Problem Datenschutz 😏
Im Zeitalter der Globalisierung gewinnt der Datenschutz immer mehr an Stellenwert und spielt im Bereich des Vertrauens zwischen Kunden und Unternehmen eine immer größere Rolle.
Kunden und Lieferanten die geschäftliche Beziehungen zu Unternehmen pflegen oder in Unternehmen investieren, müssen sich auf den Schutz ihrer persönlichen Daten verbindlich verlassen können.
Datenschutz muss gelebt werden 😃
Nur ein Datenschutz der gelebt wird, schafft Vertrauen. Die Gefahr bei Nichtbeachtung oder Einhaltung der geforderten Maßnahmen drohen z.B. ein massiver Imageverlust, Vertrauensverlust sowie eigener finanzieller Schaden.
Verabschiedete Regelwerke innerhalb der Unternehmen müssen auch seitens der Mitarbeiter und von den Partnern des Unternehmens eingehalten werden.
Hier ist es ebenfalls wichtig, dass die Betroffenen Personen auch den Inhalt der Dokumente kennen und darüber informiert werden, welche Konsequenzen ein Verstoß der Vereinbarung zur Folge haben kann.
Um die Auflagen, die im Bundesdatenschutzgesetz (BDSG) definiert sind zu erreichen, wird der Datenschutzbeauftragte von der Unternehmensleitung die hierfür verantwortlich ist, für das Unternehmen bestellt.
Siehe auch: Integration
Sie haben in Ihrem Unternehmen einen Datenschutzbeauftragten, der schriftlich bestellt ist?
Die Bestellung eines Datenschutzbeauftragten ist eine gesetzliche Verpflichtung gemäß der Bestimmungen von § 4f BDSG.
Unternehmen oder Vereine, in denen mindestens 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen einen Datenschutzbeauftragten bestellen. Als Personen, die mit der Verarbeitung beschäftigt sind, gelten diejenigen, denen entsprechende Verarbeitungsaufgaben dauerhaft zugeteilt wurden. Das trifft auch zu, wenn diese Aufgaben nur gelegentlich, aber wiederkehrend anfallen.
Sofern Unternehmen oder Vereine besondere personenbezogene Daten verarbeiten, dies sind z. B. Gesundheitsdaten, müssen sie zwingend und unabhängig von der Anzahl der Beschäftigten einen Datenschutzbeauftragten bestellen.
Problem:
Missachtet ein Unternehmen diese gesetzliche Bestimmung, muss es mit einem Bußgeld von bis zu 50.000,-€ rechnen!
Ihr Datenschutzbeauftragter wird immer aktiv hinzugezogen, wenn es um Aspekte geht, bei denen der Datenschutz eine Rolle spielt?
Die Umsetzung der gesetzlichen Vorgaben zum Datenschutz bedarf einer kontinuierlichen Überwachung von Prozessen und Abläufen der Datenerhebungen und -Verarbeitungen.
Hierzu ist es erforderlich, dass die an der Gestaltung von Prozessen und Abläufen in Ihrem Unternehmen beteiligten Stellen dahingehend sensibilisiert sind, dass bei geplanten Erhebungen oder Verarbeitungen von personenbezogenen Daten der Datenschutz beachtet werden muss. Einhaltung und Umsetzung der gesetzlichen Vorgaben zum Datenschutz werden wiederum durch den Datenschutzbeauftragten überwacht.
Er ist über geplante Erhebungen oder Verarbeitungen von personenbezogenen Daten daher vorab in Kenntnis zu setzen, um diese bewerten zu können.
Problem:
Erhebt oder verarbeitet ein Unternehmen beispielsweise personenbezogene Daten unbefugt, die nicht allgemein zugänglich sind, muss es mit einem Bußgeld von bis zu 300.000,-€ rechnen!
Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, werden in Ihrem Unternehmen schriftlich auf das Datengeheimnis verpflichtet?
Gemäß der Bestimmungen von § 5 Bundesdatenschutzgesetz ist es den bei der Datenverarbeitung beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Dies gilt sowohl für Ihre regulären Beschäftigten als auch für Praktikanten, Werkstudenten, Zeitarbeiter, Auszubildende.
Problem:
Erhebt oder verarbeitet ein Mitarbeiter eines Unternehmens beispielsweise unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, muss das Unternehmen mit einem Bußgeld von bis zu 300.000,-€ rechnen!
Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, werden in Ihrem Unternehmen regelmäßig geschult?
Gemäß der Bestimmungen von § 4g Bundesdatenschutzgesetz müssen Unternehmen ihre mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz vertraut machen. Dies geschieht in der Regel durch allgemeine oder fallbezogene Schulungen oder Trainings. Hierdurch kann letztendlich sichergestellt werden, dass entsprechende Mitarbeiter die zur datenschutzgerechten Erhebung und Verarbeitung personenbezogener Daten erforderlichen Kenntnisse besitzen und daraufhin die richtigen Entscheidungen im Umgang mit personenbezogenen Daten treffen können.
Problem:
Erhebt oder verarbeitet ein Mitarbeiter eines Unternehmens beispielsweise personenbezogene Daten unbefugt, die nicht allgemein zugänglich sind, muss dasUnternehmen mit einem Bußgeld von bis zu 300.000,-€ rechnen! In Unternehmen, die einen Datenschutzbeauftragten bestellt haben, erfolgen entsprechende Schulungen meist durch den Datenschutzbeauftragten selbst.
Sie haben ein öffentliches Verfahrensverzeichnis erstellt, auf dass auf Antrag zur Verfügung gestellt werden kann, verfügen für alle Verfahren bei denen personenbezogene Daten erhoben, verarbeitet und gespeichert werden über eine aktuelle Verfahrensübersicht?
Gemäß der Bestimmungen von § 4d Bundesdatenschutzgesetz sind Unternehmen verpflichtet, sofern ein Datenschutzbeauftragter bestellt werden muss oder Verfahren meldepflichtig sind, eine Übersicht über die eingesetzten Verfahren zur Verarbeitung personenbezogener Daten zu erstellen.
Sie haben definierte Vorgaben dafür, wie Sie Kunden bei Anfrage über den Umgang mit ihren personenbezogenen Daten informieren?
Werden personenbezogene Daten beim Betroffenen erhoben, so ist er gemäß der Bestimmungen von § 34 Bundesdatenschutzgesetz zu unterrichten über die der Betroffene (Person) kann Auskunft zu folgenden Informationen einfordern. Dazu wird die verantwortliche Stelle schriftlich mit folgenden Punkten angeschrieben.
Ihre Kunden haben das Recht zu erfahren, welche ihrer personenbezogenen Daten erhoben und verarbeitet werden, zu welchen Zwecken dies geschieht und an wen die Daten übermittelt werden. Dies gilt gleichermaßen für Geschäfts- als auch Privatkunden (Verbraucher).
Sie haben einen Ablauf integriert, der sicherstellt, dass Kunden Auskunft über die zu ihnen gespeicherten Daten in Ihrem Unternehmen erhalten können?
Gemäß der Bestimmungen von § 34 Bundesdatenschutzgesetz haben Kunden das Recht auf Auskunft über ihre gespeicherten Daten. Ihre Kunden haben das Recht zu erfahren, welche Daten in Ihrem Unternehmen über sie gespeichert sind. Unternehmen sind verpflichtet Auskunft zu geben über die gespeicherten personenbezogenen Daten und deren Herkunft Empfänger, an die die Daten weitergegeben wurden den Zweck der Speicherung der Daten
Problem:
Eine verschleppte, unterlassene oder unvollständige Auskunftserteilung kann mit einem Bußgeld von bis zu 50.000,-€ geahndet werden! Entsprechende Anfragen Ihrer Kunden sollten Sie daher keinesfalls zurückweisen, sondern diese zeitnah, vollumfänglich und schriftlich beantworten.
Interessenten oder Kunden werden in Ihrem Unternehmen bei der Erhebung ihrer Daten immer über deren mögliche Verwendung zu Werbezwecken informiert?
Gemäß der Bestimmungen von § 28 Abs. 4 Bundesdatenschutzgesetz müssen Betroffene über das Widerspruchsrecht hinsichtlich der Verwendung ihrer personenbezogenen Daten zu Werbezwecken informiert werden. Werden erstmalig ein Vertrag mit Betroffenen geschlossen und dessen Daten erhoben, muss demnach bereits hier eine Information über das Widerspruchsrecht hinsichtlich der Verwendung von Daten zu Werbezwecken erfolgen. Gleiches gilt für jede werbliche Ansprache von Betroffenen, unabhängig davon, ob diese per E-Mail oder postalisch erfolgt. Auch hier muss eine entsprechende Information über das Widerspruchsrecht beinhaltet sein.
Problem:
Bereits eine unzureichende Information über das bestehende Widerspruchsrecht kann mit einem Bußgeld von bis zu 50.000,-€ geahndet werden!
Sie sollten daher stets über das Widerspruchsrecht hinsichtlich der Verwendung von Daten zu Werbezwecken in der Form informieren, als dass Sie zur Information im allgemeinen auch die notwendigen Kontaktdaten angeben, an die ein Widerspruch gerichtet werden kann.
Sofern gesetzlich erforderlich, werden Einwilligungen von Interessenten oder Kunden zum Erhalt von Werbung stets in schriftlicher oder elektronischer Form eingefordert und dokumentiert?
Gemäß § 28 Abs. 3 Bundesdatenschutzgesetz ist die Verarbeitung personenbezogener Daten für Zwecke der Werbung zulässig, sofern der Betroffene eingewilligt hat. Dies gilt für die Zusendung von werblichen Inhalten per E-Mail, Fax sowie für werbliche Telefonanrufe oder SMS. Für die Zusendung von werblichen Inhalten per Post ist demgegenüber in den meisten Fällen keine Einwilligung der Betroffenen erforderlich.
Sie müssen von Ihren Kunden eine schriftliche oder elektronische Einwilligung einholen, um diesen Werbung per E-Mail oder Fax zusenden zu dürfen. Werbliche Telefonanrufe oder SMS sind gegenüber Geschäftskunden auch ohne deren vorab erteilte Einwilligung gestattet, sofern Sie von einem grundsätzlichen Interesse, also deren mutmaßlicher Einwilligung an der Kontaktaufnahme per Telefon oder SMS ausgehen können. Entsprechendes gilt jedoch nicht bei Telefonanrufen oder SMS gegenüber Verbrauchern. Hier benötigen Sie vorab deren schriftliche oder elektronische Einwilligung.
Problem:
Kontaktiert ein Unternehmen beispielsweise dennoch Kunden durch unerlaubte E-Mail- oder Telefonwerbung, kann seitens der Bundesnetzagentur ein Bußgeld von bis zu 50.000,- € drohen!
Rechtsgültige Einwilligungen müssen transparent, konkret und nachweisbar sein. Schriftlich oder elektronisch erteilte Einwilligungen sind zentral und nachhaltig zu dokumentieren: Letztendlich müssen Sie ggf. nachweisen können, dass Kunden der Nutzung ihrer Daten zu Werbezwecken zugestimmt haben!
Sie sind sich sicher, dass werbliche Ansprachen per Brief, E-Mail oder Telefon von Interessenten oder Kunden immer nach den gesetzlichen Vorgaben des Datenschutzes erfolgen?
Durch die Einhaltung der gesetzlichen Vorgaben zum Datenschutz bei werblicher Ansprache von Interessenten oder Kunden per Brief, E-Mail oder Telefon haben Sie zahlreiche gesetzliche Vorgaben zum Datenschutz erfüllt, beispielsweise:
§ 28 Abs. 4 Bundesdatenschutzgesetz:
Widerspruchsrecht hinsichtlich der Verwendung personenbezogener Daten zu Werbezwecken!
§ 7 Gesetz gegen den unlauteren Wettbewerb:
Zulässigkeit von werblichen Telefonanrufen gegenüber Geschäftskunden und Verbrauchern sowie E- Mailwerbung!
Problem:
Missachtet ein Unternehmen diese gesetzlichen Bestimmungen, kann ein Bußgeld von bis zu 300.000,-€ drohen!
Widersprüche gegen die werbliche Datennutzung von Kunden oder Interessenten werden zentral dokumentiert und nachhaltig in Unternehmen umgesetzt?
Gemäß der Bestimmungen von § 28 Abs. 4 Bundesdatenschutzgesetz haben Kunden ein Widerspruchsrecht hinsichtlich der Nutzung ihrer personenbezogenen Daten zu Werbezwecken. Ihre Kunden haben das Recht, Ihnen die Zusendung von postalischer oder elektronischer Werbung (E-Mail) sowie werbliche Telefonanrufe zu untersagen.
Problem:
Missachtet ein Unternehmen einen Widerspruch und kontaktiert einen Kunden dennoch, kann dies mit einem Bußgeld von bis zu 300.000,-€ geahndet werden! Es ist daher ausgesprochen wichtig, dass Sie Werbewidersprüche zentral und nachhaltig dokumentieren. So können Sie ausschließen, dass Kunden, die der Nutzung ihrer Daten zu Werbezwecken widersprochen haben, dennoch Werbung von Ihnen erhalten.
Mit Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten oder an Ihren IT-Systemen Wartungen vornehmen, haben Sie einen dem § 11 Abs. 2 Satz 2 BDSG entsprechenden Vertrag zur Auftragsdatenverarbeitung abgeschlossen?
Gemäß der Bestimmungen von § 11 Bundesdatenschutzgesetz sind Unternehmen verpflichtet, mit Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten oder Wartungen an Datenverarbeitungsanlagen vornehmen und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, einen entsprechenden Vertrag zu schließen ('Auftragsdatenverarbeitung'). Dieser Vertrag muss alle gemäß § 11 Abs. 2 Nr. 1 bis 10 Bundesdatenschutzgesetz dargestellten Festlegungen beinhalten.
Die Auftraggeber bleiben bei Auftragsdatenverarbeitungen für Verfehlungen ihrer Auftragnehmer bzw. Dienstleister vollumfänglich verantwortlich und haftbar. Schadensersatzansprüche Dritter oder Bußgelder von Aufsichtsbehörden werden im Schadensfall gegenüber dem Auftraggeber geltend gemacht - auch wenn dieser Schadensfall (z. B. Datenverlust oder - Diebstahl) durch den Auftragnehmer bzw. Dienstleister verursacht oder verantwortet wurde.
Ferner müssen Unternehmen mit einem Bußgeld von bis zu 50.000,-€ rechnen, wenn Sie einen Vertrag zur Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise abgeschlossen haben! Daher ist es in doppelter Hinsicht von großer Wichtigkeit, dass Sie bei Auftragsdatenverarbeitungen mit Ihren Auftragnehmern einen Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen.
Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten [oder an Ihren IT-Systemen Wartungen vornehmen], überprüfen Sie regelmäßig auf die Einhaltung der vertraglich festgelegten
Datenschutzpflichten und dokumentieren dies?
Gemäß der Bestimmungen von § 11 Bundesdatenschutzgesetz sind Unternehmen verpflichtet, sich vor Beginn der Datenverarbeitung durch einen Auftragnehmer und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz zu überzeugen.
Das Ergebnis der Prüfung ist zu dokumentieren!
Einen Auftrag zur Auftragsdatenverarbeitung an einen Auftragnehmer dürfen Sie letztendlich nur dann erteilen, wenn Ihr Auftragnehmer die geforderten technischen und organisatorischen Maßnahmen zum Datenschutz erfüllen und nachhaltig aufrecherhalten kann. Dies müssen Sie vor der Auftragserteilung und sodann regelmäßig prüfen, z. B. unmittelbar beim Auftragnehmer vor Ort oder durch Prüfung entsprechend aussagekräftiger Dokumentationen, welche die seitens des Auftraggebers getroffenen Maßnahmen darstellen.
Unternehmen müssen ferner mit einem Bußgeld von bis zu 50.000,-€ rechnen, wenn sie sich vor Beginn der Datenverarbeitung nicht von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt haben!
Neben dem Abschluss eines Vertrags zur Auftragsdatenverarbeitung ist es daher dringend erforderlich, dass Sie sich bei Auftragsdatenverarbeitungen vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz überzeugen und dies dokumentieren.
Sie haben Festlegungen zur privaten Nutzung dienstlicher Kommunikationsmittel getroffen und überprüfen deren Einhaltung regelmäßig und datenschutzgerecht?
Unternehmen, die Ihren Beschäftigten Telekommunikationsgeräte oder -Mittel zur Verfügung stellen, müssen entsprechende Vereinbarungen zu deren Nutzung treffen. Dies gilt sowohl hinsichtlich der Erlaubnis oder des Verbots der privaten Nutzung dienstlicher Telekommunikationsgeräte oder -Mittel als auch für die Art und Weise von deren Nutzung.
Abhängig von der Erlaubnis oder des Verbots der privaten Nutzung dienstlicher Telekommunikationsgeräte oder -Mittel sind Bestimmungen des Telekommunikationsgesetzes, Telemediengesetzes sowie des Bundesdatenschutzgesetzes zu berücksichtigen: Hierbei zu beachtende Aspekte sind je nachdem: Vorliegen eines Telekommunikationsdiensteanbieter-Nutzer-Verhältnisses von Unternehmen und Beschäftigten, Beachtung des Fernmeldegeheimnisses, informationelle Selbstbestimmung und Grundrechte von Beschäftigten, Protokollierung und Abrechnung von Nutzungsvorgängen, Einsichtnahmen und Kontrollen von Verkehrsoder Nutzungsdaten, weitere Kontrollmaßnahmen oder Auswertungen des Unternehmens, Datenspeicherung, Vorgehen und Maßnahmen bei Verdacht auf missbräuchliche oder unerlaubte Nutzung oder Begehung von Straftaten, Auskunftsanfragen von Ermittlungsbehörden, Vorgehen bei Datendiebstahl oder Verlust, Richtlinien zum sicheren Gebrauch von Telekommunikationsgeräten oder
Telekommunikations-Mitteln.
Sofern keine Festlegungen zur privaten Nutzung dienstlicher Kommunikationsmittel getroffen wurden, besteht daher dringend Handlungsbedarf!
Problem:
Bei Verstößen gegen die Bestimmungen des Telekommunikationsgesetzes, Telemediengesetzes oder Bundesdatenschutzgesetzes drohen zudem Bußgelder von bis zu 300.000,-€!
Sie haben geeignete technische und organisatorische Maßnahmen getroffen, um einen optimalen Schutz von gespeicherten personenbezogenen Daten in Ihrem Unternehmen zu gewährleisten?
Gemäß der Bestimmungen von § 9 Bundesdatenschutzgesetz sind Unternehmen verpflichtet technische und organisatorische Maßnahmen zu treffen, um die Ausführung der Vorschriften des Bundesdatenschutzgesetzes zu gewährleisten. Diese Maßnahmen sind in der Anlage zu § 9 Bundesdatenschutzgesetz aufgeführt und beziehen sich auf verschiedene Aspekte des Datenschutzes als auch der Datensicherheit. Im Einzelnen sind dies Maßnahmen aus den Kategorien Organisationskontrolle, Zutritts-, Zugangs- und Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle.
Anhand der einzelnen Maßnahmenkategorien kann eine wirksame als auch wirtschaftlich angemessene Datenschutzorganisation aufgebaut und nachhaltig betrieben werden. Die Gefahren von Datenschutzverletzungen, insbesondere von Datenverlust oder -Diebstahl können durch entsprechende Maßnahmen minimiert oder sogar vollumfänglich ausgeschlossen werden.
Problem:
Bei Datenschutzverletzungen, Datenverlust oder -Diebstahl drohen demgegenüber sowohl Bußgelder von bis zu 300.000,-€ als auch Klagen auf Unterlassung oder Schadensersatzanspruch durch die Betroffenen!
Sie haben ein systematisches Vorgehen zum Umgang mit Datenschutzverletzungen integriert?
Bei Datenschutzverletzungen müssen Unternehmen schnell reagieren, um die Auswirkungen der Datenschutzverletzung wenigstens minimieren zu können. Hierfür sollte ein systematisches Vorgehen, welches verschiedene Stufen von Datenschutzverletzungen berücksichtigt, definiert werden. Gemäß der Bestimmungen von § 42a Bundesdatenschutzgesetz sind bei Datenverlust oder -Diebstahl sowohl die Betroffenen als auch die zuständige Aufsichtsbehörde unmittelbar zu informieren, sofern z. B. besondere Arten personenbezogener Daten oder personenbezogene Daten zu Bank- oder Kreditkartenkonten betroffen sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Unterbleibt die Information von Betroffenen oder Aufsichtsbehörden, müssen Unternehmen zudem mit einem Bußgeld von bis zu 300.000,-€ rechnen!
Bei einfachen Datenschutzverletzungen, z. B. bei unerlaubter werbliche Ansprache von Kunden oder Interessenten als auch bei Datenverlust oder -Diebstahl drohen Unternehmen zudem Klagen auf Unterlassung oder Schadensersatzanspruch durch die Betroffenen!
Ein definiertes systematisches Vorgehen im Umgang mit Datenschutzverletzungen kann dazu beitragen, die entsprechend notwendigen Maßnahmen unmittelbar in die Wege zu leiten, die entstandenen Schäden zu minimieren und Vertrauen bei den Betroffen zurückzugewinnen.
Eine Anfrage der Aufsichtsbehörde hinsichtlich Ihrer getroffenen Maßnahmen zum Datenschutz können Sie unmittelbar beantworten?
Gemäß § 38 Bundesdatenschutzgesetz sind die Aufsichtsbehörden befugt, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume von Unternehmen zu betreten und dort Prüfungen und Besichtigungen vorzunehmen.
Ferner können die Aufsichtsbehörden geschäftliche Unterlagen, gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme einsehen. Dementsprechend können Unternehmen durch die Aufsichtsbehörden jederzeit hinsichtlich Umfang und Zwecken der Datenverarbeitungen, gespeicherten personenbezogenen Daten, getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz, Dokumentationen zum Datenschutz (öffentliches Verfahrensverzeichnis und Verarbeitungsübersichten), Stand von Verpflichtungen auf das Datengeheimnis und Schulungen von Beschäftigten, usw. angefragt werden. Unternehmen sind gegenüber den Aufsichtsbehörden zur Auskunft verpflichtet, meist innerhalb kurzer Fristen.
Problem:
Können Unternehmen eine geforderte Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilen, können die Aufsichtsbehörden ein Bußgeld von bis zu 50.000,-€ verhängen.
Es ist daher notwendig, dass Sie sowohl einer Anfrage der Aufsichtsbehörde hinsichtlich Ihrer getroffenen Maßnahmen zum Datenschutz unmittelbar nachkommen können als auch die erforderlichen Maßnahmen zum Datenschutz in diesem Fall bereits getroffen haben.
In Ihrem Unternehmen gibt es klare Festlegungen zur Sperrung und Löschung von personenbezogenen Daten, die nicht länger benötigt werden?
Gemäß § 35 Bundesdatenschutzgesetz sind personenbezogene Daten zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks ihrer Speicherung nicht mehr erforderlich ist.
Das bedeutet, dass Sie personenbezogene Daten, z. B. nach Beendigung eines Auftragsverhältnisses oder einer Kundenbeziehung, löschen müssen. Sofern gesetzliche Aufbewahrungsfristen bestehen, müssen bzw. dürfen personenbezogene Daten nicht unmittelbar gelöscht werden. In diesen Fällen muss der Zugriff gesperrt und die weitere Verarbeitung oder Nutzung durch entsprechende Kennzeichnung eingeschränkt werden. Spätestens jedoch nach Ablauf der Aufbewahrungsfristen oder anderer gesetzlicher Fristen sind gespeicherte personenbezogene Daten zu löschen.
Problem:
Sie sollten fortlaufend Ihren Datenbestand hinsichtlich personenbezogenen Altdaten sichten und entsprechende Sperrungen oder Löschungen veranlassen. Dies sollte aus pragmatischen Gründen automatisiert erfolgen.
Sie verfügen über ein Datenträgervernichtungskonzept für Altgeräte bzw. Altdatenträger mit personenbezogenen Daten (u.a. für Festplatten, CDs, DVDs, USB-Sticks), das die datenschutzrechtlichen Erfordernisse erfüllt? (DIN 66399)
Gemäß Anlage zu § 9 Satz 1 Bundesdatenschutzgesetz sind Maßnahmen zum Datenschutz zu treffen um zu gewährleisten, dass personenbezogene Daten nach ihrer Speicherung nicht unbefugt gelesen oder kopiert werden können (Zugriffskontrolle). Dies gilt insbesondere für Daten, die nicht länger benötigt werden und entsorgt werden müssen. Im Umgang mit diesen Daten müssen Sie darauf achten, dass entsprechende Datenträger vor Ihrer Entsorgung sorgfältig gelöscht (betrifft Festplatten, CDs, DVDs, USB-Sticks) oder vernichtet werden (betrifft Papier, Akten).
Hierzu ist es erforderlich, dass betroffene Mitarbeiter in Ihrem Unternehmen darüber informiert werden, wie mit zu entsorgenden Datenträgern zu verfahren ist. Ein Datenträgervernichtungskonzept kann diesbezüglich die entsprechenden Vorgaben liefern und sowohl als konkrete Verfahrensanweisung als auch als allgemeines Regelwerk dienen.
Problem:
Werden beispielsweise durch nicht gelöschte oder nicht vernichtete Datenträger personenbezogene Daten unbefugten Dritten zugänglich, muss ein Unternehmen mit einem Bußgeld von bis zu 300.000,-€ und Schadenersatzansprüchen von Betroffenen rechnen!
In Ihrem Unternehmen werden Akten, Schriftstücke, Protokolle, Briefe oder andere Papierdatenträger, die personenbezogene Daten beinhalten, vor ihrer Entsorgung datenschutzgerecht vernichtet? (DIN 66399)
Gemäß Anlage zu § 9 Satz 1 Bundesdatenschutzgesetz sind Maßnahmen zum Datenschutz zu treffen, um zu gewährleisten, dass personenbezogene Daten nach ihrer Speicherung nicht unbefugt gelesen oder kopiert werden können (Zugriffskontrolle).
Dies gilt insbesondere für Daten, die nicht länger benötigt werden und entsorgt werden müssen. Im Umgang mit diesen Daten müssen Sie darauf achten, dass entsprechende Datenträger vor Ihrer Entsorgung sorgfältig gelöscht (betrifft Festplatten, CDs, DVDs, USB-Sticks) oder vernichtet werden (betrifft Papier, Akten).
Hierzu ist es erforderlich, dass die Löschung oder Vernichtung von Datenträgern wirksam sowie konform durchgeführt wird. Die Art und Weise der Löschung oder Vernichtung von Datenträgern ist dabei von der Schutzwürdigkeit der gespeicherten personenbezogenen Daten abhängig.
Eine Orientierung über Schutzstufen personenbezogener Daten und einzuhaltende Vernichtungsgrade bietet hierbei DIN 66399.
Problem:
Werden beispielsweise durch nicht wirksam gelöschte oder vernichtete Datenträger personenbezogene Daten unbefugten Dritten zugänglich, muss ein Unternehmen mit einem Bußgeld von bis zu 300.000,-€ und Schadenersatzansprüchen von Betroffenen rechnen!
Sehen Sie sich mein Portfolio an, oder nehmen Sie mit mir Kontakt auf!