte-Recherche Sachverständigentätigkeit Wann muss gemeldet werden? Nach 4d Abs. 1 BDSG hat die Meldung bereits vor der Inbetriebnahme der meldepflichtigen Datenverarbeitung zu erfolgen. Auch Änderungen der meldepflichtigen Angaben und die Beendigung der meldepflichtigen Tätigkeit sind vorher mitzuteilen ( 4e Satz 2 BDSG). Bei wem muss gemeldet werden? Die Meldung muss bei der gemäß 38 BDSG zuständigen Aufsichtsbehörde für den Datenschutz erfolgen, in deren Bundesland die meldepflichtige Tätigkeit ausgeübt wird. Welchen Inhalt muss die Meldung haben? Siehe dazu auch anliegendes Muster. Das Hauptblatt mit den geforderten Angaben zur verantwortlichen Stelle und den dortigen Verantwortungsträgern ist von jeder Stelle nur einmal auszufüllen. Die Angaben zu den jeweiligen automatisierten Verfahren sind mit dem Formular Anlagen für jedes einzelne betriebene Verfahren (z. B. Adressenhandel, Auskunfteibetrieb usw.) gesondert zu melden. Der und die Anschrift der verantwortlichen Stelle müssen im Kopf der Anlage nochmals angegeben werden. Wenn eine meldepflichtige Stelle - nach Abgabe der Meldung - weitere meldepflichtige Verfahren durchführt oder durchführen lässt, genügt es, wenn sie lediglich eine neue Anlage ausfüllt und vorlegt. Ebenso ist zu verfahren, wenn sich Änderungen bei bereits gemeldeten Verfahren ergeben (wobei dann die Nummerierung der geänderten Anlage anzugeben ist). Das Hauptblatt ist nur dann neu auszufüllen, wenn sich auch insoweit Änderungen ergeben. Die geforderten Angaben zu dem im Inland ansässigen Vertreter einer außerhalb der Europäischen Union oder des Gebietes des EWR gelegenen verantwortlichen Stelle sind gemäß 1 Abs. 5 Satz 3 BDSG notwendig. Sofern ein betrieblicher Datenschutzbeauftragter bestellt ist, ist dessen Benennung als freiwillige Angabe sinnvoll, da dieser gemäß 4f Abs. 5 Satz 2 BDSG auch der Ansprechpartner für Bürgerinnen und Bürger ist.

Meldepflicht nach 4d BDSG Was kann passieren, wenn eine notwendige Meldung nicht gemacht wird? Wenn eine verantwortliche nicht-öffentliche Stelle vorsätzlich oder fahrlässig entgegen 4d Abs. 1 BDSG, auch in Verbindung mit 4e Satz 2 BDSG (Änderung bzw. Aufgabe der Tätigkeit), eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, begeht sie gem. 43 Abs. 1 Nr. 1 BDSG eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50.000,- Euro geahndet werden kann.

Anmeldung nach 4d Bundesdatenschutzgesetz (BDSG) zum Register nach 38 Abs. 2 BDSG beim Bayerischen Landesamt für Datenschutzaufsicht Hauptblatt Die Kästchen mit den Ziff. 1-16 verweisen auf die beiliegenden Ausfüllhinweise. Sollte der vorhandene Platz nicht ausreichen, fügen Sie bitte ein gesondertes Blatt mit den Angaben bei. 1. Verantwortliche Stelle 1 oder Firma Straße Postleitzahl Ort Telefon * Telefax * E-Mail * Internet-Adresse (URL)* *= freiwillige Angaben 2. Vertretung 2.1 Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter: 2.2 mit der Leitung der Datenverarbeitung beauftragte Personen: Bayerisches Landesamt für Datenschutzaufsicht 5...

2.3 Bei verantwortlicher Stelle in Drittstaaten, d. h. mit Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Island, Norwegen und Liechtenstein), im Inland ansässiger Vertreter: 2 3. Angaben zur Person der/des Datenschutzbeauftragten *: 3 Straße PLZ Ort Telefon Telefax E-Mail Internet-Adresse (URL) *= freiwillige Angaben Ort, Datum, Unterschrift 4

Anlage Verantwortliche Stelle 5 oder Firma Straße Postleitzahl Ort Telefon Telefax E-Mail Internet-Adresse (URL) 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung 6 5. Betroffene Personengruppen und Daten oder Datenkategorien 5.1 Beschreibung der betroffenen Personengruppen 7 5.2 Beschreibung der diesbezüglichen Daten oder Datenkategorien 8

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; bei Datentransfers in Drittstaaten siehe Nr. 8 9 7. Regelfristen für die Löschung der Daten 10 Zeitraum 8. Geplante Datenübermittlung in Drittstaaten 11 12 8.1 des Drittstaates 8.2 Empfänger oder Kategorien von Empfängern 8.3 Art der Daten oder Datenkategorien

Aufsichtsbehördeninterner Teil ( 38 Abs. 2 S. 3 BDSG) 13 9. Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen 9.1 Art der eingesetzten DV-Anlagen und Software 14 9.2 Maßnahmen nach 9 BDSG i. V. m. der Anlage dazu 15 Zutrittskontrolle: Erläuterungen (bitte die einzelnen im Unternehmen getroffenen Maßnahmen dazu angeben) Zugangskontrolle: Zugriffskontrolle: Weitergabekontrolle: Eingabekontrolle: Auftragskontrolle: Verfügbarkeitskontrolle: Trennungsgebot: 10. Zeitpunkt der Aufnahme und Beendigung des meldepflichtigen Verfahrens 16 Ort, Datum, Unterschrift 17

Ausfüllhinweise: Hauptblatt Die rechtliche Notwendigkeit für die im Formular geforderten Angaben ergibt sich aus 4e BDSG und 1 Abs. 5 Satz 3 BDSG (abgesehen von den als freiwillig bezeichneten Angaben). Das Hauptblatt mit den geforderten Angaben zur verantwortlichen Stelle und den dortigen Verantwortungsträgern (Nr. 1-2.3) ist von jeder Stelle nur einmal auszufüllen. Die Angaben zu den jeweiligen automatisierten Verfahren sind mit dem Formular Anlagen für jedes einzelne betriebene Verfahren gesondert zu melden. 1 2 3 Nr. 1 Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt ( 3 Abs. 7 BDSG). Angaben zu Telefon, Telefax, E-Mail und Internet sind freiwillig. Nr. 2 2.3 Angaben zu dem im Inland ansässigen Vertreter einer außerhalb der Europäischen Union oder der Nr. 3 Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR: Island, Norwegen und Liechtenstein) gelegenen verantwortlichen Stelle sind nach 1 Abs. 5 Satz 3 BDSG notwendig. Freiwillige Angabe. Für die Stellen, die trotz der Bestellung eines betrieblichen Datenschutzbeauftragten der Meldepflicht unterliegen, ist die Benennung des DSB sinnvoll, da dieser nach 4f Abs. 5 Satz 2 BDSG auch der Ansprechpartner für Bürgerinnen und Bürger ist. 4 Unterschrift Das Hauptblatt ist mit einer rechtsverbindlichen Unterschrift zu versehen. Anlagen Der und die Anschrift der verantwortlichen Stelle müssen im Kopf der Anlage nochmals angegeben werden. Wenn eine meldepflichtige Stelle - nach Abgabe der Meldung - weitere meldepflichtige Verfahren durchführt oder durchführen lässt, genügt es, wenn sie lediglich eine neue Anlage ausfüllt und vorlegt. Ebenso ist zu verfahren, wenn sich Änderungen bei bereits gemeldeten Verfahren ergeben (wobei dann die Nummerierung der geänderten Anlage anzugeben ist). Das Hauptblatt ist nur dann neu auszufüllen, wenn sich auch insoweit Änderungen ergeben. 5 6 7 8 9 10 11 12 13 14 15 Nr. 4 Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt ( 3 Abs. 7 BDSG); die Angaben müssen den Angaben des Hauptblattes unter Nr. 1 entsprechen. Angaben zu Telefon, Telefax, E-Mail und Internet sind freiwillig. Z. B. Datenverarbeitung zum Zweck der Übermittlung (Adresshandel, Erteilung von Wirtschaftsauskünften), Datenverarbeitung zum Zweck der anonymisierten Übermittlung (Markt- und Meinungsforschung). Nr. 6 Nr. 7 Nr. 8 Nr. 5 5.1 Als betroffene Personengruppen kommen beispielsweise Kunden, Arbeitnehmer, Patienten, Schuldner, Versicherungsnehmer usw. in Betracht. 5.2 Mit Daten sind personenbezogene Daten i. S. d. 3 Abs. 1 BDSG gemeint, d. h. Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Z. B., Geburtsdatum, Anschrift, Einkommen, Kfz-Kennzeichen, Konto-Nr., Versicherungs- oder Personal-Nr., Beruf, Hausbesitzer. Grundsätzlich reicht jedoch die Angabe von Datenkategorien, z. B. Personaldaten, Kundendaten. Sog. besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben ( 3 Abs. 9 BDSG). Diese sind entsprechend anzugeben. Empfänger ist jede Person oder Stelle, die Daten erhält, z. B. Vertragspartner, Kunden, Behörden, Versicherungen, ärztliches Personal, Auftragsdatenverarbeiter (z. B. Dienstleistungsrechenzentrum, Call-Center, Datenvernichter) usw. Zeitraum Hier ist der Zeitraum anzugeben, nach dessen Ablauf die Daten gelöscht werden. Siehe dazu die Löschungsvorschriften des 35 BDSG. 4e Nr. 8 BDSG fordert die Angabe der geplanten Übermittlungen in Drittstaaten (Nicht-EU-Länder und Nicht-EWR-Länder). Nur bei der Erstmeldung zum Register sind auch die bereits bestehenden Übermittlungen zu melden. Bei Änderungsmitteilungen wegen neu geplanter Übermittlungen in Drittstaaten brauchen bereits bestehende Übermittlungen nicht gemeldet werden. Angaben sind bereits dann zu machen, wenn es mit einer gewissen Wahrscheinlichkeit zu einer Übermittlung in Drittstaaten kommen wird, Zeitpunkt und nähere Umstände brauchen nicht festzustehen. 8.1-8.3 Die Art der Daten oder Datenkategorien ist getrennt nach dem jeweiligen Drittstaat und den jeweiligen Empfängern oder Kategorien von Empfängern anzugeben. Dieser Teil des Registers ist nicht öffentlich einsehbar und nur für die Aufsichtsbehörde bestimmt ( 38 Abs. 2 Satz 3 BDSG). Nr. 9 9.1 Z. B. Konfigurationsübersicht, Netzwerkstruktur, Betriebs- und Anwendungssoftware, spezielle Sicherungssoftware usw. 9.2 Maßnahme textlich erläutern. Sind zu einem der Punkte keine Maßnahmen zu treffen ist dieser Punkt zu streichen. 16 Unterschrift Die Anlagen sind mit einer rechtsverbindlichen Unterschrift zu versehen.

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback