RSS-Feed
/template/media/country/de.gif Datenschutz im Unternehmen
Hier erhalten Sie kostenlose Informationen und wertvolle Tipps zu allen Fragen des betrieblichen Datenschutzes und der Datensicherheit in Ihrem Unternehmen.
datenschutz   datensicherheit   externer-datenschutzbeauftragter   datenschutz-im-unternehmen   unternehmenssicherheit
Hinzugefügt am 01.11.2015 - 22:17:52 vom datenschutz3aide
Kategorie: Sicherheit RSS-Feed exportieren
RSS-Feed - Einträge
 
Mitarbeiterdaten im Internet? Was darf wie veröffentlicht werden?
Verfasser: Felix Ginthum, Rechtsanwalt u. externer Datenschutzbeauftragter (TÜV Nord) Im Zuge der Digitalisierung gehen Unternehmen und Behörden immer mehr dazu über Daten ihrer Beschäftigten zu publizieren (Name, dienstliche Erreichbarkeit, E-Mailadresse, Veröffentlichung von Fotos im Internet oder Intranet, Namen auf Organigrammen u. ä.). Dieser Service und diese Transparenz sind heute kaum mehr wegzudenken. Gut so -  wenn man als Unternehmen nicht vergisst, die personenbezogenen Daten seiner Mitarbeiter datenschutzkonform zu behandeln. Denn Veröffentlichungen im Internet sind für jedermann, zu jeder Zeit zugänglich und die Informationen können von Dritten leicht in anderen Zusammenhängen genutzt werden. Nachfolgend daher ein kurzer Abriss, was man als modernes Unternehmen darf und was nicht.    Welche Mitarbeiterdaten sind geschützt? Per se sind alle Mitarbeiterdaten personenbezogene Daten. Der Begriff des Mitarbeiters ist im Gegensatz zu dem Arbeitsrecht gemäß § 3 Nr. 11 BDSG sehr weit auszulegen. Zu den Mitarbeitern eines Unternehmens gehören auch die Personen mit arbeitnehmerähnlicher Stellung. Auch der Praktikant oder der Leiharbeitnehmer steht unter dem Schutz des Gesetzes. Soweit Einzelne argumentieren, dass Daten über sogenannte Funktionsträger (Name, Funktion, dienstliche Bezeichnung) nicht personenbezogene Daten seien, ist diese Ansicht seit der Verbreitung der Daten im Internet nicht mehr haltbar.    Grundlagen der Veröffentlichung von Mitarbeiterdaten Eine Zulässigkeit der Datennutzung von Mitarbeiterdaten richtet sich bei Unternehmen und der Bundesverwaltung nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG) und bei der Landesverwaltung nach den jeweiligen Datenschutzbestimmungen der Länder. Sieht man von Ausnahmefällen ab, in denen z. B. gesellschaftsrechtliche Publikationspflichten bestehen, ist die Veröffentlichung personenbezogener Daten von Beschäftigten nur in engen Grenzen zulässig. Für die Veröffentlichung von Mitarbeiterdaten gilt nach § 32 Abs. 1 BDSG der Grundsatz: Jede Verarbeitung (somit auch die Veröffentlichung) von Mitarbeiterdaten bedarf einer a) gesetzlichen Erlaubnis oder b) der Einwilligung der Betroffenen.    Publikation von Mitarbeiter-Daten zur Erfüllung einer Pflicht aus dem Arbeitsvertrag Im Einzelfall kann eine Veröffentlichung von personenbezogenen Daten von Mitarbeitern eines Unternehmens oder einer öffentlichen Einrichtung im Internet gemäß der Erfüllung arbeitsvertraglicher Pflichten zulässig sein, wenn die Veröffentlichung in Zusammenhang mit der ausgeübten Tätigkeit und somit in Erfüllung der Arbeitspflicht erfolgt. Auch müssen Mitarbeiter, die das Unternehmen nach Außen repräsentieren (Geschäftsführer, Außendienstmitarbeiter, Kundendienst, Beschwerdemanagement-Hotlines usw.) eine  Veröffentlichung ihrer Kontaktdaten auch im Internet hinnehmen. In öffentlichen Stellen muss entsprechend der Dienstverkehr es erfordern, dass z. B. die Behördenleitung nach Außen in Erscheinung treten muss.    Besonderheit: Publikation von Bildern von Mitarbeitern Hier gilt die eiserne Regel: Ohne Einwilligung der Mitarbeiter dürfen Bildnisse nicht verbreitet werden. Für die Veröffentlichung von Bildnern auf der unternehmenseigenen Webpräsenz, in Broschüren u. a. gilt: Neben dem Datenschutzgesetz ist bei den Mitarbeitern § 22 Kunsturhebergesetz (KUG) zu beachten. Danach können Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung ist schriftlich zu erklären. Darüber hinaus kann es sich bei Bildern um sogenannte besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG handeln, so dass diese noch stärker geschützt werden.    Praxistipp von externer-datenschutzbeauftragter24.de Konkrete Bewertungen, ob die Verwendung der Mitarbeiterdaten, z. B. im Intranet unter Berücksichtigung der Interessen beider Parteien erforderlich ist, erfolgt anhand des Einzelfall und im Hinblick auf die jeweilige Funktion des Mitarbeiters im Unternehmen.  Ideal ist es, wenn Sie in diesen Angelegenheiten Ihr betrieblicher oder externer Datenschutzbeauftragter unterstützt. So sind Sie immer auf der sicheren Seiten.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
01.11.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/24/162/mitarbeiterdaten-im-in ...
 
Neuauflage der Vorratsdatenspeicherung
Autor: Detlef Fröhlich, externer Datenschutzbeauftragter Berlin (IHK) Am vergangenen Freitag hat der Deutsche Bundestag einen Gesetzesentwurf zur Neuauflage der umstrittenen Vorratsdatenspeicherung mit deutlicher Mehrheit beschlossen. Im Jahr 2010 hatte das Bundesverfassungsgericht die Vorratsdatenspeicherung in seiner früheren Ausgestaltung für verfassungswidrig erklärt. Dabei befand das Bundesverfassungsgericht, dass eine anlasslose sechsmonatige Speicherung von Telekommunikationsdaten einen derart schweren Eingriff darstellte, dass die Regelung nicht mit dem Artikel 10 Grundgesetz vereinbar war.    Wozu soll das Gesetz dienen? Ziel des Gesetzes soll es sein, die Aufklärung schwerer Straftaten, wie Terrorismus und Kinderpornografie, oder auch die Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes zu erleichtern.    Was soll gespeichert werden? Nach dem Gesetzesentwurf sollen alle Telekommunikationsunternehmen, Internetprovider und andere Zugangsanbieter zehn Wochen lang umfassend Daten ihrer Kunden speichern. Bei Telefondiensten sollen u. a. die Nummer des angerufenen Anschlusses, Beginn und Ende der Verbindung mit Datum und Uhrzeit und bei der Verwendung von Mobiltelefonen zusätzlich die Standortdaten (…mit verkürzter Speicherfrist von vier Wochen) gespeichert werden. Bei der Nutzung des Internets sollen die IP-Adresse (Internetprotokolladresse) des Teilnehmers, Beginn und Ende der Internetnutzung mit Datum und Uhrzeit einschließlich der zugrundeliegenden Zeitzone sowie eine eindeutige Kennung des genutzten Internetanschlusses und eine zugeschriebene Benutzerkennung erfasst und gespeichert werden.    Was soll nicht gespeichert werden dürfen? Nicht gespeichert werden dürfen sollen Kommunikationsinhalte, Daten aufgerufener Websites und E-Mailverkehrsdaten. Verkehrsdaten von Berufsgeheimnisträgern, darunter fallen zum Beispiel Rechtsanwälte und Journalisten, sollen zwar ebenfalls gespeichert, aber nicht verwendet werden dürfen. Bei mehreren Telekommunikationsanbietern erfolgt jedoch derzeit teilweise keine Trennung von Verkehrs- und Inhaltsdaten und soll technisch auch nicht möglich sein. So werden Inhalte von versandten SMS-Nachrichten erfasst und für die Fehlerdiagnose gespeichert und genutzt.    Wer soll Auskunft erhalten? Grundsätzlich sollen die gespeicherten Daten nur zum Zweck der Strafverfolgung und Gefahrenabwehr den zuständigen Behörden übermittelt werden. Ein Zugriff auf die Daten soll nur mit Zustimmung eines Richters möglich sein.    Verfassungsrechtliche Bedenken Bundesjustizminister Heiko Maas erklärte vor der Abstimmung zur Neuauflage, dass es sich bei der Vorratsdatenspeicherung zwar um einen Eingriff in die informationelle Selbstbestimmung handle, dieser aber verhältnismäßig und rechtlich zulässig sei und damit vollumfänglich den Vorgaben der höchstrichterlichen Rechtsprechen entspreche. Anders sehen das die Opposition und Datenschützer. Sie halten auch die Neuauflage der Vorratsdatenspeicherung für verfassungswidrig und wollen erneut das Bundesverfassungsgericht in dieser Sache anrufen. Ebenso betrachtet die EU-Kommission die neuen Bestimmungen aufgrund mehrerer Ungenauigkeiten kritisch.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
18.10.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/23/162/neuauflage-der-vorrats ...
 
Biometrische Verfahren und Datenschutz
Autor: Detlef Fröhlich, externer Datenschutzbeauftragter Berlin (IHK) Zur Identifikation einer Person bedienen sich biometrische Verfahren physiologischer Merkmale wie zum Beispiel des Fingerabdrucks, der Gesichtskonturen, dem Muster der Iris oder auch verhaltensbedingter Besonderheiten (Stimme, Sprech-, Schreib- oder Tippverhalten …). Dabei werden zunächst die ausgewählten Merkmale einer Person vermessen und mittels eines Algorithmus in einen Datensatz umgeformt. Dieser ist dann die Grundlage für den Abgleich aktuell erfasster und berechneter Messwerte mit den gespeicherten Merkmalen.    Welche biometrischen Verfahren gibt es? Im Wesentlichen gibt es zwei verschiedene biometrische Verfahrensarten, die unterschiedliche Ziele verfolgen. Bei der Verifikation wird geprüft, ob es sich bei der Person um diejenige handelt, für die sie sich ausgibt. Dazu muss sich die Person zunächst mittels einer Benutzerkennung, eines Passwortes, einer Chipkarte o. ä. dem Verfahren zu erkennen geben. Anschließend erfolgt dann der Abgleich der biometrischen Datensätze mit dem Ziel der Bestätigung oder Verneinung der Deckung. Im anderen Fall, der Identifikation, wird geklärt, um welche Person es sich handelt. Das heißt, dass anhand der gespeicherten Merkmalssätze aller erfassten Personen dasjenige Individuum herausgefiltert wird, dessen Merkmale aktuell dem System präsentiert werden. Im Ergebnis des Checks werden dann der Name, die Benutzerkennung oder auch andere Angaben ausgewiesen. Typische Einsatzgebiete biometrischer Verfahren sind Zugangssicherung für geschützte Räume, Fahrzeuge und Bankautomaten oder die Legitimation beim Zugriff auf Hardwarekomponenten oder das Internetbanking.    Schwachstellen biometrischer Verfahren Doch selbst aktuelle biometrische Verfahren gewährleisten keine uneingeschränkte Sicherheit in der Erkennung. Altersbedingte Veränderungen, Verletzungen, Erkrankungen, aber auch veränderte Frisuren können zu Veränderungen der physischen Merkmale und damit zu Messfehlern führen. Bei Personen mit Behinderungen oder Erkrankungen können die im biometrischen Verfahren verwendeten Merkmale ganz oder teilweise nicht vorhanden oder nicht hinreichend ausgeprägt sein, sodass sie nicht in das Verfahren einbezogen werden können. Darüber hinaus kommt es auch vor, dass Personen vom Verfahren fälschlicherweise zurückgewiesen oder für eine andere Person gehalten und zugelassen werden. Eine besondere Bedeutung kommt im biometrischen Verfahren dem Lebendbeweis zu, also der Beleg dafür, dass sich die Person tatsächlich im Verfahren zeigt.     Datenschutzrechtliche Bedeutung biometrischer Verfahren Bei biometrischen Daten handelt es sich um personenbezogene oder wenigstens auf eine bestimmte natürliche Person beziehbare Daten, sodass die datenschutzrechtlichen Bestimmungen zu berücksichtigen sind. Eine Erhebung, Verarbeitung und Nutzung biometrischer Daten ist dementsprechend nur dann zulässig, wenn eine Rechtsgrundlage vorliegt oder der Betroffene in die Datenverarbeitung eingewilligt hat (§ 4 Absatz 1 Bundesdatenschutzgesetz). Ebenso sind die Grundsätze der Erforderlichkeit, der Datenvermeidung und -sparsamkeit, der Direkterhebung sowie der Zweckbindung zu beachten. Dementsprechend sind die Datenerhebung und -verarbeitung auf ein Minimum zu begrenzen und die unter Umständen nötigen Protokolldaten schnellmöglich zu löschen, dürfen die Daten nur bei der Person selbst und mit deren Kenntnis erhoben sowie die erhoben Daten nicht für andere Zwecke als für die sie erhoben wurden verwendet werden. Zudem sind zum Schutz des Verfahrens und der Daten geeignete technisch-organisatorisch Maßnahmen zu treffen. Aus denen im biometrischen Verfahren erfassten persönlichen Charakteristika ist es durchaus möglich, über den Verwendungszweck hinaus weitere Erkenntnisse über persönliche Merkmale und Eigenschaften des betroffenen zu ziehen (z. B. gesundheitlicher Zustand). Auch können biometrische Verfahren dazu geeignet sein, beispielsweise Bewegungsprofile der Betroffenen zu erstellen. Derart gestaltete automatisierte Verfahren bergen besondere Risiken für die Rechte und Freiheiten des Betroffenen in sich. Der Einsatz biometrischer Verfahren wird daher regelmäßig einer Vorabkontrolle bedürfen (§ 4 d Absatz 5 Bundesdatenschutzgesetz).    Risiken wirksam minimieren An den Schutz der im biometrischen Verfahren erhobenen Daten und damit der Persönlichkeitsrechte des Betroffenen sind hohe Anforderungen zu stellen. Geeignete Maßnahmen sind unter anderem die Vermeidung von Überschussinformationen, Verfahren, die einer aktiven Mitwirkung des Betroffenen bedürfen, eine dezentrale Speicherung der Daten, der Schutz der Daten vor unberechtigter Kenntnisnahme, der Einsatz von Verschlüsselungen sowie die Transparenz von Verfahren und Sicherheitsvorkehrungen.    Resümee Biometrische Verfahren können zu einer Erhöhung der Datensicherheit beitragen. Sie bergen aber auch besondere Risiken für die Rechte und Freiheiten der Betroffenen in sich. Beim Einsatz biometrischer Verfahren sollten Sie deshalb die datenschutzrechtlichen Gesichtspunkte immer im Auge behalten und geeignete Maßnahmen zum Schutz der sensiblen Daten treffen. Ihr betrieblicher oder externer Datenschutzbeauftragter sollte frühzeitig in die Planung, Einführung und die Überwachung des laufenden Betriebs biometrischer Verfahren mit einbezogen werden. So kann er Sie umfassend beraten und unterstützen. Die im Regelfall erforderliche Vorabkontrolle ist von betrieblichen Datenschutzbeauftragten vorzunehmen.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
14.10.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/22/162/biometrische-verfahren ...
 
Externer Datenschutzbeauftragter - ...Der EuGH erklärt Datenabkommen zwischen EU und USA für ungültig („Safe Harbor“)
Autor: Felix Ginthum, Rechtsanwalt u. externer Datenschutzbeauftragter Berlin (TÜV Nord) Die personenbezogenen Daten europäischer Internetnutzer sind in den USA nicht sicher. Ein Student hatte gegen die Übermittlung seiner Facebook-Daten geklagt. Am 06. Oktober 2015 hat der Gerichtshof der Europäischen Union (EuGH) das Abkommen zum Austausch von Daten zwischen der EU und den USA (sogenanntes Safe-Harbor-Abkommen) für ungültig erklärt. Die Entscheidung des Gerichtshofes (AZ.: C-362/14) kam indessen nicht überraschend, nachdem der Generalanwalt des EuGH, Herr Yves Bot, deutlich in seinem Schlussantrag bereits diese Ansicht vertrat. Die EU-Kommission habe nicht die Kompetenz, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken, so die Luxemburger Richter. Mit diesem Link geht es zur Entscheidung im Volltext http://www.f-200.com/eugh_c_362_14_safe_habor/ Der Fall: Der junge österreichische Rechtsanwalt Max Schrems klagte gegen die Übermittlung seiner Facebook-Daten, nachdem spätestens seit 2013 durch die Snowden-Enthüllungen die Überwachungsmethoden der NSA ans Licht gekommen waren. Schrems wollte so erreichen, dass europäische Bürger vor dem NSA-Programm Prism geschützt sind. Die irische Datenschutzbehörde wies zunächst die Beschwerde ab. Als der irische Gerichtshof bei dem EuGH prüfen ließ, ob eine nationale Datenschutzbehörde sich über eine Entscheidung der Kommission hinwegsetzen darf, ging es zunächst nicht um die Frage, ob die USA ein „sicherer Hafen“ für die persönlichen Daten von EU-Bürgern ist. Die Richter entschieden sich dann jedoch, der Bewertung des Generalanwalts bei dem EuGH zu folgen, der bereits erklärt hatte, er halte das Safe-Harbor-Abkommen für ungültig.      Der Hintergrund: das gekippte Abkommen Im Grunde sind Übermittlungen personenbezogener Daten aus Mitgliedsstaaten der Europäischen Union gemäß der Datenschutzrichtlinie 95/46/EG in Drittstaaten verboten, wenn das Datenschutzniveau eines Drittstaates nicht dem EU-Recht entspricht. Da die USA zu den Drittstaaten mit nicht ausreichendem Datenschutz Niveau zählte, wurde ein Verfahren entwickelt, welches amerikanischen Unternehmen trotzdem den Datenaustausch zwischen der EU Staaten datenschutzkonform ermöglichte. Solche US-Unternehmen, welche sich zur Befolgung der „Safe Harbor Principles“ sowie dazugehöriger FAQ verpflichteten, konnten sich beim US-Handelsministerium in eine Liste eintragen lassen und so dem „Safe Harbor“ beitreten. Diese Regelung wurde im 2000 von der EU-Kommission abgesegnet und postuliert, dass die dem Abkommen beigetretenen Unternehmen ausreichenden Datenschutz für EU-Bürger gewährleisten.    EuGH Urteil betrifft nicht nur Facebook. Was folg daraus? Der Wegfall des Safe-Harbor-Abkommens, welches unter bestimmten Voraussetzungen die Übermittlung personenbezogener Daten in die USA erlaubte, wird weitreichende Konsequenzen haben. Jeder Facebook-Nutzer kann sich nun unter Berufung auf das Urteil des EuGH an den irischen Datenschutzbeauftragten wenden, mit dem Antrag, den Austausch seiner Daten in die USA zu unterbinden, da sich amerikanische Geheimdienste, die sich aus US-Servern bedienen dürfen, keinen Zugriff bekommen. Die irischen Behörden sind örtlich zuständig, da sich die EU-Zentrale von Facebook in Irland befindet. Die meisten namhaften Konzerne sind dem Safe Harbor Abkommen beigetreten. Das Abkommen ermöglichte so den für viele Geschäftsmodelle zwingend erforderlichen Datenaustausch aus der EU in die USA, wie z. B. Google, Dropbox, Facebook, Amazon, Twitter, Microsoft, IBM und viele andere (ca. 5.400 US-Unternehmen traten dem Safe Harbor Abkommen bei.) Eine Datenübermittlung in die USA allein auf Grundlage von „Safe Harbor“ ist damit nicht mehr zulässig. Betroffen sind hiervon nicht nur Unternehmen mit Sitz in den USA, sondern auch Unternehmen, die Daten lediglich in den USA speichern wollen. Hierzu zählen auch deutsche Unternehmen, die auf US-Dienste zurückgreifen. Ebenso wirkt sich die Entscheidung auf diverse Cloud-Dienstanbieter erheblich aus.    Weitreichende Konsequenzen für Unternehmen aus der Safe-Harbor-Entscheidung des EuGH Für Unternehmen ist nun die Datenübermittlung in die USA alleine auf Basis des Safe Harbor Abkommens nicht mehr möglich.  Fraglich ist, ob dies auch EU-Standardverträge und verbindliche Konzernregelungen [Binding Corporate Rules („BCR“)] umfasst. Auch Binding Corporate Rules können den Zugriff der Sicherheitsbehörden in den USA auf europäische Daten aufgrund des Patriot Acts nicht verhindern. Demnach dürften auch diese nicht das angemessene Datenschutzniveau sicherstellen. Da mit dem Urteil klargestellt wurde, dass die Zuständigkeit nationaler Aufsichtsbehörden nicht durch Abkommen ausgehebelt werden kann, muss mit zunehmenden Kontrollen gerechnet werden. Der vorläufige sichere Hafen ist kaum praktikabel: Entweder jeweils eine Einwilligung des Betroffenen einholen oder eine Genehmigung der zuständigen Datenschutzbehörde im Einzelfall bekommen. Betroffene Unternehmen sind gut beraten ihre Auftragsdatenverarbeitung ad hoc zu überdenken und ein Datenhosting kurzfristig auf einen europäischen Anbieter zu übertragen. Nimmt man die Argumentation des Gerichts und führt diese stringent weiter, dann ist die Datenübermittlungen in viele weitere Staaten auch betroffen. Denn der ungezähmte staatliche Zugriff auf die im Land gespeicherte Daten ist kein originär US-amerikanisches Problem, wenn man an Staaten wie China, Russland usw. denkt. Betroffene Unternehmen sind in der Pflicht sich aufgrund der neuer Situation beraten zu lassen, um einen gesetzeskonformen Umgang mit den Daten Ihrer Mitarbeiter, Patienten und Kunden sicherzustellen. Gerne stehen wir Ihnen bei der Erarbeitung und Umsetzung einer individuellen und rechtssicheren Lösung als externer Datenschutzbeauftragter zur Seite. Nehmen Sie einfach mit uns Kontakt auf.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
07.10.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/21/162/externer-datenschutzbe ...
 
Externer Datenschutzbeauftagter - ...Auftragsdatenverarbeitung und Funktionsübertragung
Autor: Felix Ginthum, Rechtsanwalt u. externer Datenschutzbeauftragter Berlin (TÜV Nord) § 11 des Bundesdatenschutzgesetzes (BDSG) lässt ausdrücklich die sogenannte Auftragsdatenverarbeitung zu. In der Praxis ist jedoch häufig unklar, was damit genau gemeint ist. Denn es kommt in der Regel häufig vor, dass Unternehmen Externe beauftragen personenbezogene Daten zu verarbeiten. An eine Auftragsdatenverarbeitung unter dem Aspekt des Datenschutzes wird häufig nicht gedacht. Im Folgenden soll kurz erläutert werden, wann an eine sog. Auftragsdatenverarbeitung  vorliegt und was dabei zu beachten ist.    Auftragsdatenverarbeitung: Was ist das? Eine Datenverarbeitung nach dem BDSG im Auftrage liegt vor, wenn ein Unternehmen personenbezogene Daten im Auftrag durch eine andere Stelle (Externe, Dienstleister, Drittanbieter) erheben, verarbeiten oder nutzen lässt und das Unternehmen die volle datenschutzrechtliche Verantwortung für die ordnungsgemäße Datenverarbeitung weiterhin als Auftraggeber inne hat. Das Serviceunternehmen (Externe, Dienstleister) fungiert hierbei als ausgelagerte Abteilung des weiterhin datenschutzrechtlich verantwortlichen Auftraggebers, welcher als „Herr der Daten“ die volle Verfügungsgewalt über diese hat und entsprechend alleine über deren Erhebung, Verarbeitung oder Nutzung bestimmt. Dabei ist der Auftragnehmer wie ein eigener Mitarbeiter des Unternehmens bei der Datenverarbeitung zu beaufsichtigen. Einige Beispiele von Auftragsdatenverarbeitung: Outsourcing der Lohn- und Gehaltsabrechnung Outsourcing des Rechenzentrums, der Rechnungslegung Externes Callcenter für Support und Kundengewinnung Aktenvernichtung durch Dienstleister Marketingaktionen, Versand von Werbebriefe durch Marketing Agentur Fernwartung mit Zugriff auf personenbezogene Daten Überlässt ein Auftraggeber einem Auftragnehmer personenbezogene Daten, handelt es sich nicht um eine Datenübermittlung an eine andere datenverarbeitende Stelle, sondern um eine Form der Datennutzung durch den Auftraggeber. Der Auftragnehmer darf die Daten nur in dem Maße verarbeiten, wie dies auch sein Auftraggeber darf (Zweckbindung). Von der Auftragsdatenverarbeitung sind jedoch noch die Bereiche abzugrenzen, welche als Funktionsübertragung angesehen werden.    Funktionsübertragung: keine Auftragsdatenverarbeitung Zur Abgrenzung zur Auftragsdatenverarbeitung wird durch die sog. Funktionsübertragungstheorie vorgenommen. Eine Funktionsübertragung liegt dabei vor, wenn neben der spezifischen Verarbeitung von  personenbezogenen Daten ein gesamter Aufgabenbereich übertragen wird. Für diesen Fall ist der Dritte (Externe, Dienstleister) nicht mehr reiner Auftragnehmer, sondern wird selbst als verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG angesehen. Keine Auftragsdaten-Verarbeiter sind daher solche Personen, Unternehmen oder Stellen, welche ihre Dienstleistung gegenüber dem Auftraggeber weisungsfrei erbringen. Hierzu zählen insbesondere: Steuerberater Rechtsanwälte Wirtschaftsprüfer externe betriebliche Datenschutzbeauftragte Das entscheidende Kriterium, mit dem die Funktionsübertragung von der Auftragsdatenverarbeitung abgegrenzt werden kann, ist der Umfang der tatsächlichen Verantwortung und damit die Frage, wer die Entscheidungsbefugnis hinsichtlich des Umgangs mit den personenbezogenen Daten innehat.  Steht fest, dass eine Auftragsdatenverarbeitung vorliegt und ist schließlich geprüft worden, dass keine Funktionsübertragung stattgefunden hat, ist einiges zu beachten. Da es bei der Prüfung, ob eine Auftragsdatenverarbeitung vorliegt oder nicht zu Unklarheiten läuft der Auftraggeber Gefahr, gemäß § 43 BDSG mit Geldbußen durch die Datenschutzbehörden sanktioniert zu werden.    Was ist zu tun? Pflichten des Auftraggebers. Generell hat der Auftraggeber bei der Auftragsdatenverarbeitung folgendes zu beachten: Die Auftragsdatenverarbeitung  muss schriftlich geregelt werden. Der Auftraggeber muss Maßnahmen zum Datenschutz und zur Datensicherheit beim Auftragnehmer sicherstellen und diese in geeigneter Form kontrollieren (ggf. vor Ort beim Auftragnehmer). Der Auftraggeber ist für die Einhaltung der gesetzlichen Datenschutzvorschriften weiter verantwortlich und nicht der Auftragnehmer. Die einfache Erklärung des Auftragnehmers über die Einhaltung des Datenschutzgesetzes ist nicht ausreichend! Auch die Auftragnehmer unterliegen den Regelungen des BDSG und sollten bemüht sein, dem Auftraggeber bei der Umsetzung des Datenschutzes zu helfen. Jeder Auftraggeber trägt insoweit zunächst als verantwortliche Stelle die alleinige Verantwortung und sollte die bestehenden Verträge sorgfältig fachkundig prüfen lassen oder, sofern es angezeigt ist, einen internen oder externen Datenschutzbeauftragten einsetzen, der hilft die Risiken zu minimieren und die erforderlichen Regelungen umzusetzen.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
24.09.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/20/162/externer-datenschutzbe ...
 
Externer Datenschutzbeauftragter - ...Datengeheimnis
Autor: Felix Ginthum, Rechtsanwalt Ein Muss für jedes Unternehmen:  Die Verpflichtung auf das Datengeheimnis nach § 5 BDSG Zum Thema Verpflichtung auf das Datengeheimnis gemäß § 5 BDSG kursieren viele Missverständnisse. Richtig ist, dass jedes Unternehmen verpflichtet ist, seinen Beschäftigten gegenüber eine Verpflichtung auf das Datengeheimnis nach § 5 BDSG auszusprechen. Da die Praxis zeigt, dass es zu den grundlegenden Fragen klärungsbedarf gibt, hier die wichtigsten Punkte:    Was soll die Verpflichtung bezwecken? Mit der Verpflichtung auf das Datengeheimnis sind Mitarbeiter zu belehren, die mit der Datenverarbeitung betraut sind. Inhalt der Belehrung ist das gesetzliche Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. D. h, dass diese Verpflichtung sich nicht auf die Wahrung von Geschäfts- und Betriebsgeheimnissen bezieht. Denn eine Verpflichtung zur Wahrung von Geschäfts- und Betriebsgeheimnissen ergibt sich z. B. aus arbeitsvertraglichen Regelungen und besteht aufgrund von § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG), welches den Verrat von Geschäfts- und Betriebsgeheimnissen sanktioniert.    Muss jedes Unternehmen die die Verpflichtung auf das Datengeheimnis beachten? Das gesetzliche Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch die bei der Datenverarbeitung Beschäftigten gilt für jedes Unternehmen gemäß § 5 des Bundesdatenschutzgesetzes (BDSG). Jedes Unternehmen muss seinen Mitarbeitern deutlich machen, dass die Einhaltung des Datengeheimnisses im Unternehmen eine Pflicht ist. Die Mitarbeiter müssen durch die Belehrung so für den Schutz von Kundendaten sensibilisiert werden und können dadurch einfacher in die Haftung genommen werden. Sofern die Datenschutz-Aufsichtsbehörden das Unternehmen prüfen, werden diese kontrollieren, ob die Verpflichtung auf das Datengeheimnis gem. § 5 BDSG gegenüber den Mitarbeitern gegenüber ausgesprochen wurde. Für das Unterlassen können zwar keine Bußgelder verhängt werden, jedoch wird die Aufsichtsbehörde dann eine Anordnung treffen.    Wer steht für die Verpflichtung der Beschäftigten gerade? Die Verpflichtung obliegt formal der Leitung der verantwortlichen Stelle im Sinne des § 3 Abs. 7 BDSG und fällt nicht zum gesetzlichen Aufgabenkatalog des Beauftragten für den Datenschutz, welcher lediglich auf die Durchführung der Verpflichtung hinwirken soll. Für die Verpflichtung gerade steht damit der Vorstand bzw. der Geschäftsführer einer Gesellschaft. Der Betriebsrat hat im Übrigen bei der Einholung von Verpflichtungserklärungen kein Mitbestimmungsrecht.    Wie ist die Verpflichtung auf das Datengeheimnis praktisch umzusetzen? Nach § 5 Satz 2 BDSG ist geregelt, dass die Beschäftigten bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten sind. In der Regel ist dies der Zeitpunkt der tatsächlichen Arbeitsaufnahme. Die Vorschrift trifft keine Aussage, wie die Verpflichtung gestaltet sein muss. Hier ist aus der Praxis zu empfehlen: a) Auch wenn die Schriftform nicht verpflichtend ist, sollte aus Nachweisgründen die Empfehlung gleichwohl schriftlich erfolgen. Es bietet sich an im Rahmen der Einstellung dem Beschäftigten eine entsprechende Zusatzerklärung zum Arbeitsvertrag unterzeichnen zu lassen. b) Zusätzlich zu Verpflichtung bietet es sich an, den betroffenen Mitarbeitern ein Merkblatt auszuhändigen, in dem die Grundlagen des Datenschutzes erläutert werden. Damit wird sichergestellt, dass den Mitarbeitern die gesetzlichen Grundlagen bewusst gemacht werden und die persönlichen Daten von Mitarbeitern und Kunden zu schützen sind. Noch besser ist sicherlich eine Schulung der betroffenen Mitarbeiter, um die Sensibilisierung an konkreten Fällen oder Szenarien im eigenen Unternehmen greifbarer zu machen. c) Sofern noch weitere Verpflichtungen durchzuführen sind, wie z. B. Verpflichtungen zur Wahrung von Betriebs- und Geschäftsgeheimnissen oder eine Verpflichtung auf das Telekommunikationsgeheimnis, können diese gemeinsam mit der Verpflichtung auf des Datengeheimnis gemäß § 5 BDSG durchgeführt werden. d) Mitarbeiter, die sich weigern eine Verpflichtungserklärung zu unterschreiben können mündlich belehrt werden. Hierzu sollte die Geschäftsleitung ein Protokoll anfertigen, um ggf. den Nachweis führen zu können, dass die Verpflichtung erfolgt ist. Aus einer Verweigerung sind arbeitsrechtlichen Konsequenzen zu prüfen.    Wie hoch sind die Bußgelder beim Verstoß gegen das Datengeheimnis? Wenn das Unternehmen bzw. die verantwortliche Stelle (Geschäftsleitung) die Verpflichtung nicht durchführt oder die Durchführung nicht nachweisen kann, wird die Datenaufsichtsbehörde dies als einen Organisationsmangel im Hinblick auf § 9 BDSG rügen und die Verpflichtung förmlich anordnen. Für ein Verhalten, welches gegen § 5 BDSG verstößt kann eine Ordnungswidrigkeit nach § 43 Abs. 2 BDSG angeordnet werden, wie z.B. für die unbefugte Erhebung oder Verarbeitung (Nr. 1)  oder die zweckwidrige Datenweitergabe (Nr. 5). Hier drohen Bußgelder von bis zu 300.000,00 EUR je Zuwiderhandlung und dies unabhängig davon, ob die Ordnungswidrigkeit  fahrlässig oder vorsätzlich begangen wurde. Das Bußgeld richtet sich je nach Einzelfall gegen die verantwortliche Stelle oder den Beschäftigten selbst. Die Verpflichtung wird in den Unternehmen regelmäßig durch die betrieblichen Datenschutzbeauftragten durchgeführt. Neben den Verpflichtungen zur Wahrung des Datengeheimnisses, welches jedes Unternehmen betrifft, können noch weitere Pflichten kommen. Sanktionsvorschriften zur Bestrafung von Verstößen gegen das Offenbarungs- und Übermittlungsverbot kommen, wie z. B. die ärztliche Schweigepflicht gemäß § 203 Abs. 1 StGB u. a. werden mit Geldstrafe oder Freiheitstrafe geahndet.    Resümee von externer-datenschutzbeauftragter24.de Man wird nie verhindern können, dass Mitarbeiter Daten unbefugt benutzen, denn dafür sind USB Sticks zu klein, um aufzufallen. Doch mit einfachen Mitteln kann präventiv einem Datenschutzskandal vorgebeugt werden. Wir helfen Ihnen gerne dabei. Nehmen Sie doch einfach kosntelos und unverbindlich mit uns Kontakt auf.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
03.09.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/19/162/externer-datenschutzbe ...
 
Externer Datenschutzbeauftragter - …Vorabkontrolle
Ist beabsichtigt, personenbezogenen Daten automatisiert zu verarbeiten und sind damit besondere Risiken für die Rechte und Freiheiten der Betroffenen verbunden, sind diese Verfahren bereits vor der Inbetriebnahme durch den zuständigen Datenschutzbeauftragten auf ihre datenschutzrechtliche Zulässigkeit zu prüfen. (§ 4 d Absatz 5 u. 6 Bundesdatenschutzgesetz).    Wann bestehen besondere Risiken? In § 4 Absatz 5 Bundesdatenschutzgesetz werden zwei Regelbeispiele über die regelmäßige Annahme eines besonderen Risikos für die Persönlichkeitsrechte des Betroffenen genannt: es sollen besondere Arten personenbezogener Daten verarbeitet werden (z. B. Daten zur Gesundheit, zur politischen Meinung, zum Sexualleben, zur rassischen oder ethnischen Herkunft des Betroffenen - …s. a. § 3 Absatz 9 Bundesdatenschutzgesetz) die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens Diese beiden Regelbeispiele sind nicht abschließend. Auch können wesentliche Änderungen eines Verfahrens (z. B. Standortverlagerung, Veränderungen der Infrastruktur, Einführung neuer Technologien) eine (erneute) Vorabkontrolle erforderlich machen.    Beispiele für besondere Risiken Aufgrund der rasanten und anhaltenden Entwicklung von Technologien und Verfahren ist es richtig, dass der Gesetzgeber nicht im Detail regelt hat, in welchen Anwendungsfällen eine Vorabkontrolle zu erfolgen hat. Typische Anwendungsfälle sind aber zum Beispiel Assementverfahren zur Personalauswahl Beförderungsranglisten Personalinformationssysteme Personalentwicklungssysteme Personalverwaltungssysteme Skilldatenbanken Warndateien Verbraucher- und Kundenprofile Videoüberwachung Einsatz von Chipkarten Automatisierte Abrufverfahren Biometrische Zeiterfassung GPS-Systeme    Ausnahmen von der Verpflichtung zur Vorabkontrolle Eine Vorabkontrolle ist nicht erforderlich, wenn eine gesetzliche Verpflichtung zur Verarbeitung der Daten besteht, der Betroffene in die Verarbeitung eingewilligt hat oder die Verarbeitung erforderlich ist, um ein Vertragsverhältnis (…ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis mit dem Betroffenen) zu begründen, durchzuführen oder zu beenden.    Wie ist eine Vorabkontrolle durchzuführen? Für die Durchführung der Vorabkontrolle ist der Datenschutzbeauftragte zuständig. Er ist rechtzeitig von der verantwortlichen Stelle über das geplante Verfahren zu unterrichten. Aufgabe des Datenschutzbeauftragten ist es zunächst zu prüfen, inwieweit mit der Umsetzung des geplanten Verfahrens besondere Risiken für die Betroffenen verbunden sind. Liegen diese vor, ist weiter zu prüfen, ob die materielle Zulässigkeit gegeben ist. Werden also die Stimmungen des Bundesdatenschutzgesetzes oder auch anderer Regelungen zum Datenschutz eingehalten. Dabei wird unter anderem geprüft, ob eine Rechtsgrundlage gegeben ist, geeignete technisch-organisatorische Maßnahmen getroffen, die Rechte der Betroffenen gewahrt oder auch die Regeln der Datenvermeidung und Datensparsamkeit beachtet werden. Die Vorabkontrolle ist rein zeitlich zu verstehen. Die Maßstäbe müssen daher auch nicht strenger sein als bei anderen Prüfungen der datenschutzrechtlichen Zulässigkeit. Die Durchführung der Vorabkontrolle sollte zu Nachweiszwecken schriftlich dokumentiert werden.    Ergebnis der Vorabkontrolle Die Durchführung einer Vorabkontrolle ist keine Voraussetzung für die Rechtmäßigkeit für die Durchführung der Verarbeitung, so dass der Datenschutzbeauftragte auch keine Freigabe oder Genehmigung erteilt. Die verantwortliche Stelle sollte jedoch das Ergebnis der Vorabkontrolle zur Kenntnis nehmen, bei ihren Entscheidungen beachten und erforderliche Nachbesserungen, insbesondere unter Berücksichtigung der Meldeverpflichtung des betrieblichen Datenschutzbeauftragten gegenüber der Aufsichtsbehörde (siehe unten), vornehmen.    Pflicht zum Einschalten der Aufsichtsbehörde Treten bei der Vorabkontrolle Zweifel an der Zulässigkeit der Verarbeitung auf, ist der betriebliche Datenschutzbeauftragte verpflichtet, sich an die Aufsichtsbehörde zu wenden (§ 4 d Absatz 6 Satz 3 Bundesdatenschutzgesetz). In der Praxis wird der betriebliche Datenschutzbeauftragte zunächst seine Zweifel an der Rechtmäßigkeit der Verarbeitung zunächst der Geschäftsführung mitteilen und vorschlagen, die Zweifel auszuräumen. Werden die Zweifel ausgeräumt, so besteht auch keine Notwendigkeit zur Unterrichtung der Aufsichtsbehörde. Sofern die Zweifel nicht ausgeräumt werden ist es strittig, ob der betriebliche Datenschutzbeauftragte ohne  weitere Unterrichtung der Geschäftsführung die Aufsichtsbehörde zu unterrichten hat oder im Rahmen seiner Treuepflicht zunächst doch die Geschäftsführung zu informieren hat, um dieser eine letzte Möglichkeit zur Nachbesserung oder den Verzicht auf die Einführung des Verfahrens zu ermöglichen. In der Praxis wird es lebensnaher sein, dass der betriebliche Datenschutzbeauftragte die Geschäftsführung vor seinen weiteren Schritten unterrichtet.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
29.08.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/18/162/externer-datenschutzbe ...
 
Externer Datenschutzbeauftragter - …Datenklau 2015
Die Risiken virtueller Bedrohungen für Unternehmen jeder Größe steigen unaufhörlich. Doch Verantwortliche aller Unternehmensebenen nehmen sie nicht wahr - …oder nicht ernst. Dabei spricht die Realität Bände: So sind Cyberkriminelle in das Netz des Bundestages eingedrungen und haben Unmengen vertraulicher Daten abgegriffen. Bei Sony wurden 100 Terabyte besonders sensibler Daten abgefischt und bei der Großbank JP Morgan verschafften sich die Täter Zugriff auf 80 Millionen Kundendaten. Obwohl Hacker eine ernstzunehmende Gefahr für Unternehmensgeheimnisse, vertrauliche Informationen und persönliche Daten mit steigender Tendenz sind und die Kriminellen auch vor nichts und niemanden halt machen,  wird diese Bedrohungslage nach einer neuen Studie der Prüfungs- und Beratungsgesellschaft Ernst & Young in vielen deutschen Unternehmen nicht ernst genommen.    Welche Unternehmen werden attackiert? Nach der Studie „Datenklau 2015“, bei der Geschäftsführer und Führungskräfte von IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt wurden, wurde in den letzten drei Jahren jedes fünfte deutsche Unternehmen mit mehr als einer Milliarde Euro Umsatz Ziel eines Cyberangriffes. Bei fast 20 Prozent dieser Unternehmen wurden sogar mehrere Angriffe bemerkt. Auch wenn kleine und mittlere Betriebe seltener zum Angriffsziel wurden, blieben auch sie nicht verschont. Ebenso wie große Unternehmen wurden sie Opfer von Datenspionage und –diebstahl.    Welche Branchen waren betroffen Nach der Studie von Ernst & Young waren besonders Unternehmen aus den Branchen Energie und Finanzen sowie Industrieunternehmen von Ausspähungen und Datendiebstählen betroffen.    Wer sind die Täter In fast der Hälfte der Fälle ließen sich die Täter nicht identifizieren. Bei den identifizierten Täter handelte es sich in 18 Prozent der Fälle um Hackergruppe und in 15 Prozent um ausländische Konkurrenzunternehmen.    Von wem geht die größte Bedrohung aus In der Befragung durch Ernst & Young sahen 46 Prozent der Manager die größte Gefahr aus China kommend. Russland und die USA wurden mit 33 bzw. 31 Prozent dahinter als die Regionen mit den größten Risikopotentialen eingestuft.    Beweggründe für die Angriffe In absteigender Rangfolge vermuteten die befragten Manager das Beschaffen von Wettbewerbs- und finanziellen Vorteilen, Schädigungen der Reputation, Racheakte und die Störung des Geschäftsbetriebes als Beweggründe der Cyberattacken.    Angerichtete Schäden In rund dreiviertel der Fällen wurden die IT-System angegriffen und dabei in über 20 Prozent der Fälle die IT-System vorsätzlich lahmgelegt. In jeweils etwa 10 Prozent der Vorfälle wurden Kunden- oder auch Mitarbeiterdaten abgefischt, Mitarbeiter abgeworben oder der Datendiebstahl durch eigene Beschäftigte begangen.    Anhaltende Sorglosigkeit Die Zahl der bekanntgewordenen Fälle ist allein schon erschreckend genug. Die Dunkelziffer dürfte jedoch noch deutlich höher liegen. Denn viele Taten wurden nur durch interne Kontrollsysteme, Routineprüfungen oder zufällig bekannt. Auch wenn das Gefahrenbewusstsein in den letzten Jahren gestiegen ist, nehmen jedoch  nur ein Drittel der deutschen Unternehmen ein eher hohes bis sehr hohes Risiko dafür an, selbst Ziel eines Cyberangriffes zu werden. Geben acht von zehn der Befragten noch an, das sich die Gefahren durch Cyberangriffe weiter verschärfen werden, bezweifeln dennoch die meisten Manager zu den potentiellen Opfern zu gehören oder wähnen sich damit in einer sehr vermeintlichen in Sicherheit. Über 80 Prozent der befragten Führungskräfte glauben, Cyberangriffe erfolgreich abwehren zu können. Dabei setzen sie im Wesentlichen auf Firewalls, Antivirensoftware und sichere Passwörter. Alles konventionelle Mittel, die professionelle Täter heute kaum noch aufhalten. Umfassendere Sicherheitsvorkehrungen kommen selten zum Einsatz. Auch sind diese oder Krisensimulationen des Ernstfalles bei deutschen Unternehmen  eher nur vereinzelt geplant.    Empfehlung von externer-datenschutzbeauftragter24.de „Vorbeugen ist besser als heilen“ mag zwar ein abgedroschener Spruch sein, hat aber seine Bedeutung im Zeitalter der Cyberattacken an seiner Bedeutung nichts verloren. Nicht nur die Studie „Datenklau 2015“, sondern auch die steigenden Fallzahlen in der Kriminalitätsstatistik und die tägliche Berichterstattung über Hackerangriffe und Cyberwar zeigen, wie real die Bedrohungslage für Wirtschaftsunternehmen, Staaten und jedermann in der ganzen Welt ist. Sind Unternehmensnetze erst einmal lahmgelegt, Firmengeheimnisse ausgespäht oder Daten gestohlen ist der Schaden groß und manchmal auch nicht mehr zu heilen. Deshalb sollte jeder Verantwortliche vorausschauend denken und handeln, um die Risiken möglichst weitreichend zu minimieren und für den Ernstfall gewappnet sein. Dazu gehören unter anderem das Analysieren des Schutzbedarfs und der Schwachstellen, ein umfassendes Schutzkonzept mit einem umzusetzenden Maßnahmenkatalog, Mitarbeiterschulungen und –sensibilisierungen, geeignete  Kontrollmechanismen, Risikosimulationen und Notfallmanagement. Dabei muss es nicht immer gleich der große Wurf sein. Lieber Schritt für Schritt vom schützend wertesten Kernbereich des Unternehmens hin zu den weniger gefährdeten Unternehmensbereichen als nie begonnen.       Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg
29.08.2015 - 01:00:00
http://www.externer-datenschutzbeauftragter24.de/b/17/162/externer-datenschutzbe ...