Bundesgesetz Haftungsrisiken vermeiden
Datenschutzrechtlinien von den Vereinten Nationen 1990 beschlossen Grundsätze, die einen Mindeststandard festlegen, der bei der nationalen Gesetzgebung berücksichtigt werden sollen u. a. : Grundsatz der Rechtmäßigkeit und der Ehrlichkeit Grundsatz der Richtigkeit Grundsatz der Zweckbestimmung Grundsatz der Möglichkeit des Betroffenen zur Einsichtnahme Grundsatz der Nichtdiskriminierung Grundsatz der Sicherheit Überwachung und Sanktionen Grenzüberschreitender Datenverkehr
Bundesgesetz (BDSG) Reaktion auf die technische Entwicklung 1970 erstes Datenschutzgesetz für das Land Hessen 1977 Verabschiedung des Bundesgesetz 1983 Volkzählungsurteil (BverG) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit Die Würde des Menschen ist unantastbar Das Persönlichkeitsrecht umfasst auch die aus dem Gedanken der Selbstbestimmung folgende Befugnisse des einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden 1990 Umsetzung des Volkzählungsurteil 2001 Umsetzung der EU Datenschutzrichtlinie von 1995
Wesentliche Grundsätze Personenbezogene Daten müssen stets rechtmäßig und nach Treu und Glauben ( 242 BGB) verarbeitet werden Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und verwendet werden Personenbezogene Daten müssen für den Zweck, für den sie verarbeitet werden, relevant sein und dürfen nicht über das Notwendige hinausgehen Die Betroffenen müssen Informationen über die Zweckbestimmung der Verarbeitung erhalten Daten, die eine Identifizierung von Personen ermöglichen, dürfen nicht länger als notwendig aufbewahrt werden Die Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden Die für die Verarbeitung der Daten Verantwortlichen müssen den Betroffenen angemessene Möglichkeiten zur Berechtigung, Löschung oder Sperrung unrichtiger Daten einräumen Es müssen geeignete technische und organisatorische Maßnahmen zum Schutz gegen unberechtigte oder unrechtmäßige Verarbeitung personenbezogener Daten getroffen werden. Sensible Daten (Angaben zur Gesundheit, Religionszugehörigkeit, Rasse, etc.) genießen verstärkten Schutz Personenbezogene Daten dürfen grundsätzlich nur in ein Land oder Gebiet außerhalb des Europäischen Wirtschaftraumes übermittelt werden, wenn dort ein angemessenes Datenschutzniveau für die Betroffenen gewährleistet ist
Wer ist betroffen? Was ist zu tun? Die öffentliche Hand und alle Unternehmen der Privatwirtschaft (Natürliche und juristische Personen, Freiberufler, Vereine ) Werden mehr als 4 Mitarbeiter (hierzu zählen auch Aushilfen, Werksstudenten, Teilzeitkräfte, Kassenpersonal) mit der automatisierten Verarbeitung oder mehr als 19 Mitarbeiter mit der manuellen Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter bestellt werden Alle Unternehmen die personenbezogene Daten verarbeiten, müssen das öffentliche Verfahrensverzeichnis und die internen Verfahrensverzeichnisse (Verarbeitungen) erstellen
Was sind personenbezogene Daten? Angaben über die persönlichen und sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person
Öffentliches Verfahrensverzeichnis Ist auf Wunsch Jedermann verfügbar zu machen Inhalt: 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten
Interne Verarbeitungen (internes Verfahrensverzeichnis) Für jede Verarbeitung (z.b.: Personalverwaltung, Kundenbetreuung, Auftragsverwaltung, Finanzbuchhaltung, Videoüberwachung, IT Nutzungsdaten usw.) muss ein internes Verfahrensverzeichnis erstellt werden Enthalten über das öffentliche Verfahrensverzeichnis hinaus u.a folgende Angaben: Technische- organisatorische Maßnahmen Technische Rahmenbedingung (Software, Netzanbindung, Datenspeicherung) Zutrittskontrolle Zugangskontrolle Zugriffsberechtigte Personen
Vorabkontrolle Erfolgt immer wenn die Verarbeitung von personenbezogenen/ personenbeziehbaren Daten Risiken für die Rechte und Freiheiten der Betroffenen aufweisen Hierunter fallen Datenverarbeitungen, die die Leistungsfähigkeit, Gesundheit, Gewerkschaftszugehörigkeit, Religion von Betroffenen enthalten Ausnahmen: Vertragsverhältnis liegt vor (Arzt), Einwilligung des Betroffenen, gesetzliche Vorschrift (Gesundheitsamt)
Meldepflicht 4d BDSG (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde.nach Maßgabe von 4e zu melden Ausnahmen: Datenschutzbeauftragter ist bestellt Höchstens 4 Mitarbeiter beschäftigt die personenbezogene Daten verarbeiten und die Daten für eigen Zwecke erheben oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung einem Vertragszweck dienen Keine Ausnahme ohne Ausnahme Unternehmen wie Adresshandel oder Auskunftsdateien (Schufa) sind immer meldepflichtig
Der Datenschutzbeauftragte Er hat nach dem Ulmer Beschluss (A.Z. 153/90-01) für die Wahrung des Persönlichkeitsrecht im Rahmen der geltenden Gesetze Sorge zu tragen. Bei der Erfüllung dieser öffentlichen Aufgaben ist er nicht an Weisungen des Arbeitgebers gebunden. Das Gesetz verlangt von ihm die erforderliche Fachkunde und Zuverlässigkeit. Gerade an seine Fachkunde werden hohe Anforderungen gestellt! Der Datenschutzbeauftragte übt ein Beruf aus Das Landgericht Ulm stellt u.a zur Fachkunde fest: Er muss die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften anwenden können Er ist Computerexperte Er hat Organisationstalent Er muss zuverlässig sein und darf nicht im Konflikt mit anderen Tätigkeiten im Betrieb stehen. Daher schließen sich folgende Gruppen aus: Geschäftführung, Verwandtschaft, Personalleiter, EDV Leiter Ein nicht fachkundiger und zuverlässiger DSB gilt als nicht bestellt
Aufgaben des DSB Einhaltung der Datenschutzgesetze und Wahrung der Rechte Betroffener Überwachen der ordnungsgemäßen Datenverarbeitung Vorabkontrolle Erstellen des Verfahrensverzeichnisses für Jedermann Erstellen und Führen der internen Verfahrensverzeichnisse Schulung der Mitarbeiter Beratung des Unternehmers zum Datenschutz (keine Rechtsberatung!)
Bußgelder Bei Nichterfüllung der Vorschriften, d.h. Fehlen des Datenschutzbeauftragten und/oder der Dokumentationen (interne und öffentliche Verfahrensverzeichnisse) kann als Ordnungswidrigkeit geahndet werden Es droht ein Bußgeld bis zu 25000,-- EUR und bei Missbrauch bis 250000,-- EUR Die Behörden (in NRW Innenministerium, bzw. Landesbeauftragte für Datenschutz und Informationsfreiheit) können auch ohne Anfangsverdacht die Einhaltung der Bestimmungen prüfen
Vorteile für das Unternehmen Erfüllung des im Grundgesetz verankerten Recht auf Persönlichkeitschutz Schutz der Privatsphäre eines jeden Einzelnen Schutz für die Unternehmensdaten Vertrauen bei Kunden und Lieferanten, sowie Mitarbeiter und Banken (Basel II) Schutz vor finanziellen Verlusten durch Bußgelder und Haftungsansprüche Wettbewerbsvorteil (Datenschutzaudit)
Vorteile externer Datenschutz Keine Weiterbildungskosten Keine Interessenskollisionen Kein erhöhter Kündigungsschutz wie bei internen Mitarbeiter Vermeidung von Haftungsrisiken Richtiges Umsetzen der gesetzlichen Vorgaben
Kostenvergleich Interner Mitarbeiter: Lohnkosten inkl. Nebenkosten: 40,-- Jährlicher Aufwand: ca. 100 Std. Beispiel: Unternehmen, 200 Mitarbeiter Intern Extern 1. Jahr: Initialkosten (3 Tage) Jährliche Kosten Schulung (5 Tage) Gesamt 960,-- 4000,-- 2000,-- 6960,-- 2400,-- 1800,-- 0,-- 4200,-- Weitere Jahre: Jährliche Kosten Weiterbildung (Schulung, Literatur) Gesamt 4000,-- 750,-- 4750,-- 1800,-- 0,-- 1800,--
Fragen???
Copyright Copyright 2005 Carsten Metz, Leichlingen (Rheinl.) Vervielfältigung, Veröffentlichungen: Gestattet bei Hinweis auf folgende Quelle Autor Carsten Metz