Datenschutz

FRAGEN & ANTWORTEN

Ihre Frage wird nicht beantwortet?

Lassen Sie sich beraten

Was bedeutet Awareness?

Übersetzt meint Awareness „Bewusstsein“, „Gewahrsein“ oder auch „Aufmerksamkeit“. Zur Erhöhung des Sicherheits- und Datenschutz-Niveaus in einer Organisation gehört neben Maßnahmen auf technischer und organisatorischer Ebene auch die Sensibilisierung der Mitarbeiter für die Themen Informationssicherheit und Datenschutz. Dazu muss den Mitarbeitern vermittelt werden, mit Informationen nicht unbekümmert umzugehen und technische und organisatorische Sicherheitsmaßnahmen nicht nur als Störung des Arbeitsflusses wahrzunehmen. Menschen, die sich der Sicherheits- und Datenschutzaspekte ihrer Arbeit bewusst sind („Awareness“) und sich mit den Werten („Assets“) der Organisation identifizieren, sind weniger anfällig für „Social Engineering“-Angriffe (soziale Manipulation) und verantwortungsvoller im Umgang mit personenbezogenen Daten.

Wo ist der Unterschied zwischen dem BDSG und der DSGVO?

Die DSGVO ist ein EU-Recht, welches unmittelbar in jedem Mitgliedsstaat gilt. Die DSGVO enthält jedoch zahlreiche Klauseln, die den Mitgliedstaaten Handlungsverpflichtungen oder -optionen einräumen. Diese wurden in Deutschland im BDSG hinterlegt. Die DSGVO z.B. regelt die Rechte der betroffenen Personen und das BDSG sieht lediglich ergänzende Einschränkungen vor. Daher müssen beide Gesetze gleichzeitig beachtet werden.

Was ist ein Datenschutz-Management?

Datenschutzmanagement meint einen bestimmten Ablauf in der Organisation eines Unternehmens, bzw. einer öffentlichen oder nicht-öffentlichen Stelle, mit bestimmten festzulegenden Prozess-Schritten, die notwendig sind, um die datenschutzrechtlichen Anforderungen bei der Planung, Einrichtung, dem Betrieb und nach Aufgabe eines Verfahrens zur Datenverarbeitung zu gewährleisten. Hierbei sind z.B. Verantwortlichkeiten oder auch einzuhaltende Hierarchien zu berücksichtigen. Hierzu gehört das Erstellen einer Risiko-, Bestands- und Bedarfsanalyse sowie die Entwicklung und der Aufbau einer Datenschutzkonzeption.

Was sind die Aufgaben eines Datenschutz-Beauftragten?

Der Datenschutzbeauftragte kontrolliert die Einhaltung der rechtlichen, technischen und organisatorischen Anforderungen des Datenschutzes und der Datensicherheit. Es kann ein interner oder externer Mitarbeiter zum Datenschutzbeauftragten bestellt werden. Beide müssen die erforderliche Fachkunde und Zuverlässigkeit nachweisen. Der Nachweis erfolgt über Fortbildungen und Zertifikate. Zu den Aufgaben eines Datenschutzbeauftragten gehören unter anderem die Schulung und Sensibilisierung der Mitarbeiter, die Kontrolle der eingeführten Maßnahmen im Hinblick auf Einhaltung, Akzeptanz und Aktualität (Audit) oder auch Hilfestellung beim Aufbau eines Datenschutzmanagements. Darüber hinaus, prüft ein Datenschutzbeauftragter Dokumente, wie zum Beispiel Betriebsvereinbarungen, Datenschutzkonzepte, Arbeitsanweisungen und Vereinbarungen zur Auftragsdatenverarbeitung gemäß Art. 28 DSGVO (AVV).

Welche Informationen über eine Verarbeitung müssen erteilt werden?

Diese Angaben finden sich in Artikel 13 und 14 der DSGVO, wo die Bedingungen für Direkterhebung und Dritterhebungen genannt werden. Dazu gehören z.B. Informationen über den Verantwortlichen und den Datenschutzbeauftragten, die Betroffenenrechte, Widerrufsmöglichkeiten, Verarbeitungszwecke inkl. Rechtsgrundlage oder geplante Speicherdauer.

Es entstehen keine rückwirkenden Informationspflichten.

Die Informationen müssen zum Zeitpunkt der Erhebung gegeben werden in schriftlicher oder elektronischer Form. Das inkludiert auch das aktive Hinweisen auf diese beim persönlichen Kontakt oder am Telefon. Dazu sollten diese Informationen in Aushängen, auf Homepage, u.ä. zugänglich gemacht werden.

Was ist überhaupt der Sinn des Datenschutzrechts?

Sinn und Zweck des Datenschutzrechts ist es personenbezogene Daten zu schützen.

Dies hat einen besonders hohen Stellenwert, da Datenschutz zeitgleich Grundrechtsschutz ist.

Auf europäischer Ebene ist der Datenschutz in Art. 8 der EU-Grundrechtecharta verankert.

Wer ist überhaupt vom Datenschutzrecht betroffen?

Grundsätzlich ist ein jeder vom Datenschutzrecht betroffen.

Das Datenschutzrecht betrifft grundsätzlich alle Daten, welche mit einer Person in Verbindung stehen. Es werden also grundsätzlich alle personenbezogenen Daten geschützt.

Damit sind nicht nur Kunden, sondern auch Mitarbeiter, Führungskräfte und selbst die Geschäftsführung betroffene im Sinne des Datenschutzrechts.

All diese Daten gilt es zu schützen.

Welche Pflichten hinsichtlich des Datenschutzes treffen mich als Unternehmer?

Mit dem in Kraft treten der DSGVO werden Unternehmer von sehr viel umfangreicheren Pflichten getroffen als noch unter dem alten BDSG.

Besonders hinsichtlich der Ausgestaltung des Verarbeitungsvorgangs an sich und der damit verbundenen Risikobewertung bestehen hinreichende Dokumentationspflichten.

Selbiges gilt für die Informationspflichten gegenüber betroffenen Personen.

Was bedeutet Informations-Sicherheit?

Die Informationssicherheit, immer seltener auch Datensicherheit genannt, beschäftigt sich mit dem Schutz von Informationen. Im Gegensatz zur IT-Sicherheit, die sich auf elektronisch gespeicherte Informationen bezieht, werden auch Informationen einbezogen, die sich außerhalb von Rechnern befinden, in Papierform oder in den Köpfen von Menschen. „Informationssicherheit“ ist daher ein umfassenderer Begriff als „IT-Sicherheit“ und findet zunehmend Verwendung

Ab wann braucht ein Unternehmen einen Datenschutz-Beauftragten?

Grundsätzlich muss ein Datenschutzbeauftragter erst dann eingesetzt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Ausnahmsweise gilt die Pflicht zu Einrichtung eines Datenschutzbeauftragten auch unabhängig von der Mitarbeiterzahl, wenn die in Artikel 5 DSGVO genannten besonders schützenswerten personenbezogenen Daten (politische/ religiöse Überzeugungen, Ethnie, Gesundheit oder Sexualleben) betroffen sind. Ebenfalls besteht die Verpflichtung immer dann, wenn die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten die Kerntätigkeit des Unternehmens ausmacht. Haben Sie hierzu Fragen? Dann sprechen Sie und bitte an.

Gibt es Ausnahmen von der DSGVO?

Grundsätzlich sind personenbezogene Daten immer zu schützen, insbesondere soweit sie verarbeitet werden.

Eine Ausnahme der DSGVO liegt dann vor, wenn personenbezogene Daten ausschließlich im persönlichen, beziehungsweise familiären Bereich „verarbeitet“ werden.

Aber auch bei Ermittlungen zur Strafverfolgung durch die zuständigen Behörden gilt die DSGVO nicht, um die öffentliche Sicherheit zu schützen und vor möglichen Gefahren zu warnen.

Warum müssen personenbezogene Daten überhaupt geschützt werden?

Im Alltag und auch im beruflichen Leben werden überall persönliche Daten hinterlassen – zum Beispiel beim Online-Shoppen von Zuhause aus oder auch bei Bewerbungen. Insbesondere hinsichtlich der fortschreitenden Digitalisierung werden mehr und mehr Daten gesammelt.

Im Zusammenspiel können diese personenbezogenen Daten empfindliche Kenntnisse über Ihre Person aussagen. Dies könnte ohne die Maßnahmen der DSGVO zu Datenmissbrauch, beispielsweise durch Identitätsdiebstahl führen.

Welche Daten zählen zu den personenbezogenen Daten im Sinne der DSGVO?

Im Sinne des Artikel 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Geschützt sind also nur personenbezogene Daten von lebenden Menschen. Zu den personenbezogenen Daten gehören beispielsweise Name, Adresse und Anschrift. Besonders sensible, personenbezogene Daten sind gemäß Artikel Informationen über die ethische Herkunft, religiöse oder weltanschauliche Überzeugung oder Gesundheitsdaten. Mittelbare personenbezogene Daten sind dann beispielsweise IP-Adressen und Cookie-Kennungen, sowie Sozialversicherungs- oder Matrikelnummer. Diese fallen daher auch unter den Schutzbereich der DSGVO.

Welche Grundsätze zum Datenschutz sind in der DSGVO hinterlegt?

In Artikel 5 DSGVO werden folgende Grundprinzipien der Datenverarbeitung beschrieben:

  • Rechtmäßigkeit: Verarbeitung personenbezogener Daten muss auf rechtmäßige Art und Weise und nach Treu und Glauben erfolgen. Außerdem muss der Betroffene den (legitimen) Zweck kennen.
  • Zweckbindung: Die Daten dürfen nur zum angegebenen Zweck verarbeitet werden.
  • Datenminimierung: Nur für den Zweck notwendige Daten dürfen verarbeitet werden.
  • Richtigkeit: Daten müssen richtig sein und aktuell gehalten werden.
  • Speicherbegrenzung: Personenbezogene Daten müssen nach Entfall des Verarbeitungszwecks oder wenn sie für diesen Zweck nicht mehr benötigt werden, gelöscht werden.
  • Integrität und Vertraulichkeit: IT-Systeme sollen von Anfang an so programmiert sein, dass nur das Mindestmaß an personenbezogenen Daten erhoben und verarbeitet wird (Privacy by design).
  • Rechenschaftspflicht: Das verarbeitende Unternehmen ist verantwortlich für den Datenschutz und die Umsetzung der DSGVO.
Auf welche Art und Weise und bei welcher Stelle können sich Bürger über Datenschutz-Verletzungen beschweren?

Wenn ein Bürger eine Datenschutzverletzung vermutet, kann er sich bei der zuständigen Aufsichtsbehörde des Landes beschweren. Oftmals stellen diese Beschwerdeformulare bereit, die regelmäßig auch elektronisch ausgefüllt werden können, um die Meldung zu erleichtern.

Die Aufsichtsbehörde ist außerdem verpflichtet den Beschwerdeführer über den Stand der Ermittlungen zu informieren.

Seit Dezember 2021 sind zumindest größere Unternehmen verpflichtet ein Hinweisgebersystem („Whistle Blowing“) einzurichten. Hier können Betroffene eine Meldung/ Beschwerde abgeben und die mögliche Datenschutzverletzung kann zunächst intern geprüft werden, ohne dass direkt behördliche Ermittlungen erfolgen.

JETZT

Kontakt aufnehmen

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Name
Das Logo der MERENTIS Datasec GmbH in blau
Gender Hinweis

Um die Lesefreundlichkeit der Website zu verbessern, wird an einigen Stellen bei Personenbezeichnungen und personenbezogenen Hauptwörtern die männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform beinhaltet also keine Wertung, sondern hat lediglich redaktionelle Gründe.