Datenschutz/ Eckpunkte
Eckpunkte des betrieblichen Datenschutzes[Bearbeiten]
(in Bearbeitung)
In diesem Kapitel geht es um wichtige Ansatzpunkte, die in der Regel von jeder Stelle, die nicht rein privat mit personenbezogenen Daten arbeitet, beachtet werden müssen. Entscheidend ist hierbei jeweils die erkennbare praktische Umsetzung von Maßnahmen, die Informationen über natürliche Personen in angemessenem Umfang schützen können.
Personenbezogene Daten im nicht-öffentlichen Bereich[Bearbeiten]
Der betriebliche Datenschutz, d.h. Datenschutz im nicht-öffentlichen privatwirtschaftlichen Bereich, wird im dritten Abschnitt des Bundesdatenschutzgesetzes (BDSG) geregelt. Auf diesen Bereich konzentriert sich dieses Buch zunächst.
Automatisierte Verarbeitung[Bearbeiten]
Die Vorschriften des dritten Abschnittes beziehen sich auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen bzw. bei jeglicher anderen Art automatisierter Verarbeitung von personenbezogenen Informationen wie zum Beispiel einem Karteikartensystem.
Unter einer Datenverarbeitungsanlage ist nicht unbedingt nur ein Zentralrechnersystem mit einer aufwendigen Datenbankanwendung zu verstehen. Bereits ein PC mit einer Tabelle, die mit einem Tabellenkalkulationsprogramm bearbeitet wird, ist als Datenverarbeitungsanlage zu betrachten. Auch ein E-Mail-Programm fällt bereits darunter.
Generelle Pflicht zur Umsetzung von Datenschutzmaßnahmen[Bearbeiten]
Grundsätzlich ist jede Stelle, die personenbezogene Daten nicht rein privat verarbeitet, dazu verpflichtet, das Bundesdatenschutzgesetz einzuhalten. Das Gesetz gilt damit seit 2001 nicht mehr nur für Unternehmen, sondern auch für Vereine und Verbände, heilberufliche Einrichtungen und fast alle anderen denkbaren Institutionen aus dem öffentlichen und nicht-öffentlichen Bereich.
Unter ganz bestimmten Bedingungen verlangt das Gesetz sogar die Bestellung eines sogenannten (betrieblichen) Datenschutzbeauftragten.
Ab wann ist die Bestellung eines DSB erforderlich[Bearbeiten]
Sind "9 oder mehr" Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss zusätzlich zu den gesetzlich vorgeschriebenen Datenschutzmaßnahmen ein Datenschutzbeauftragter bestellt werden. Unter diese Anzahl von Personen fallen auch Teilzeitkräfte, Auszubildende, Praktikanten, Werkstudenten oder ehrenamtliche Mitarbeiter. Werden personenbezogene Daten in anderer Weise von mehr als 20 Personen verarbeitet, ist die Bestellung eines DSB ebenfalls vorgeschrieben.
Die Bezeichnung betrieblicher Datenschutzbeauftragter wird häufig verwendet, um eine Verwechselung mit den behördlichen Datenschutzbeauftragten ("LfD") oder gar mit dem Bundesbeauftragten für den Datenschutz ("BfD") zu vermeiden. Vielfach wird auch einfach nur die Abkürzung "DSB" (manchmal auch "bDSB" für betrieblicher DSB) verwendet.
Zum betrieblichen DSB kann bestellt werden, wer die erforderliche Fachkunde und Zuverlässigkeit mitbringt. Bisher gibt es noch immer kein klar definiertes Berufsbild "Datenschutzbeauftragter", doch das Ulmer Landgericht hat hierzu ein Urteil gefällt, das zumindest ein Mindestniveau an einen professionellen DSB formuliert hat (AZ: 5T 153/90-01,das sogenannte "Ulmer Modell" zum Datenschutzbeauftragten). Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat in jahrelanger Arbeit eine umfassende Selbstverpflichtungserklärung erarbeitet, mit der sich interne wie externe DSBs freiwillig auf ein praxisorientiertes "berufliches Leitbild für Datenschutzbeauftragte" verpflichten können.
Die Bestellung eines DSB hat generell schriftlich zu erfolgen. Er ist weisungsfrei, hat jedoch auch keine Weisungsbefugnis. Aus diesem Grund wird der betriebliche DSB als Stabstelle im Unternehmen auf oberster Führungsebene angesiedelt. Eine besondere Sorgfaltspflicht hat der DSB in vielerlei Hinsicht, da er durch seine ganzheitliche Unternehmensanalyse weit reichende Einblicke bekommt. Eine Art "Schweigepflicht" wie gängige Berufsgeheimnisträger wie etwa Steuerberater, Ärzte und Rechtsanwälte war bisher nur teilweise vorgesehen, gilt aber als Grundvoraussetzung für die bereits genannte Zuverlässigkeit. Mit dem Inkrafttreten des "Entwurf eines Ersten Gesetzes zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft" (landläufig kurz "Mittelstandsentlastungs-" oder auch Bürokratieabbaugesetz" genannt) geht das Zeugnisverweigerungsrecht unter definierten Bedingungen auch auf Datenschutzbeauftragte über - inklusive dem Beschlagnahmungsverbot für deren entsprechende Unterlagen.
Weitere geplante Inhalte:
Rechte des Betroffenen[Bearbeiten]
Überblick für das Kapitel: Der individuelle Einzelne hat eine ganze Reihe an Rechten, die neben dem Grundgesetz auch im BDSG verankert sind. Hierzu gehört vor allem das Recht auf Auskunft und Benachrichtigung.
Rechtliche Konsequenzen[Bearbeiten]
Überblick für das Kapitel: Das BDSG sieht in den §§ 43, 44 BDSG Sanktionen für Verstöße gegen den Datenschutz vor. Welche das sind, soll hier dargestellt werden.
Vorabkontrolle[Bearbeiten]
Überblick für das Kapitel: Bestimmte Verfahren müssen bereits vor ihrem Einsatz in der Praxis auf ihre Datenschutzkonformität geprüft werden bzw. gemeldet werden. Dies betrifft vor allem den Einsatz besonders schützenswerter Personendaten und den Einsatz zur Leistungsbemessung oder persönlichen Bewertung von natürlichen Personen.