|
FAQ
Hier geben wir Ihnen antworten
zu häufig gestellten Fragen.
Wann brauche ich einen
Datenschutzbeauftragten?
Wenn Sie mehr als 9 Personen mit der EDV gestützten Verarbeitung von
personenbezogenen Daten oder mehr als 19 Personen mit der
herkömmlichen Verarbeitung (Papier, Karteikasten)beschäftigen,
benötigen Sie einen Datenschutzbeauftragten.
Verarbeiten Sie sensible Daten nach § 3 Abs. 9 BDSG wie, Gewerkschaftszugehörigkeit, politische Meinung, Gesundheit,
rassische und ethnische Herkunft, religiöse oder philosophische
Überzeugung, Sexualleben, oder werden Daten verarbeitet, die dazu
bestimmt sind die Persönlichkeit oder Leistungsfähigkeit einer Person zu
bestimmen,
kann die Bestellung eines Datenschutzbeauftragten erforderlich sein.
Was sind
personenbezogene Daten?
Personenbezogen Daten sind Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener).
Beispiel: Adresse, Kontoverbindung, Kfz-Kennzeichen, IP-Adresse, usw...
Wer kann Datenschutzbeauftragter werden?
Das Gesetz
verlangt von ihm die erforderliche Fachkunde und Zuverlässigkeit. Gerade
an seine Fachkunde werden hohe Anforderungen gestellt!
Das Landgericht Ulm stellt u.a zur Fachkunde fest:
Er muss die Vorschriften der Datenschutzgesetze des Bundes und der
Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften
anwenden können.
Er ist Computerexperte.
Er hat Organisationstalent.
Er muss zuverlässig sein und darf nicht im Konflikt mit anderen
Tätigkeiten im Betrieb stehen. Daher schließen sich folgende Gruppen
aus: Geschäftführung, Verwandtschaft, Personalleiter, EDV Leiter,
externe IT Systembetreuer/Dienstleister.
Was ist ein Verfahrensverzeichnis?
Auch Verfahrensübersicht genannt.
Hier wird zwischen dem öffentlichen und den internen
Verfahrensverzeichnis unterschieden.
Das öffentliche, auch genannt als Verzeichnis für Jedermann, ist auf
Antrag durch jedermann Bereit zu stellen. Es umfasst u.a. folgende
Angaben: Name der verantwortlichen Stelle;
Inhaber, Vorstände,
Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des
Unternehmens berufene Leiter und die mit der Leitung der
Datenverarbeitung beauftragten Personen; Anschrift der verantwortlichen
Stelle;
Zweckbestimmungen der Datenerhebung, -erarbeitung oder -nutzung; eine
Beschreibung der betroffenen Personengruppen und der diesbezüglichen
Daten oder Datenkategorien; Empfänger oder Kategorien von Empfängern,
denen die Daten mitgeteilt werden können; Regelfristen für die Löschung
der Daten; eine geplante Datenübermittlung in Drittstaaten.
Das interne Verfahrensverzeichnis hat zusätzlich zu dem öffentlichen
Verfahrensverzeichnis
eine
allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob
die Maßnahmen nach
§9 zur Gewährleistung der Sicherheit
der Verarbeitung angemessen sind.
Dies sind u. a. technische und organisatorische Maßnahmen wie: Unbefugte
daran gehindert werden die Räume der technischen Anlagen zu betreten
(Zutrittskontrolle; verhindert wird, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können (Zugangskontrolle);
gewährleistet wird, dass personenbezogene Daten gegen zufällige
Zerstörung oder Verlust geschützt werden (Verfügbarkeitskontrolle).
Was
passiert, wenn ich die Vorschriften nicht umsetze?
In § 43 BDSG sind die Bußgeldvorschriften geregelt, sie können
bei Fehlen der Dokumentationen und/oder des Datenschutzbeauftragten bis
zu 25000,-- EUR und bei Vorsätzlichen oder Fahrlässigen Verstoß
bis zu 250000,-- EUR betragen.
Bei vorsätzlicher Handlung kann laut § 44 auch eine Freiheitsstrafe bis
zu 2 Jahren festgelegt werden.
Wer prüft die
Einhaltung des Datenschutzes?
Die Behörden (in
NRW Innenministerium, bzw. Landesbeauftragte für Datenschutz und
Informationsfreiheit) können auch ohne Anfangsverdacht die Einhaltung
der Bestimmungen prüfen.
Hierzu hat die Behörde in NRW 40 neue Mitarbeiter eingestellt.
Ich
habe weniger als 10 Personen, betrifft mich dann das BDSG?
Ja, Sie müssen die internen und das öffentliche Verfahrensverzeichnis
erstellen und Maßnahmen beschreiben, wie der Datenschutz gem. Anlage zu
§ 9 BDSG, sichergestellt wird.
Weiterhin muss die Geschäftsführung die Aufgaben des
Datenschutzbeauftragten anderweitig sicherstellen.
Was prüft die Aufsichtsbehörde?
Ist ein Datenschutzbeauftragter
vorhanden ($ 4 BDSG)?
Werden die Grundregeln der
Auftragsdatenverarbeitung beachtet ($ 9 BDSG)?
Sind die vorgeschriebenen Verfahrensverzeichnisse vorhanden ($ 4g Abs. 2 BDSG)?
Hat der Datenschutzbeauftragte die entsprechende Fachkunde und
Zuverlässigkeit (§ 4g BDSG)?
Sind die wichtigen organisatorischen und technische Maßnahmen beschrieben
und werden diese beachtet (§ 9 BDSG)?
Ist die Verpflichtung auf das Datengeheimnis richtig erfolgt (§ 5 BDSG)
Ist die Internetpräsenz Datenschutzkonform (Unterrichtung über
Datenschutz, Verwendung von Cookies, Veröffentlichung personenbezogener
Daten, ...)
|