Grundregeln zum Datenschutz

Für allgemeine Informationen zum Datenschutz folgen Sie bitte diesem Link: http://dids.de/allgemein sowie http://dids.de/unternehmen.

 
Verträge mit Dienstleistern / Auftragsdatenverarbeitung

Mit dem Einsatz von Dienstleistern und der Nutzung fremder Angebote (z.B. im Rahmen von Software) ist häufig auch eine Übermittlung von personenbezogenen Daten verbunden. Abhängig von der konkreten Ausgestaltung müssen auch datenschutzrechtliche Vereinbarungen getroffen werden. Häufig (aber nicht immer) handelt es sich um sog. Auftragsdatenverarbeitungen, für die der Mindestkatalog des § 11 BDSG gilt.

Bereits bei der Auswahl der Dienstleister/Anbieter sollte der Datenschutz im Blick behalten werden. Vor Abschluss eines Vertrages mit einem Dienstleister/Anbieter sollte die betriebliche Datenschutzbeauftragte informiert werden. Erfolgt dies erst nach Abschluss des Vertrages, steht das HZDR in einer schlechten Verhandlungsposition da, so dass ggf. zwingende Anforderungen nicht mehr oder nur unter einem hohen Kostenaufwand erfüllt werden können.

Verfahrensverzeichnisse/Vorabkontrolle

Insofern personenbezogene Daten automatisiert, d.h. mittels Datenverarbeitungsanlagen wie z.B. auch PCs, Smartphones o.a. verarbeitet werden, müssen diese entsprechend dokumentiert werden (sog. Verfahrensverzeichnisse bzw. zukünftig: Übersichten über die Verarbeitungstätigkeiten). Diese müssen durch das Unternehmen erstellt und der betrieblichen Datenschutzbeauftragten zur Verfügung gestellt werden. Im rahmen der Erstellung ist Ihnen Frau Beyer jedoch gern behilflich. Von Ihr erhalten Sie auch entsprechende (aktuelle) Muster.

Im Falle von Verarbeitungen, bei denen besondere Risiken für die Betroffenen bestehen (z.B. Videoüberwachung, Persönlichkeitsprofile, Verhaltens- und Leistungskontrolle), ist bereits gesetzlich eine sog. Vorabkontrolle (zukünftig: Folgenabschätzung) vorgeschrieben.

Datensicherheit/technische und organisatorische Maßnahmen

Zur effektiven Umsetzung des Datenschutzes sind im Unternehmen technische und organisatorische Maßnahmen umzusetzen. Hierzu zählen insbesondere gemäß:

1.   Zutrittskontrolle

Unbefugte sollen keinen Zutritt zu Datenverarbeitungsanlagen, mit denen Personenbezogene Daten verarbeitet werden, erhalten. Mögliche Maßnahmen könnten sein:

  • Festlegung von Sicherungsbereichen,
  • Festlegung von befugten Personen (Mitarbeiter, Fremdbehörden, Fremdfirmen, Wartungsdienste, Anwendungsbetreuung),
  • Festlegung von Besucherregelungen,
  • Sicherung von Gebäuden und Räumen,
  • Anwesenheitsaufzeichnungen.

2.    Zugangskontrolle

Nur Befugte Personen dürfen Zugang zu Datenverarbeitungsanlagen (DV-Anlagen) erhalten. Zu diesem Zweck sind DV-Anlagen grundsätzlich mit zweistufigen Zugangskennungen zu schützen. Nachfolgende Hinweise müssen beachtet werden:

  • Nutzerkennungen, d.h. Nutzername und Passwort sind an den jeweiligen Nutzer gebunden und dürfen nicht weiter gegeben werden - ein Vorstoß gegen dieses Gebot ist mehr, als lediglich ein Fahrlässigkeitsdelikt und zieht im Schadensfall arbeitsrechtliche Maßnahmen und eventuell einen Strafantrag nach sich
  • Passwörter sollten mindestens 8 Zeichen lang sein, sowie Sonderzeichen und Ziffern enthalten. Sie dürfen nicht leicht zu erraten sein.
  • Bei eventuellem Bekanntwerden des Passwortes muss dieses umgehend geändert werden.

3.    Zugriffskontrolle

Diese Maßnahme ist eng an die Zugangskontrolle gebunden. Berechtigte Personen, die sich mit ihrer Nutzerkennung ordnungsgemäß am DV-System identifiziert haben, besitzen entsprechend ihrer Nutzerrechte differenzierte und damit abgestufte Berechtigungen in den jeweiligen Software-Systemen. Bei der Vergabe der Berechtigungen sind durch die Verantwortlichen Erfordernisse von Vertretungen zu sehen und im Rahmen der Zutrittsvergabe zu beachten. Eine Weitergabe der eigenen Zugänge ist grds. auch aus dienstlichen Gründen nicht zulässig. Hierdurch gehen Sie auch ein eigenes Risiko ein, da Sie für die Handlungen, welche in Ihrem Namen (mit Ihren Nutzerdaten) zur Verantwortung gezogen werden können.

Der Versuch, sich weitere, nicht vergebene Nutzerrechte zu erschleichen, ist u.U. eine Straftat gemäß § 202a StGB (Ausspähen von Daten) und zieht arbeitsrechtliche und strafrechtliche Konsequenzen nach sich.

 4.    Weitergabekontrolle

Personenbezogene Daten und vertrauliche dienstliche Informationen dürfen nur über sichere Kommunikationswege übertragen werden. Eine Sendung per Email ist nur in verschlüsselter Form zulässig. Soll die Exaktheit und Originalität des Dokumentes für den Empfänger nachvollziehbar sein, empfiehlt sich die Verwendung der digitalen Signatur.

Der Umgang mit externen Datenträgern, wie z.B. USB-Sticks, externe Festplatten, SD-Speicherkarten u.ä. muss mit großer Sorgfalt erfolgen. Personenbezogene und vertrauliche Inhalte sollen verschlüsselt sein. Die Weitergabe oder elektronische Übermittlung personenbezogener und vertraulicher Daten und Datenträger muss nachvollziehbar sein.

 5.     Eingabekontrolle

Über die Werkzeuge der Nutzerverwaltung und der damit verbundenen Rechteverwaltung muss nachvollziehbar sein, wer Neueingaben, Änderungen oder das Löschen personenbezogener und vertraulicher Informationen veranlasst hat. Deshalb wird an dieser Stelle nochmals auf das hohe Risiko der Weitergabe von Nutzerkennungen hingewiesen. Verantwortlich bleibt in jedem Falle der angemeldete Nutzer, nicht der geduldete Fremdnutzer im Vertretungsfalle.

6.    Auftragskontrolle

Bei personenbezogener Datenverarbeitung im Auftrag (z.B. Fremdwartung von Datenverarbeitungseinrichtungen, mit denen personenbezogene Informationen verarbeitet werden oder Entsorgung von Papier mit vertraulichen oder personenbezogenen Inhalten durch Fremdfirmen) müssen entsprechende vertragliche Regelungen getroffen sein, um die Tätigkeit dieser externen Auftragnehmer transparent zu halten.

(vgl. Verträge mit Dienstleistern / Auftragsdatenverarbeitung)

7.    Verfügbarkeitskontrolle

Personenbezogene und andere vertrauliche Informationen müssen derart abgelegt werden, dass ein Verlust nicht möglich ist oder, dass im Falle eines Verlustes eine Rekonstruktion der Daten, mit einem vertretbaren technisch-organisatorischen Aufwand, möglich ist. Deshalb sind lokale Datenablagen grds. nicht zulässig. Nur zentrale Ressourcen können hinreichend gesichert und im Schadensfall wieder hergestellt werden.

Für die technische und organisatorische Absicherung der zentralen Ressourcen ist die IT (ggf. in Absprache mit der betrieblichen Datenschutzbeauftragten) verantwortlich. Hierzu gehören neben Datensicherungen und Regelungen zur Zutritts- und Zugriffskontrolle auch bspw. Brandschutzmaßnahmen, USV, Virenschutz/Firewall u.ä. Als Standard sollte der IT-Grundschutzkatalog des BSI (Bundesamt für Informationssicherheit) zu Grunde gelegt werden.

 8.        Trennungsgebot

Personenbezogene Daten dürfen nur für den Zweck genutzt werden, für den sie ursprünglich erhoben wurden. Daten, welche für verschiedene Zwecke erhoben wurden, müssen grds. auch getrennt verarbeitet werden. Beispielsweise ist die Verarbeitung von Daten eines Beschäftigten, welcher gleichzeitig auch Lieferant oder Kunde des HZDR ist, nicht mit dessen Beschäftigtendaten zusammengeführt werden. Außerdem erfolgt grds. eine sog. Mandantentrennung, d.h. zu jeder Person wird bspw. im Rahmen der Personalakte eine eigene Akte/Datei angelegt.

Die Verwendung von Daten in Verbunddateien (Nutzung eines ursprünglichen Datenbestandes auch für andere Zwecke) muss innerbetrieblich definiert und festgeschrieben sein.


Contact

Dr. Björn Wolf
Head Technology Transfer & Legal Affairs
b.wolfAthzdr.de
Phone: +49 351 260 - 2615
Fax: +49 351 260 - 12615