Fachwissen Datenschutz

Datenschutz Bundesdatenschutzgesetz(BDSG Personenbezogene Daten Datenschutzbeauftragter Datenschutzvorschriften Bankgeheimnis Datenverarbeitung Vernichtung Unterlagen Zugangskontrolle Benutzerkennwort

Datenschutz ist in Deutschland bereits seit Ende der 1970er Jahre im Bundesdatenschutzgesetz (BDSG) geregelt.

Das BDSG dient in vielen Teilen als Vorlage für die Europäische Datenschutz-Grundverordnung (DS-GVO).

Das Bundesdatenschutzgesetz (BDSG) regelt allgemein die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen.

Zweck des BDSG ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

In Deutschland verstößt der derzeitige Aufbau der Datenschutzbehörde dem Europäischen Gerichtshof nach gegen das europäische Recht.

Die Bundesregierung hat daher zwischenzeitlich einen Gesetzesentwurf erstellt, wonach das Amt der Bundesbeauftragten für Datenschutz und Informationsfreit (BfDI) bis 2016 aus dem bisher zuständigen Bundesinnenministerium herausgelöst wird. Diese neue Bundesbehörde ist dann mit eigenen Mitteln ausgestattet und nicht mehr weisungsgebunden, d.h. sie untersteht nur noch der parlamentarischen und gerichtlichen Kontrolle.

Nicht unter die Datenschutzvorschriften fallen Daten juristischer Personen, Personenhandelsgesellschaften oder sonstiger Personengemeinschaften (z.B. Vereine).

Gegenstand des Datenschutzes sind die personenbezogenen Daten natürlicher Personen, die in oder aus automatisiert oder manuell geführten Dateien geschäftsmäßig oder für gewerbliche Zwecke verarbeitet oder genutzt werden.

Das Telemediengesetz (TMG) erfasst auch von Kreditinstituten angebotenen Dienste, wie zum Beispiel das Internet Banking.

Sofern in anderen Gesetzen die Verarbeitung oder Übermittlung von personenbezogenen Daten vorgeschrieben ist - zum Beispiel im Kreditwesengesetz (KWG) - haben diese Gesetze als speziellere Regelungen vor dem BDSG einen Vorrang.

Was sind der aktuellen Gesetzgebung nach "personenbezogener Daten"?

Personenbezogene Daten sind alle Informationen, die Ausdruck der „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ eines Menschen (natürliche Person) sind und über die sich ein Mensch eindeutig identifizieren lässt.

Wann ist die Verarbeitung von personenbezogener Daten erlaubt?

Die Verarbeitung ist nur erlaubt, wenn eine Einwilligung vorliegt, oder besondere Erlaubnistatbestände vorliegen, wie die Erforderlichkeit zur Durchführung eines Vertrags, Erforderlichkeit zur Durchführung vorvertraglicher Maßnahmen.

Übermittlung personenbezogener Daten

Für die Übermittlung personenbezogener Daten gelten folgende Grundsätze:

Grundsätze	Erläuterung
Zweckbestimmung	Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und daher auch nur übermittelt werden, wenn dies mit der ursprünglichen Zweckbestimmung vereinbar ist. Zweckänderungen sind nur mit Zustimmung der betroffenen Person zulässig oder wenn die Änderung ihren Schutz oder die Rechte und Freiheiten anderer Personen betrifft.
Datenqualität	Personenbezogene Daten müssen sachlich richtig und – wenn nötig – auf dem neuesten Stand sein. Es sind angemessene Maßnahmen dafür zu treffen, dass nicht zutreffende oder unvollständige Daten berichtigt oder gelöscht werden. Die zu übermittelnden Daten müssen im Hinblick auf die Zweckbestimmung erforderlich sein.
Sicherheit	Die verantwortlichen Stellen haben die zur Gewährleistung der erforderlichen Datensicherheit angemessenen technischen-organisatorischen Maßnahmen zu treffen. Die Maßnahmen beziehen sich insbesondere auf Server, Netze bzw. Kommunikationsverbindungen sowie Applikationen.
Vertraulichkeit der Datenverarbeitung	Nur Befugte und auf die Einhaltung des Datengeheimnisses besonders verpflichtete Mitarbeiter dürfen personenbezogene Daten erheben, verarbeiten oder nutzen. Es ist untersagt solche Daten für eigene private Zwecke zu nutzen, an Unbefugte zu übermitteln oder diesen auf andere Weise zugänglich zu machen. Unbefugt in diesem Sinne sind z.B. auch Mitarbeiter, sofern sich nicht aufgrund des Tätigkeitsfeldes und der konkreten Aufgaben etwas anderes ergibt.

Die Übermittlung besonderer Arten personenbezogener Daten, d.h. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, sind grundsätzlich untersagt. Sollte dieses dennoch mal erforderlich sein ist hierfür zugleich eine entsprechende Einwilligungserklärung zwingend erforderlich.

Keine Einwilligungserklärung ist erforderlich, wenn

» der Betroffene nicht in der Lage ist, die Einwilligung zu geben

» der Betroffene hat die betreffenden Daten öffentlich gemacht

» die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher

Ansprüche erforderlich (Interessenabwägung)

Mitarbeitern von öffentliche und nicht-öffentliche Stellen ist es grundsätzlich untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Eine missbräuchliche Verwendung ist strafbar.

Rechte von Betroffenen

Rechte von Personen, die von Verarbeitung personenbezogener Daten betroffen sind:

Recht auf Auskunft und Information
Recht auf Löschung Recht auf Berichtigung
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit
Recht der Verarbeitung zu Widersprechen
Beschwerde zur Datenschutzaufsichtsbehörde

Auskunft nach BDSG

Kunden, Mitarbeiter und sonstige Betroffene öffentliche und nicht-öffentliche Stellen haben hinsichtlich ihrer personenbezogenen Daten ein unabdingbares Recht auf:

» Auskunft über die zu der Person gespeicherten Daten, die Herkunft der Daten und den

Zweck der Datenerhebung sowie Empfänger bzw. die Kategorien von Empfängern

» Datenberichtigung bei unrichtigen oder unvollständigen personenbezogenen Daten

» Sperrung der Daten, wenn sich weder die Richtigkeit noch ihre Unrichtigkeit feststellen lässt

» Löschung, wenn die Datenverarbeitung unzulässig war oder die Daten für den Zweck

der Datenverarbeitung nicht mehr erforderlich sind,

» Widerspruch gegen die Speicherung, wenn die Daten zu Werbezwecken oder zu Zwecken

der Markt- und Meinungsforschung genutzt werden.

Falls Kunden oder Nichtkunden - mit eindeutigem oder erkennbarem Bezug auf das Datenschutzgesetz - Auskunft über ihre eigenen bei einem Kreditinstitut gespeicherten Personendaten verlangen, sind werden diese Anfragen in der Regel einem Datenschutzbeauftragten zugeleitet.

Bei jedem Auskunftsersuchen nach BDSG ist

» zu prüfen, ob eine Auskunftspflicht besteht oder im Einzelfall eine Auskunft nicht erteilt
zu werden braucht,

» die Legitimation des Anfragenden zu prüfen, damit eine unzulässige Datenübermittlung

an Dritte verhindert wird.

Nach einer positiven Prüfung sollte eine Auskunft in einer angemessenen Frist unentgeltlich schriftlich erteilt werden. Hierbei muss darauf geachtet werden, dass dem Anfragenden nicht versehentlich Daten Dritter übermittelt oder zugänglich gemacht werden.

Neben dem Datengeheimnis gilt für Kreditinstitute auch ein Bankgeheimnis, welches ebenfalls entsprechend beachtet werden muss.

Wann müssen elektronisch vorgehalene personenbezogene Daten gelöscht werden?

Personenbezogenen Daten müssen gelöscht werden, wenn der ursprüngliche Zweck der Datenspeicherung entfällt sowie zugleich keine gesetzlichen Aufbewahrungspflichten vorliegen (bspw. handels- oder steuerrechtlicher Art).

Datenschutz am Arbeitsplatz

Ein PC sollte mit einem starken Passwort geschützt sein und ein aktuelles Betriebssystem haben. Die Festplatte soltte verschlüsseltsein, so dass im Fall eines Diebstahls oder Verlustes die gespeicherten PC-Daten nicht ausgelesen werden können. Ebenso sollten auch USB Sticks sowie andere Wechseldatenträger verschlüsselt und mit einem starken Passwort geschützt sein.

Ein Arbeitsplatz sollte nur so hinterlassen werden, dass Dritte nicht auf schutzbedürftige Dokumente zugreifen können, d.h. PC sperren und Dokumente in einen Schrank oder Rollcontainer einschließen.

Dokumente mit personenbezogenen Daten sind auch nicht einfach in einen Papierkorb sondern mit einem geeigneten Dokumenten-Schredder datenschutzrechtlich unbedenklich zu entsorgen.

Datenschutzbeauftragte

Grundsätzliche Aufgaben eines Datenschutzbeauftragten bei einem Kreditinstitut

Führung elektronisches Verfahrensregisters

» Alle Anwendungen mit Dokumentation von internen Zugriffsberechtigungen je Verfahren
» Kontrolle von Unterlagen zu Freigaben von Anwendungen, die personenbezogene Daten

enthalten

Kontrolle/ Sicherstellung der Durchführung von regelmäßigen Mitarbeiterschulungen

Externe Anfragen / Informationen

» SCHUFA Anfragen mit Auftrag um Prüfung berechtigtes Interesse nach § 29 BDSG

Bearbeitung und Besprechung interner Angelegenheiten

» Einverständniserklärung Mitarbeiter bezüglich Speicherung und Nutzung von
Leistungsdaten (z.B. Berechtigungsanträge, Parametereinstellung bei Personensuche)

» Verpflichtungserklärungen Datenschutz bei Neueinstellungen

» Erstellung und Pflege Datenschutzkonzept (u.a. Videoüberwachungen, Datenvernichtung

Interne Kontrollen

» Verpflichtung neu eingestellten Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG

» Aufbewahrung von Bewerbungs- und Testunterlagen sowie Führung von Personalakten

» Kontrolle von technisch-organisatorischen Maßnahmen