Wie steht es um den Datenschutz in Ihrem Unternehmen?Werden in Ihrem Unternehmen personenbezogene Daten verarbeitet ?
Verkürzt gesagt: wenn Sie nicht nur ganz privat mit persönlichen Daten umgehen, gilt die
Datenschutzgesetze (Datenschutz-Grundverordnung und neues Bundesdatenschutzgesetz;
personenbezogene Daten sind nicht nur Namen, Geburtsdaten und Adressen, sondern auch bspw.
Steuernummern. In Ihrem Unternehmen werden gewiss zumindest personenbezogene
Daten von Beschäftigten und Kunden verarbeitet.
Sind mit der automatisierten Verarbeitung personenbezogener Daten mehr als neun Personen befasst?
Bei der Zählung werden alle - vom Praktikanten bis zum Vorstand - berücksichtigt. Ggf. ist Ihr
Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen.
Unterhalten Sie ein Verzeichnis aller Verarbeitungstätigkeiten?
Für die sachgemäße Bearbeitung vieler datenschutzrechtlicher Bereiche ist es unerlässlich, ein
Verarbeitungsverzeichnis zu erstellen, welches den Aufsichtsbehörden auf Anfrage auch vorgelegt
werden muss.
Sind alle Beschäftigten, die personenbezogene Daten bearbeiten, auf Vertraulichkeit verpflichtet?
Beschäftigte, die bei der Datenverarbeitung beschäftigt sind, sollten bereits bei der
Tätigkeitsaufnahme auf Vertraulichkeit - möglichst schriftlich - verpflichtet werden.
Werden Ihre Mitarbeiter regelmäßig zu Datenschutzthemen geschult?
Bei der Verarbeitung personenbezogener Daten tätige Personen sind durch geeignete Maßnahmen
mit den Datenschutzvorschriften und -erfordernissen vertraut zu machen.
Ist kein Datenschutzbeauftragter bestellt, hat die Unternehmensleitung dies anderweitig sicherzustellen.
Werden Verarbeitungen personenbezogener Daten ausgelagert, z. B. Wartungsarbeiten, Datenträgerentsorgung, Rechenzentrumleistungen usw.?
Es kann sog. Auftragsverarbeitung vorliegen, die allerdings - um gesetzeskonform zu sein -
einen speziellen Vertrag sowie die sorgfältige Auswahl und Kontrolle des beauftragten Dienstleisters
voraussetzt.
Gibt es Richtlinien über die (ggf. auch private) Nutzung von Internet und E-Mail-Diensten am Arbeitsplatz?
Gestatten Unternehmen ihren Mitarbeitern bspw. die private Nutzung des dienstlichen
E-Mail-Accounts werden sie zu „Diensteanbietern“ im Sinne des Telekommunikationsgesetzes.
Ein Zugriff auf den E-Mail-Zugang des Mitarbeiters kann dann eine Verletzung des
Fernmeldegeheimnisses und damit eine Straftat darstellen.
Sind verbindliche Fristen zur Löschung personenbezogener Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen festgelegt?
Personenbezogene Daten sind grundsätzlich zu löschen, wenn ihre Speicherung nicht mehr erforder-
lich ist, etwa wenn ein Geschäft abgewickelt ist. Andererseits ist das Unternehmen gehalten,
handels- oder steuerrechtliche Aufbewahrungsfristen einzuhalten.
Wie wird bei Wartung bzw. Fernwartung von Systemen sichergestellt, dass Dienstleister nicht unbefugt auf personenbezogene Daten zugreifen?
Bei der Inanspruchnahme von Wartungsfirmen bleibt Ihr Unternehmen voll verantwortlich für den
Schutz der personenbezogenen Daten. Wartungsfirmen müssen daher – nachweislich -
sorgfältig ausgewählt sein und denselben datenschutzrechtliche Anforderungen genügen, wie sie
an Ihr Unternehmen gestellt werden.
Existiert ein Berechtigungskonzept für Benutzer und Gruppen?
Es gehört zu den Pflichten des Unternehmens, durch geeignete technische und organisatorische
Maßnahmen zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und berechtigt
zum Zugriff soll ein Mitarbeiter nur sein, sofern dies für die Erfüllung seiner Aufgaben erforderlich ist.
Sind die gesetzlichen Vorgaben auf Ihrer Internetseite umgesetzt?
Von Webseitebesuchern werden - mitunter unmerklich - Daten erhoben. Diese sind daher bei
Erhebung umfassend über alle Vorgänge zu informieren ("Datenschutzerklärung").
Verstöße können Abmahnungen zur Folge haben.
► Achtung! Es genügt meistens nicht, "alles richtig zu machen"; Sie müssen dies auch belegen
können. Nur mit Dokumentationen können Sie - als "Verantwortlicher" - sich mit Blick
auf ein Organisationsverschulden exkulpieren und Ihren gesetzlichen Nachweispflichten nach-
kommen.
Werden in Ihrem Unternehmen personenbezogene Daten verarbeitet ?
Verkürzt gesagt: wenn Sie nicht nur ganz privat mit persönlichen Daten umgehen, gilt die
Datenschutzgesetze (Datenschutz-Grundverordnung und neues Bundesdatenschutzgesetz;
personenbezogene Daten sind nicht nur Namen, Geburtsdaten und Adressen, sondern auch bspw.
Steuernummern. In Ihrem Unternehmen werden gewiss zumindest personenbezogene
Daten von Beschäftigten und Kunden verarbeitet.
Sind mit der automatisierten Verarbeitung personenbezogener Daten mehr als neun Personen befasst?
Bei der Zählung werden alle - vom Praktikanten bis zum Vorstand - berücksichtigt. Ggf. ist Ihr
Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen.
Unterhalten Sie ein Verzeichnis aller Verarbeitungstätigkeiten?
Für die sachgemäße Bearbeitung vieler datenschutzrechtlicher Bereiche ist es unerlässlich, ein
Verarbeitungsverzeichnis zu erstellen, welches den Aufsichtsbehörden auf Anfrage auch vorgelegt
werden muss.
Sind alle Beschäftigten, die personenbezogene Daten bearbeiten, auf Vertraulichkeit verpflichtet?
Beschäftigte, die bei der Datenverarbeitung beschäftigt sind, sollten bereits bei der
Tätigkeitsaufnahme auf Vertraulichkeit - möglichst schriftlich - verpflichtet werden.
Werden Ihre Mitarbeiter regelmäßig zu Datenschutzthemen geschult?
Bei der Verarbeitung personenbezogener Daten tätige Personen sind durch geeignete Maßnahmen
mit den Datenschutzvorschriften und -erfordernissen vertraut zu machen.
Ist kein Datenschutzbeauftragter bestellt, hat die Unternehmensleitung dies anderweitig sicherzustellen.
Werden Verarbeitungen personenbezogener Daten ausgelagert, z. B. Wartungsarbeiten, Datenträgerentsorgung, Rechenzentrumleistungen usw.?
Es kann sog. Auftragsverarbeitung vorliegen, die allerdings - um gesetzeskonform zu sein -
einen speziellen Vertrag sowie die sorgfältige Auswahl und Kontrolle des beauftragten Dienstleisters
voraussetzt.
Gibt es Richtlinien über die (ggf. auch private) Nutzung von Internet und E-Mail-Diensten am Arbeitsplatz?
Gestatten Unternehmen ihren Mitarbeitern bspw. die private Nutzung des dienstlichen
E-Mail-Accounts werden sie zu „Diensteanbietern“ im Sinne des Telekommunikationsgesetzes.
Ein Zugriff auf den E-Mail-Zugang des Mitarbeiters kann dann eine Verletzung des
Fernmeldegeheimnisses und damit eine Straftat darstellen.
Sind verbindliche Fristen zur Löschung personenbezogener Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen festgelegt?
Personenbezogene Daten sind grundsätzlich zu löschen, wenn ihre Speicherung nicht mehr erforder-
lich ist, etwa wenn ein Geschäft abgewickelt ist. Andererseits ist das Unternehmen gehalten,
handels- oder steuerrechtliche Aufbewahrungsfristen einzuhalten.
Wie wird bei Wartung bzw. Fernwartung von Systemen sichergestellt, dass Dienstleister nicht unbefugt auf personenbezogene Daten zugreifen?
Bei der Inanspruchnahme von Wartungsfirmen bleibt Ihr Unternehmen voll verantwortlich für den
Schutz der personenbezogenen Daten. Wartungsfirmen müssen daher – nachweislich -
sorgfältig ausgewählt sein und denselben datenschutzrechtliche Anforderungen genügen, wie sie
an Ihr Unternehmen gestellt werden.
Existiert ein Berechtigungskonzept für Benutzer und Gruppen?
Es gehört zu den Pflichten des Unternehmens, durch geeignete technische und organisatorische
Maßnahmen zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und berechtigt
zum Zugriff soll ein Mitarbeiter nur sein, sofern dies für die Erfüllung seiner Aufgaben erforderlich ist.
Sind die gesetzlichen Vorgaben auf Ihrer Internetseite umgesetzt?
Von Webseitebesuchern werden - mitunter unmerklich - Daten erhoben. Diese sind daher bei
Erhebung umfassend über alle Vorgänge zu informieren ("Datenschutzerklärung").
Verstöße können Abmahnungen zur Folge haben.
► Achtung! Es genügt meistens nicht, "alles richtig zu machen"; Sie müssen dies auch belegen
können. Nur mit Dokumentationen können Sie - als "Verantwortlicher" - sich mit Blick
auf ein Organisationsverschulden exkulpieren und Ihren gesetzlichen Nachweispflichten nach-
kommen.