Grundregeln zum Datenschutz

Kontakt des*der Datenschutzbeauftragten: dsb@hzdr.de

Verträge mit Dienstleistern / Auftragsdatenverarbeitung

Mit dem Einsatz von Dienstleistenden und der Nutzung fremder Angebote (z.B. im Rahmen von Software) ist häufig auch eine Übermittlung von personenbezogenen Daten verbunden. Abhängig von der konkreten Ausgestaltung müssen auch datenschutzrechtliche Vereinbarungen getroffen werden. Häufig (aber nicht immer) handelt es sich um eine sog.  „Auftragsverarbeitung“ im Sinne von Art. 28 DS-GVO.

Bereits bei der Auswahl der Dienstleistenden/Anbietenden sollte der Datenschutz im Blick behalten werden und der*die Datenschutzbeauftragte des HZDR frühzeitig einbezogen werden.  Erfolgt dies erst nach Abschluss des Vertrages, steht das HZDR in einer schlechten Verhandlungsposition da, so dass ggf. zwingende Anforderungen nicht mehr oder nur unter einem hohen Kostenaufwand erfüllt werden können.

Verfahrensverzeichnisse/Vorabkontrolle

IInsofern personenbezogene Daten regelmäßig verarbeitet werden, müssen diese Prozesse entsprechend dokumentiert werden (sog. Verzeichnis der Verarbeitungstätigkeiten). Diese müssen durch die zuständigen Stellen am HZDR erstellt und dem*der Datenschutzbeauftragten zur Verfügung gestellt werden.

Im Falle von Verarbeitungen, bei denen besondere Risiken für die Betroffenen bestehen (z.B. Videoüberwachung, Persönlichkeitsprofile, Verhaltens- und Leistungskontrolle), ist gesetzlich eine sog. Datenschutz-Folgenabschätzung vorgeschrieben. Im Rahmen der Erstellung ist Ihnen unser*e Datenschutzbeauftragte*r jedoch gern behilflich.

Datensicherheit/technische und organisatorische Maßnahmen

Zur effektiven Umsetzung des Datenschutzes sind am HZDR technische und organisatorische Maßnahmen umzusetzen. Hierzu zählen insbesondere:

1. Zutrittskontrolle

Unbefugte sollen keinen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, erhalten. Mögliche Maßnahmen könnten sein:

  • Festlegung von Sicherungsbereichen,
  •  Festlegung von befugten Personen (Mitarbeiter, Fremdbehörden, Fremdfirmen, Wartungsdienste, Anwendungsbetreuung),
  • Festlegung von Besucherregelungen,
  • Sicherung von Gebäuden und Räumen,
  • Anwesenheitsaufzeichnungen.

2. Zugangskontrolle

Nur befugte Personen dürfen Zugang zu Datenverarbeitungsanlagen (DV-Anlagen) erhalten. Zu diesem Zweck sind DV-Anlagen grundsätzlich mit Authentifizierungsverfahren zu schützen. Nachfolgende Hinweise müssen beachtet werden:

  • Nutzerkennungen, d.h. Nutzername und Passwort sind an den oder die jeweilige*n Nutzer*in gebunden und dürfen nicht weitergegeben werden - ein Vorstoß gegen dieses Gebot ist mehr, als lediglich ein Fahrlässigkeitsdelikt und zieht im Schadensfall arbeitsrechtliche Maßnahmen und eventuell einen Strafantrag nach sich
  • Passwörter sollten mindestens 8 Zeichen lang sein, sowie Sonderzeichen und Ziffern enthalten. Sie dürfen nicht leicht zu erraten sein.
  • Bei eventuellem Bekanntwerden des Passwortes muss dieses umgehend geändert werden.

3. Zugriffskontrolle

Diese Maßnahme ist eng an die Zugangskontrolle gebunden. Berechtigte Personen, die sich mit ihrer Nutzerkennung ordnungsgemäß am DV-System identifiziert haben, besitzen entsprechend ihrer Nutzerrechte differenzierte und damit abgestufte Berechtigungen in den jeweiligen Software-Systemen. Bei der Vergabe der Berechtigungen sind durch die Verantwortlichen Erfordernisse von Vertretungen zu sehen und im Rahmen der Zutrittsvergabe zu beachten. Eine Weitergabe der eigenen Zugänge ist grds. auch aus betrieblichen/ dienstlichen Gründen nicht zulässig. Hierdurch gehen Sie auch ein eigenes Risiko ein, da Sie für die Handlungen, welche in Ihrem Namen (mit Ihren Nutzerdaten) erfolgen, zur Verantwortung gezogen werden können.

Der Versuch, sich weitere, nicht vergebene Nutzerrechte zu erschleichen, ist u.U. eine Straftat gemäß § 202a StGB (Ausspähen von Daten) und zieht arbeitsrechtliche und strafrechtliche Konsequenzen nach sich.

4. Weitergabekontrolle

Personenbezogene Daten und vertrauliche betriebliche/ dienstliche Informationen dürfen nur über sichere Kommunikationswege übertragen werden. Eine Sendung per E-Mail ist nur in verschlüsselter Form zulässig. Soll die Exaktheit und Originalität des Dokumentes für den Empfänger nachvollziehbar sein, empfiehlt sich die Verwendung der digitalen Signatur.

Der Umgang mit externen Datenträgern, wie z.B. USB-Sticks, externe Festplatten, SD-Speicherkarten u.ä. muss mit großer Sorgfalt erfolgen. Personenbezogene und vertrauliche Inhalte sollen verschlüsselt sein. Die Weitergabe oder elektronische Übermittlung personenbezogener und vertraulicher Daten und Datenträger muss nachvollziehbar sein.

5. Eingabekontrolle

Über die Werkzeuge der Nutzerverwaltung und der damit verbundenen Rechteverwaltung muss nachvollziehbar sein, wer Neueingaben, Änderungen oder das Löschen personenbezogener und vertraulicher Informationen veranlasst hat. Deshalb wird an dieser Stelle nochmals auf das hohe Risiko der Weitergabe von Nutzerkennungen hingewiesen.

6. Auftragskontrolle

Bei personenbezogener Datenverarbeitung im Auftrag (z.B. Fremdwartung von DV-Anlagen, mit denen personenbezogene Informationen verarbeitet werden oder Entsorgung von Papier mit vertraulichen oder personenbezogenen Inhalten durch Fremdfirmen) müssen entsprechende vertragliche Regelungen getroffen sein, um die Tätigkeit dieser externen Auftragnehmenden transparent zu halten. (vgl. Verträge mit Dienstleistern / Auftragsverarbeitung)

7. Verfügbarkeitskontrolle

Personenbezogene und andere vertrauliche Informationen müssen derart abgelegt werden, dass ein Verlust nicht möglich ist, oder dass im Falle eines Verlustes eine Rekonstruktion der Daten, mit einem vertretbaren technisch-organisatorischen Aufwand, möglich ist. Deshalb sind lokale Datenablagen grds. nicht zulässig. Nur zentrale Ressourcen können hinreichend gesichert und im Schadensfall wieder hergestellt werden. Für die technische und organisatorische Absicherung der zentralen Ressourcen ist die IT (ggf. in Absprache mit dem*der betrieblichen Datenschutzbeauftragten) verantwortlich. Hierzu gehören neben Datensicherungen und Regelungen zur Zutritts- und Zugriffskontrolle auch bspw. Brandschutzmaßnahmen, USV, Virenschutz/Firewall u.ä. Als Standard sollte der IT-Grundschutzkatalog des BSI (Bundesamt für Informationssicherheit) zu Grunde gelegt werden.

8. Trennungsgebot

Personenbezogene Daten dürfen nur für den Zweck genutzt werden, für den sie ursprünglich erhoben wurden. Daten, welche für verschiedene Zwecke erhoben wurden, müssen grds. auch getrennt verarbeitet werden. Es sollte grds. eine sog. Mandantentrennung, d.h. zu jeder Person wird bspw. im Rahmen der Personalakte eine eigene Akte/Datei angelegt, erfolgen. Die Verwendung von Daten in Verbunddateien (Nutzung eines ursprünglichen Datenbestandes auch für andere Zwecke) muss innerbetrieblich definiert und festgeschrieben sein.