Am 23. Mai 2004 wird es für den betrieblichen Datenschutz ernst: Nach einer dreijährigen Umsetzungsfrist werden die Neuregelungen des Bundesdatenschutzgesetzes (BDSG) nun Pflicht. Die Unternehmen müssen vier neue Organisationsverfahren, die im BDSG vorgesehen sind, umsetzen. Der rechtliche Hintergrund: Mit der dritten Fassung des BDSG vom 22. Mai 2001 wurden die EU-Vorgaben der europäischen Datenschutzrichtlinie (EU-DatSchRL vom 23. November 1995) in deutsches Recht umgesetzt und einige Elemente modernen Datenschutzrechts wie Systemdatenschutz (z.B. Datenvermeidung, Datensparsamkeit oder Datenschutz durch technische und organisatorische Maßnahmen) eingeführt.
Neu sind folgende Regelungen:
Meldepflicht: In jedem Unternehmen muss ein Meldeverfahren eingerichtet werden, wonach der Datenschutzbeauftragte rechtzeitig vor Einführung oder Änderung über jedes DV-Verfahren informiert wird, das die Nutzung von personenbezogenen Daten ermöglicht.
In der Verarbeitungsübersicht werden die Meldungen zusammengefasst. Sie dient als Arbeitsgrundlage für den Datenschutzbeauftragten, der die (interne) Verarbeitungsübersicht führen bzw. je nach betrieblicher Regelung selbst erstellen muss.
Vorabkontrolle: In Unternehmen, die einen Datenschutzbeauftragten bestellen müssen, muss dieser die so genannte Vorabkontrolle durchführen. Die Vorabkontrolle soll sich auf die Verarbeitungen beziehen, die besondere Risiken für das Persönlichkeitsrecht des Betroffenen mit sich bringen. Dies wird immer dann gegeben sein, wenn es sich um komplexe Personal-Anwendungen handelt oder wenn Verhaltens- und Leistungsdaten betroffen sind.
Das Verfahrensverzeichnis, in das jeder auf Antrag Einblick nehmen kann, muss ebenfalls vom Datenschutzbeauftragten bereit gestellt werden. Das so genannte öffentliche Verfahrensverzeichnis hat nicht den Umfang wie die interne Verarbeitungsübersicht.
Meldeverfahren und Verarbeitungsübersicht sollen dazu dienen, die Zweckbestimmung der Verarbeitungen und die wichtigsten Inhalte offen zu legen, um somit die Rechtmäßigkeit, die Angemessenheit sowie die Datensicherheit überprüfbar zu machen.
Datenschutz und IT-Sicherheit
Datenschutz und IT-Sicherheit haben ein gemeinsames Ziel, nämlich Sicherheit in der Informationsverarbeitung. Obwohl beim Datenschutz der Mensch mit dem Schutz seines Persönlichkeitsrechts im Vordergrund steht, sind die technischen und organisatorischen Ansatzpunkte zum Schutz der personenbezogenen Daten wie auch zum Schutz von Unternehmensdaten in weiten Teilen gleich. Es geht hierbei um Verbindlichkeit, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Daten.
Handlungsbedarf
Unternehmensleitungen, die die neuen Anforderungen des Datenschutzes noch nicht umgesetzt haben, sollten sich umgehend informieren, welche Maßnahmen zu ergreifen sind. Datenschutz sollte als Wettbewerbsfaktor und Qualitätsmerkmal der eigenen Informationsverarbeitung gesehen werden und nicht als Hemmnis.
Dieter Bartosch, Leiter des IHK-AnwenderClubs, Datenschutz und Informationssicherung
Neu sind folgende Regelungen:
Meldepflicht: In jedem Unternehmen muss ein Meldeverfahren eingerichtet werden, wonach der Datenschutzbeauftragte rechtzeitig vor Einführung oder Änderung über jedes DV-Verfahren informiert wird, das die Nutzung von personenbezogenen Daten ermöglicht.
In der Verarbeitungsübersicht werden die Meldungen zusammengefasst. Sie dient als Arbeitsgrundlage für den Datenschutzbeauftragten, der die (interne) Verarbeitungsübersicht führen bzw. je nach betrieblicher Regelung selbst erstellen muss.
Vorabkontrolle: In Unternehmen, die einen Datenschutzbeauftragten bestellen müssen, muss dieser die so genannte Vorabkontrolle durchführen. Die Vorabkontrolle soll sich auf die Verarbeitungen beziehen, die besondere Risiken für das Persönlichkeitsrecht des Betroffenen mit sich bringen. Dies wird immer dann gegeben sein, wenn es sich um komplexe Personal-Anwendungen handelt oder wenn Verhaltens- und Leistungsdaten betroffen sind.
Das Verfahrensverzeichnis, in das jeder auf Antrag Einblick nehmen kann, muss ebenfalls vom Datenschutzbeauftragten bereit gestellt werden. Das so genannte öffentliche Verfahrensverzeichnis hat nicht den Umfang wie die interne Verarbeitungsübersicht.
Meldeverfahren und Verarbeitungsübersicht sollen dazu dienen, die Zweckbestimmung der Verarbeitungen und die wichtigsten Inhalte offen zu legen, um somit die Rechtmäßigkeit, die Angemessenheit sowie die Datensicherheit überprüfbar zu machen.
Datenschutz und IT-Sicherheit
Datenschutz und IT-Sicherheit haben ein gemeinsames Ziel, nämlich Sicherheit in der Informationsverarbeitung. Obwohl beim Datenschutz der Mensch mit dem Schutz seines Persönlichkeitsrechts im Vordergrund steht, sind die technischen und organisatorischen Ansatzpunkte zum Schutz der personenbezogenen Daten wie auch zum Schutz von Unternehmensdaten in weiten Teilen gleich. Es geht hierbei um Verbindlichkeit, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Daten.
Handlungsbedarf
Unternehmensleitungen, die die neuen Anforderungen des Datenschutzes noch nicht umgesetzt haben, sollten sich umgehend informieren, welche Maßnahmen zu ergreifen sind. Datenschutz sollte als Wettbewerbsfaktor und Qualitätsmerkmal der eigenen Informationsverarbeitung gesehen werden und nicht als Hemmnis.
Dieter Bartosch, Leiter des IHK-AnwenderClubs, Datenschutz und Informationssicherung
