Datenschutz

Datenschutzanforderungen

Der Gesetzgeber hat im Zuge der Entwicklung und im Zuge der Digitalisierung seine Verantwortung erkannt Rahmenbedingungen und Regeln für alle Teilnehmer/ Teilhabende am Technischen Fortschritt. Insbesondere der Umgang mit empfindlichen Daten stellt ein hohes Risiko bzw. Herausforderung für Unternehmen dar. Aus diesem Grund ist es wichtig Regelungen so konzipieren, die den sicheren Umgang dieser schützenswerter Informationen durch den Einsatz technischer bzw. organisatorischer Maßnahmen ermöglichen. Dabei bilden personenbezogene Daten ein Unikum insofern, als dass diese einen besonderen Schutz erfahren in der Gesetzgebung. Zum einen gilt der Schutz des allgemeinen Persönlichkeitsrecht, welches die Privat-, Individual- und Intimsphäre beinhaltet, als eins der wichtigsten Grundrechte in der deutschen Verfassung( Art.2 Abs.1 in Verbindung mit Art.1 Abs.1 GG). Dieses Gesetz ist auch in jedem Landesgesetz gefestigt und bildet die Basis als auch den Bezugspunkt zum § 1 Abs. 1 Bundesdatenschutzgesetz (BDSG). Es umfasst das Recht auf informationelle Selbstbestimmung, Recht am eigenem Bild sowie Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme. Diese wichtigen Gesetze zum Schutze der personenbezogenen Daten sind deshalb so gewichtig und bedeutungsvoll, als dass

Datensparsamkeit und Datenvermeidung

Das Erheben, Verarbeiten und Nutzen von PBD, sowie die Auswahl und Gestaltung von Datenverarbeitungssystemen, muss laut §3a nach dem Prinzip der Datenvermeidung und -sparsamkeit erfolgen. Die bedeutet konkret, dass nur die wirklich benötigten Daten gespeichert werden sollen. Zudem sind die Bearbeiter vor der Aufnahme ihrer Arbeit auf das Datengeheimnis zu verpflichten.
Um wichtige Firmendaten zu schützen erscheint es ebenfalls sinnvoll zu sein, möglichst wenig empfindliche Daten zu speichern und die Mitarbeiter eine Verschwiegenheitserklärung unterzeichnen zu lassen.

Technische und organisatorische Maßnahmen

Des Weiteren schreibt der Gesetzgeber eine Reihe von technischen und organisatorischen Maßnahmen zum Umgang mit Anlagen, welche PBDs verarbeiten, vor. Diese Maßnahmen besagen, dass der Zutritt zu Datenverarbeitungsanlagen für Unbefugte zu verwehren ist (Zutrittskontrolle) und diese auch nicht in der Lage sein dürfen die Datenverarbeitungssysteme zu benutzen (Zugangskontrolle). Ebenso dürfen rechtmäßige Benutzer des Sys¬tems ausschließlich Zugang zu Daten erhalten, die in ihrer Zugriffsberechtigung liegen (Zugriffskontrolle). Es ist zu gewährleisten, dass PBD bei der elektronischen Übertragung oder während eines Transports nicht unbefugt ge-lesen, kopiert, verändert oder gelöscht werden können (Weitergabekontrolle). Es muss eine Eingabekontrolle erfolgen, welche die Veränderungen an Daten proto¬kolliert und sicherstellt, dass die auftragsbezogene Datenverarbeitung nur nach Weisungen des Auftraggebers erfolgen kann (Auftragskontrolle). Die Daten müssen gegen zufälligen Verlust oder Zerstörung geschützt werden (Verfügbarkeitskontrolle) und für unterschiedliche Zwecke erhobene Daten müssen getrennt verarbeitet werden.
Diese Maßnahmen sollten von jedem Unternehmen alleine schon aus eigenem Interesse umgesetzt werden, auch wenn dieses gar nicht mit PBD arbeitet. Denn sollten keine PBD gespeichert sein, dann sind in der Regel andere wichtige Daten in den Systemen hinterlegt. Gerade daher ist es wichtig, dafür zu sorgen dass niemand unbefugtes an diese Daten kommt.

Datenschutzbeauftragter

Laut §4f muss ein DSB (=Datenschutzbeauftragter) schriftlich bestellt werden, sobald über 20 Personen PBD erheben, verarbeiten oder nutzen. Wird diese Verarbeitung automatisiert durchgeführt, wird der DSB bereits ab 9 Mitarbeiter benötigt. Die Aufgaben des DSB beinhalten u.a. die Kontrolle der eingesetzten und geplanten Systeme auf eine sichere Datenverarbeitung und arbeitet auf die Einhaltung der Vorgaben aus dem BDSG hin.
Generell ist eine derartige Kontrollinstanz für Unternehmen empfehlenswert. Hierzu könnten sich die Maßnahmen des DSB auch auf andere sensiblen Daten übertragen lassen.

Auslagerung von Daten

Werden PBD durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber laut §11 für die Einhaltung des BDSG verantwortlich. Mit dem Auftragnehmer soll schriftlich ein Vertrag verfasst werden, im welchem der Umgang mit den übermittelten Daten geregelt ist. Des Weiteren werden die Rückgabe der Datenträger und Löschung der gespeicherten Daten nach dem Auftrag geregelt. Dies ist auch anzuwenden, wenn die Prüfung oder Wartung von automatisierten Verfahren oder Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird, und ein Zugriff auf PBD nicht ausgeschlossen werden kann.
Generell sollten so wenige Daten wie möglich übermittelt werden. Da dies aber doch von Zeit zu Zeit nötig ist, empfiehlt sich eine gründliche Vertragsgestaltung, dass diese Daten nicht missbraucht werden können. Solche Verträge sollten auch aufgesetzt werden, wenn Dritte in das Unternehmen kommen und Zugriff auf Daten erhalten. Hier handelt es sich beispielsweise um Servicetechniker eines Systemherstellers.