Hallo Ihr Lieben,
mein Boss macht mit uns den Datentest von DatGuard, den man nur empfehlen kann, hier mal ein paar Auszüge zum lesen.
Inhaltsübersicht:
Wann darf ich Daten verarbeiten?
Grundsätzlich gilt: Nachdem jemand klar ersichtlich und freiwillig die Erlaubnis gibt, dass seine Daten verarbeitet werden dürfen, ist die Verarbeitung zulässig.
Eine Erlaubnis kann jedoch nur erteilt werden, nachdem derjenige zuvor umfassend und in verständlicher Weise aufgeklärt wurde. Freiwillig heißt hier, dass der Person keine Nachteile entstehen dürfen, wenn er oder sie nicht zustimmt (z. B. dadurch, dass ein Produkt teurer ist, wenn ich nicht zustimme).
Zudem dürfen Sie nicht einfach alle möglichen Daten erheben, die Sie gar nicht wirklich für eine Zusammenarbeit benötigen (“Grundsatz der Datenminimierung”).
Wichtig ist außerdem, dass die Person, deren Daten Sie nutzen wollen, ihre Einwilligung aktiv erklärt. Das heißt, sie können nicht einfach davon ausgehen, dass die Person zustimmt, nur weil sie nicht widerrufen hat. Da Sie ggf. nachweisen müssen, dass die Person zugestimmt hat, sollten Sie die Einwilligung schriftlich oder elektronisch festhalten.
Der Text, der erklärt welche Daten von wem, wozu verarbeitet werden sollen (“Datenschutzerklärung”), muss in klarer einfacher Sprache verfasst werden.
Hat jemand einmal der Verarbeitung zugestimmt, ist diese Einwilligung bis auf Widerruf durch die betroffene Person gültig. Widerruft jemand seine Einwilligung, dürfen Sie dessen Daten im Anschluss nicht mehr verarbeiten.
Eine Verarbeitung von Daten aufgrund einer Einwilligung ist also zulässig wenn…
- eine Person freiwillig und aktiv der Verarbeitung zugestimmt hat
- die Person zuvor umfassend und verständlich aufgeklärt wurde
- der Person keine Nachteile entstehen würden, falls sie nicht zustimmt
- Sie die Einwilligung schriftlich oder elektronisch festhalten
- Sie nur die Daten erheben, die Sie tatsächlich benötigen
- der Einwilligung durch die Person nicht widerrufen wurde
Welche Rechte haben Menschen, deren Daten Sie verarbeiten?
Das Gesetz gewährt Menschen, deren Daten Ihr Unternehmen verarbeitet (sogenannte “Betroffene”), weitreichende Rechte. Sie bzw. Ihr Unternehmen sind verpflichtet, diese Rechte zu achten.
Noch bevor ihre Daten erhoben werden, müssen Betroffene darüber informiert werden, wie, warum und wofür die Erhebung der Daten vorgenommen wird. Dies geschieht üblicherweise durch eine Datenschutzerklärung.
Sollten Betroffene nachfragen, welche Daten über sie vorliegen und wie diese durch Ihr Unternehmen verarbeitet werden, muss Ihr Unternehmen binnen eines Monats eine Auskunft erteilen. Eine solche Auskunft ist zunächst kostenlos zu erteilen. Nur bei wiederholten Anfragen dürfen die Verwaltungskosten in Rechnung gestellt werden.
Wie oben beschrieben, ist Ihr Unternehmen verpflichtet, personenbezogene Daten zu korrigieren, sollte sich herausstellen, dass diese fehlerhaft sind. Betroffene Personen können auch eine Korrektur unrichtiger, unvollständiger oder überholter Daten einfordern.
Auch kann eine betroffene Person verlangen, dass sämtliche erhobenen personenbezogenen Daten in Zukunft nicht mehr für bestimmte Zwecke verarbeitet werden dürfen oder dass sie gelöscht werden müssen.
Eine betroffene Person hat überdies das Recht, die über sie gespeicherten Daten in einem strukturierten, einfach nutzbaren maschinenlesbaren Format bereitgestellt zu bekommen, z. B. in Form einer von gängiger Software lesbaren Tabellen-Datei. Dadurch sollen beispielsweise Anbieterwechsel erleichtert werden.
Betroffene Personen haben also das Recht…
- vorab zu erfahren, wie, warum und wofür Sie ihre Daten erheben
- kostenlos Auskunft zu erhalten, welche Daten Sie bereits erhoben haben
- falsche Daten von Ihnen korrigieren zu lassen
- die Verarbeitung für bestimmte Zwecke einzuschränken
- ihre Daten löschen zu lassen
- ihre Daten strukturiert und maschinenlesbar bereitgestellt zu bekommen
So vermeiden Sie Probleme beim Datenschutz und dessen Anwendung:
Die meisten Datenschutzprobleme ergeben sich dadurch, dass einfache Verhaltensregeln nicht beachtet werden.
Am Arbeitsplatz
Wenn Sie Ihren Arbeitsplatz in der Mittagspause verlassen, stellen Sie sicher, dass Ihr Computer gesperrt ist. Lassen Sie keine Unterlagen mit personenbezogenen Daten offen herumliegen. Gleiches gilt für Schlüssel, mit denen man Aktenschränke öffnen kann. Nehmen Sie betriebliche Geräte besser nicht mit nach Hause oder in den Urlaub.
Digitales Arbeiten
Das bekannteste Thema im Hinblick auf Datenschutz und Datensicherheit sind Passwörter. Verwenden Sie keine zu einfachen Passwörter und ändern Sie diese regelmäßig. Bei der Verwendung öffentlicher WLAN-Netze können ggf. Passwörter ausgelesen werden. (Achten Sie bei öffentlichen WLAN-Netzen darauf, dass die Verbindung SSL-verschlüsselt ist.)
Achten Sie zudem darauf, personenbezogene Daten nicht mit Kollegen zu teilen, die keine entsprechende Zugangsberechtigung haben bzw. diese nicht benötigen. Nicht jeder Mitarbeiter sollte pauschal auf alles Zugriff haben.
Emails
Seien Sie besonders sorgsam bei der Weiterleitung von langen Email Unterhaltungen. Meistens ist nicht alles für alle Empfänger relevant und manchmal kann es für Sie oder ihre Kollegen peinlich werden, zu viele Empfänger mit Informationen zu versorgen die nur einige Wenige bestimmt waren.
Seien Sie zudem vorsichtig bei der Nutzung der Cc- bzw. Bcc-Funktion Ihres Email-Programms. Emails an einen größeren Personenkreis sollten grundsätzlich “Bcc” versandt werden, sodass die Email-Adressen der Empfänger nicht einsehbar sind.
In der Öffentlichkeit
Telefonate in der Bahn, im Restaurant oder in einem Wartebereich können leicht von anderen mitgehört werden. Wenn sie sich nicht vermeiden lassen, versuchen Sie im Gespräch auf Namen von Personen oder Unternehmen zu verzichten.
Seien Sie zudem vorsichtig beim Abruf beruflicher Nachrichten auf privaten Endgeräten und löschen Sie diese ggf. nach dem Lesen.
Wenn Sie USB-Sticks nutzen, seien Sie besonders vorsichtig, keine personenbezogenen Daten dauerhaft auf diesen zu speichern, da diese gerne einmal irgendwo liegen bleiben.
So vermeiden Sie Probleme (2/2)
Berufliche Nutzung privater Endgeräte
In über der Hälfte aller deutschen Unternehmen wird die Nutzung privater Endgeräte (z.B. Handys) zu Unternehmenszwecken bereits geduldet bzw. akzeptiert. Privates und Berufliches lassen sich zunehmend schwieriger klar voneinander trennen. Die Vorteile liegen auf der Hand: die Mitarbeiter sind mit dem Gerät vertraut und können vieles schnell und unkompliziert erledigen.
Aus Datenschutzsicht besteht jedoch das Problem, dass die Einwilligung zur Datenverarbeitung eines Kunden sich nur auf das Unternehmen bezieht und nicht automatisch die Weiterleitung von Daten auf das private Handy eines Mitarbeiters einschließt. Sprechen Sie mit Ihrem Datenschutzbeauftragten über Möglichkeiten, dieses Problem zu lösen.
Passwortklau (“Phishing”)
Phishing ist ein Kunstbegriff aus den Worten “password” und “fishing”. Hierbei versuchen Menschen durch das Vorspielen falscher Tatsachen an Passwörter oder Zugangsdaten heranzukommen. Häufig werden hierfür Webseiten und Eingabeformulare nachgebaut.
Wenn Sie eine Email erhalten, die Sie aus irgendwelchen Gründen dazu auffordert, Ihre Zugangsdaten oder Ihr Passwort einzugeben, prüfen Sie stets genau die Adresse des Absenders und auch die Internetadresse, auf die Sie gelangen, wenn Sie einen Link in der Email anklicken.
Häufig werden Sie feststellen, dass die Email- und Internet-Adresse nur so ähnlich lautet, wie die offiziellen Adressen des jeweiligen Anbieters, sich aber doch etwas von ihr unterscheidet. Machen Sie unter diesen Umständen keine Angaben und warnen Sie auch Ihre Kollegen.
Sollte Ihnen erst nach der Eingabe auffallen, dass es sich nicht um eine legitime Seite handelt, ändern Sie unverzüglich das betreffende Passwort, um unbefugten Zugriff mit ihrem alten Passwort zu vermeiden.
Informieren Sie den IT-Verantwortlichen und Ihre Vorgesetzten darüber. Versuchen Sie nicht den Vorfall zu verheimlichen.
Was ist bei der Verarbeitung von Daten zu beachten?
Wenn eine Einwilligung vorliegt, bedeutet dies jedoch nicht, dass Sie mit den Daten machen können was Sie wollen. Wenn Sie Daten nutzen (“verarbeiten”), müssen Sie einige allgemeine Grundsätze beachten:
1. Verarbeitung “nach Treu und Glauben”
Anders formuliert: Handeln Sie nach gesundem Menschenverstand. Jemand anderes sollte nachvollziehen können, warum Sie unter den gegebenen Umständen so gehandelt haben. Fragen Sie sich, ob jemand anderes ihr Handeln als zuverlässig, aufrichtig und rücksichtsvoll beschreiben würde.
2. Transparenz
Handeln Sie nicht heimlich und ohne Wissen derjenigen, deren Daten Sie verarbeiten. Ihre Datenschutzerklärung muss klar darlegen, wie und zu welchem Zweck Ihr Unternehmen Daten verarbeitet.
3. Zweckbindung
Sie dürfen personenbezogene Daten nur für klar und eindeutig festgelegte, legitime Zwecke erheben – das heißt nicht “auf Vorrat”, frei nach dem Motto “falls wir sie irgendwann mal brauchen”.
4. Datenminimierung
Grundsätzlich sollten Sie möglichst wenig personenbezogene Daten sammeln, also nur genau in dem Umfang, der notwendig ist, um sie zweckgemäß zu verarbeiten.
5. Richtigkeit
Personenbezogene Daten sollten sachlich richtig und ggf. aktuell sein. Wenn Sie wissen, dass bestimmte personenbezogene Daten falsch oder nicht mehr aktuell sind, sind Sie verpflichtet, diese unverzüglich zu korrigieren oder zu löschen.
6. Speicherbegrenzung
Personenbezogene Daten müssen so gespeichert werden, dass die betroffene Person nur solange mittels dieser Daten identifiziert werden kann, wie nötig. Das heißt, nur solange diese Daten wirklich gebraucht werden.
7. Integrität und Vertraulichkeit
Personenbezogene Daten müssen sicher gespeichert werden. Das bedeutet zum Beispiel, dass nur diejenigen Zugriff auf sie erhalten, die diesen Zugriff wirklich benötigen. Darüber hinaus muss sicher gestellt sein, dass keine Daten verloren gehen oder aus Versehen weitergegeben werden. Ihr Unternehmen ist in der Pflicht, geeignete Vorkehrungen zu treffen, um dies zu verhindern.
8. Rechenschaftspflicht
Ihr Unternehmen ist nicht bloß zur Einhaltung dieser Grundsätze verpflichtet. Sie müssen auch jederzeit gegenüber Kunden, Behörden und Mitarbeitern nachweisen können, dass Sie diese Grundsätze einhalten.
Überprüfen Sie jeden Datenverarbeitungsprozess, an dem Sie beteiligt sind, kritisch auf diese Grundsätze.
Melden Sie Abweichungen sowie Verbesserungsvorschläge Ihrem bzw. Ihrer Datenschutzbeauftragten.
