Die weit verbreitete Annahme, nur große Unternehmen seien rechtlich zur Einhaltung von Datenschutz- Normen verpflichtet trifft nicht zu. Das Bundesdatenschutzgesetz schließt ebenso kleine Unternehmen, bis hin zur 1-Personen-Firma mit ein und legt ihnen verschiedene Pflichten auf.
Meldepflicht (§ 4d BDSG) – Grundsätzlich ist das Unternehmen verpflichtet automatisierte Verarbeitungen (elektronisch verarbeitete Daten) vor Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. Diese Pflicht entfällt bspw. durch die Bestellung eines Datenschutzbeauftragten, oder wenn das Unternehmen Daten für eigene Zwecke verarbeitet, hierbei höchstens neun Personen beschäftigt sind und eine Einwilligung oder die Nutzung für die Durchführung eines Vertrages erforderlich ist.
Vorabkontrolle (§ 4d Abs. 5 BDSG) – Eine Vorabkontrolle vor Einführung eines Datenverarbeitungsprozesses ist durchzuführen, wenn bspw. besondere personenbezogenen Daten (Gesundheits- und Finanzdaten, politische Meinungen etc.) betroffen sind. Diese Vorabkontrolle ist vom Datenschutzbeauftragten durchzuführen.
Die Pflicht entfällt, wenn zur Verarbeitung eine gesetzliche Pflicht, eine Einwilligung oder die Daten zur
Durchführung eines Vertrages notwendig sind.
Verfahrensverzeichnis (§ 4g Abs. 2 BDSG) – Wenn kein Datenschutzbeauftragter bestellt ist fällt die Pflicht zur Erstellung der Verzeichnisse auf die Geschäftsleitung (§ 4g Abs. 2a BDSG). Zur Erstellung gehören, die in § 4g Abs. 2 BDSG vorgesehenen Übersichten über die Erhebungen, Verarbeitungen und Nutzungen von personenbezogenen Daten: die interne Verarbeitungsübersicht als Arbeitsgrundlage für die Tätigkeit des Datenschutzbeauftragten sowie das öffentliche Verfahrensverzeichnis, das auf Antrag jedermann zugänglich zu machen ist.
Bestellung eines Datenschutzbeauftragten (§ 4f BDSG) – Wenn die Voraussetzungen, des § 4f BDSG erfüllt sind, ist das Unternehmen verpflichtet einen Datenschutzbeauftragten zu bestellen. Dieser kann intern oder extern bestellt werden, wobei organisatorische und wirtschaftliche Gründe meist für eine externe Bestellung sprechen. Ein Datenschutzbeauftragter ist u.a. zu bestellen, wenn mindestens neun Personen mit automatisierter Datenverarbeitung beschäftigt sind; wenn eine Vorabkontrolle im Sinne des § 4d BDSG erforderlich ist; wenn personenbezogene Daten zum Zweck der Übermittlung genutzt werden (bspw. Adresshandel).
Verpflichtung auf das Datengeheimnis (§ 5 BDSG) – Die Geschäftsleitung ist verpflichtet alle Personen, die Daten im Unternehmen verarbeiten auf das Datengeheimnis zu verpflichten. Meist reichen die Standardklauseln im Arbeitsverträgen nicht aus.
Technisch-organisatorische Maßnahmen (§ 9 BDSG) – Unternehmen, gleich welcher Größe sind verpflichtet die dem Schutzzweck der Daten angemessenen technischen und organisatorischen Maßnahmen zu treffen. Hierbei spielt insbesondere der Bereich IT-Sicherheit eine wichtige Rolle.
Rechte der Betroffenen (§ 6 BDSG) – Unternehmen haben den Rechten der Betroffenen auf Benachrichtigung (§ 33 BDSG), auf Auskunft (§§ 19, 34 BDSG) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35 BDSG) binnen einer angemessenen Frist nachzukommen.
GEFAS Datenschutz – Stefan Fischerkeller
service@gefas-datenschutz.de
www.gefas-datenschutz.de
Kommentare
Kommentar veröffentlichen