Telefon: +49 911 1335-1335

Datenschutz

Zehn goldene Regeln

Das Bayerische Landesamt für Datenschutzaufsicht appelliert an die Betriebe, die Themen Datenschutz und IT-Sicherheit sehr ernst zu nehmen. Besonders die folgenden grundlegenden Aspekte sollten beachtet werden.

 

  1. Datenverarbeitung nur mit Rechtsgrundlage / Transparenz: Vor jeder Verwendung personenbezogener Daten ist zu prüfen, ob eine Rechtsvorschrift oder die Einwilligung der betroffenen Person die Datenverwendung gestattet. Das Bundesdatenschutzgesetz (BDSG) erlaubt die Verwendung personenbezogener Daten insbesondere in dem Umfang, wie es für die Erfüllung von Verträgen mit der betroffenen Person notwendig ist. Eine darüber hinausgehende Datenverwendung kann nach einer Abwägung der beiderseitigen Interessen zulässig sein. Die betroffenen Personen sind über den Umgang mit ihren Daten zu informieren, wenn sie von der Verwendung ihrer Daten nicht ohnehin schon wissen. Eine solche Information, z.B. durch Hinweise in Verträgen, ist insbesondere für die werbliche Verwendung von Daten, bei Einschaltung Dritter zur Leistungserbringung oder bei Bonitätsprüfungen geboten.
  2. Einhaltung der Vorschriften für die werbliche Datenverarbeitung: Werbung bei Verbrauchern ist anerkanntermaßen notwendig, aber nicht mit allen Mitteln und mit allen Kundendaten erlaubt. Briefwerbung an die Postadressen von Kunden oder zur Neukundenwerbung ist grundsätzlich zulässig, solange der Adressat dem nicht widersprochen hat. Bei Werbung mittels Telefonanruf oder Fax ist für eine Verwendung der Rufnummer die vorherige ausdrückliche Einwilligung notwendig. Elektronische Werbung mittels E-Mail oder SMS ist nur in bestehenden Kundenbeziehungen unter Einhaltung bestimmter Regeln auch ohne Einwilligung erlaubt; ansonsten nicht.
  3. Gewährleistung der Betroffenenrechte: Speziell das Recht der betroffenen Personen auf Auskunft über die zu ihrer Person gespeicherten Daten hat eine zentrale Bedeutung. Hierüber müssen alle Sachbearbeiter in einem Unternehmen informiert sein, damit solche Auskunftswünsche sachgerecht und zeitnah erfüllt werden können.
  4. Auslagerung der EDV: Bei einer Auslagerung von EDV-Tätigkeiten mit personenbezogenen Daten an einen Dienstleister (z.B. Rechenzentren, Call-Center, Werbedienstleister) ist dieser sorgfältig auszuwählen und zu überwachen. Außerdem sind mit dem Dienstleister in einem schriftlichen Vertrag datenschutzrechtliche Rahmenbedingungen festzulegen (zehn Vertragspunkte nach § 11 Abs. 2 BDSG).
  5. Datenvermeidung/Datensparsamkeit: Die Verarbeitung personenbezogener Daten und die eingesetzten EDV-Systeme sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und zu verwenden.
  6. Datenschutzbeauftragter: Jedes Unternehmen, bei dem mindestens zehn Beschäftigte regelmäßig mit personenbezogenen Daten in EDV-Verfahren umgehen, muss – als fachkundige Person zu Datenschutz und Datensicherheit – einen betrieblichen Datenschutzbeauftragten bestellen. Datenschutzbeauftragter kann einer der Beschäftigten werden, der nicht selbst in großem Umfang mit personenbezogenen Daten umgeht. Möglich ist aber auch die Bestellung einer Fachkraft.
  7. Firewall-Schutz vor Schad-Software: Eine angemessene Sicherheit der EDV-Systeme kann nur gewährleistet werden, wenn durch Technik und Software alle ein- und ausgehenden EDV-Vorgänge überwacht werden (Firewall) und mittels Schutz-Software die Inhalte eingehender E-Mails und aufgerufener Internet-Seiten auf den Befall von Schad-Software (Viren, Trojaner) kontrolliert werden.
  8. Verschlüsselung von mobilen Datenträgern: Mobil verwendete Datenträger (Laptops, USB-Sticks, Smartphones usw.), die personenbezogene Daten enthalten, müssen besonders gesichert sein (z.B. Vollverschlüsselung von Laptops), damit bei Verlust oder Diebstahl die Daten nicht in fremde Hände gelangen können.
  9. Sichere Entsorgung von Datenträgern: Altpapier und ausgesonderte elektronische Datenträger mit personenbezogenen Daten müssen sicher entsorgt werden, entweder durch geeignete Techniken im Unternehmen selbst oder durch Beauftragung eines qualifizierten Dienstleisters.
  10. Verpflichtung auf das Datengeheimnis / Verfahrensverzeichnis: Alle Beschäftigten, die in einem Unternehmen mit personenbezogenen Daten umgehen, müssen hierzu auf Vertraulichkeit und gesetzmäßiges Handeln verpflichtet werden („Datengeheimnis“). Für die EDV-Verfahren mit personenbezogenen Daten muss ein Verfahrensverzeichnis mit gewissen Grundangaben angelegt werden, in das Jedermann Einsicht nehmen kann.

 

 

WiM – Wirtschaft in Mittelfranken, Ausgabe 11|2012, Seite 29

 
Device Index

Alle Ansprechpartner/innen auf einen Blick