Fachwissen Datenschutz

In Deutschland verstößt der derzeitige Aufbau der Datenschutzbehörde dem Europäischen Gerichtshof nach gegen das europäische Recht.

Die Bundesregierung hat daher zwischenzeitlich einen Gesetzesentwurf erstellt, wonach das Amt der Bundesbeauftragten für Datenschutz und Informationsfreit (BfDI) bis 2016 aus dem bisher zuständigen Bundesinnenministerium herausgelöst wird. Diese neue Bundesbehörde ist dann mit eigenen Mitteln ausgestattet und nicht mehr weisungsgebunden, d.h. sie untersteht nur noch der parlamentarischen und gerichtlichen Kontrolle.

Grundsätze

Erläuterung

Zweckbestimmung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und daher auch nur übermittelt werden, wenn dies mit der ursprünglichen Zweckbestimmung vereinbar ist.

Zweckänderungen sind nur mit Zustimmung der betroffenen Person zulässig oder wenn die Änderung ihren Schutz oder die Rechte und Freiheiten anderer Personen betrifft.

Datenqualität

Personenbezogene Daten müssen sachlich richtig und – wenn nötig – auf dem neuesten Stand sein. Es sind angemessene Maßnahmen dafür zu treffen, dass nicht zutreffende oder unvollständige Daten berichtigt oder gelöscht werden.

Die zu übermittelnden Daten müssen im Hinblick auf die Zweckbestimmung erforderlich sein.

Sicherheit

Die verantwortlichen Stellen haben die zur Gewährleistung der erforderlichen Datensicherheit angemessenen technischen-organisatorischen Maßnahmen zu treffen.

Die Maßnahmen beziehen sich insbesondere auf Server, Netze bzw. Kommunikationsverbindungen sowie Applikationen.

Vertraulichkeit der Datenverarbeitung

Nur Befugte und auf die Einhaltung des Datengeheimnisses besonders verpflichtete Mitarbeiter dürfen personenbezogene Daten erheben, verarbeiten oder nutzen.

Es ist untersagt solche Daten für eigene private Zwecke zu nutzen, an Unbefugte zu übermitteln oder diesen auf andere Weise zugänglich zu machen. Unbefugt in diesem Sinne sind z.B. auch Mitarbeiter, sofern sich nicht aufgrund des Tätigkeitsfeldes und der konkreten Aufgaben etwas anderes ergibt.

Keine Einwilligungserklärung ist erforderlich, wenn

» der Betroffene nicht in der Lage ist, die Einwilligung zu geben

» der Betroffene hat die betreffenden Daten öffentlich gemacht

» die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher

   Ansprüche erforderlich (Interessenabwägung)

Auskunft nach BDSG

Kunden, Mitarbeiter und sonstige Betroffene öffentliche und nicht-öffentliche Stellen haben hinsichtlich ihrer personenbezogenen Daten ein unabdingbares Recht auf:

» Auskunft über die zu der Person gespeicherten Daten, die Herkunft der Daten und den

   Zweck der Datenerhebung sowie Empfänger bzw. die Kategorien von Empfängern

» Datenberichtigung bei unrichtigen oder unvollständigen personenbezogenen Daten

» Sperrung der Daten, wenn sich weder die Richtigkeit noch ihre Unrichtigkeit feststellen lässt

» Löschung, wenn die Datenverarbeitung unzulässig war oder die Daten für den Zweck

   der Datenverarbeitung nicht mehr erforderlich sind,

» Widerspruch gegen die Speicherung, wenn die Daten zu Werbezwecken oder zu Zwecken

   der Markt- und Meinungsforschung genutzt werden.

Bei jedem Auskunftsersuchen nach BDSG ist

» zu prüfen, ob eine Auskunftspflicht besteht oder im Einzelfall eine Auskunft nicht erteilt zu

   werden braucht,

» die Legitimation des Anfragenden zu prüfen, damit eine unzulässige Datenübermittlung

   an Dritte verhindert wird.

Grundsätzliche Aufgaben eines Datenschutzbeauftragten bei einem Kreditinstitut

Führung elektronisches Verfahrensregisters

» Alle Anwendungen mit Dokumentation von internen Zugriffsberechtigungen je Verfahren
» Kontrolle von Unterlagen zu Freigaben von Anwendungen, die personenbezogene Daten

   enthalten

Kontrolle/ Sicherstellung der Durchführung von regelmäßigen Mitarbeiterschulungen

Externe Anfragen / Informationen

» SCHUFA Anfragen mit Auftrag um Prüfung berechtigtes Interesse nach § 29 BDSG

Bearbeitung und Besprechung interner Angelegenheiten

» Einverständniserklärung Mitarbeiter bezüglich Speicherung und Nutzung von Leistungsdaten

   (z.B. Berechtigungsanträge, Parametereinstellung bei Personensuche)

» Verpflichtungserklärungen Datenschutz bei Neueinstellungen

» Erstellung und Pflege Datenschutzkonzept (u.a. Videoüberwachungen, Datenvernichtung

Interne Kontrollen

» Verpflichtung neu eingestellten Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG

» Aufbewahrung von Bewerbungs- und Testunterlagen sowie Führung von Personalakten

» Kontrolle von technisch-organisatorischen Maßnahmen