Meine Antwort

Sprechen oder schreiben Sie mit der KI wie mit einen externen Menschen und berücksichtigen alle Datenschutzvorschriften für den Umgang mit unternehmensexternen Personen. Achten Sie darauf, dass Sie in Ihren Fragen, die Sie an die KI richten, weder direkt noch indirekt Bezug auf eine Person nehmen. Sie dürfen keinesfalls Fragen stellen, aus denen die KI Schlussfolgerungen auf Geschäftsgeheimnisse Ihres Arbeitgebers ziehen könnte.

Meine Antwort

Datenschutzfolgenabschätzungen sind zentrale Bestandteile eines effektiven Datenschutzmanagements. Ziel ist es, gesetzliche Anforderungen zuverlässig umzusetzen und bestehende Prozesse abzusichern. Durch professionelle Analyse, Dokumentation und Beratung wird Transparenz geschaffen, Risiken werden identifiziert und passende Maßnahmen erarbeitet. Die Umsetzung erfolgt praxisnah und orientiert sich an den individuellen Anforderungen des Unternehmens.

Weiterführende Beiträge

• Datenschutzfolgenabschätzung

Meine Antwort

IT-Security-Audit mit Erstellung der TOMs sind zentrale Bestandteile eines effektiven Datenschutzmanagements. Ziel ist es, gesetzliche Anforderungen zuverlässig umzusetzen und bestehende Prozesse abzusichern. Durch professionelle Analyse, Dokumentation und Beratung wird Transparenz geschaffen, Risiken werden identifiziert und passende Maßnahmen erarbeitet. Die Umsetzung erfolgt praxisnah und orientiert sich an den individuellen Anforderungen des Unternehmens.

Weiterführende Beiträge

• IT-Security-Audit

Meine Antwort

Ja, denn auch für solche schriftlichen Akten kann ein ein Löschanspruch gemäß Artikel 17 der DS-GVO in Betracht gezogen werden. Dabei hat z. B. das LAG BW betont, dass die DS-GVO keine ausdrückliche Anforderung an eine elektronische Datenverarbeitung stellt. Es reicht aus, dass eine strukturierte Sammlung personenbezogener Daten vorliegt, die nach bestimmten Kriterien zugänglich ist. In diesem Zusammenhang ist die einheitliche und gleiche Gestaltung der Akten von entscheidender Bedeutung, was in Akten, die nach Personen gegliedert sind, immer der Fall ist.

Meine Antwort

Das Double-Opt-In-Verfahren ist ein Mechanismus, der häufig im E-Mail-Marketing und bei der Online-Registrierung verwendet wird, um sicherzustellen, dass eine Person wirklich den Wunsch hat, Informationen oder Dienstleistungen zu abonnieren. Es dient als zusätzliche Sicherheitsstufe, um sicherzustellen, dass Anmeldungen tatsächlich von der E-Mail-Inhaber:in gewünscht sind und um unerwünschte Anmeldungen oder Spam zu vermeiden.

Weiterführende Beiträge

• Darf mein/e Stellvertreter/in Einblick in „meine“ Daten nehmen?
• Darf ich Personendaten in einer Cloud speichern?
• Darf mein/e Stellvertreter/in Einblick in „meine“ Daten nehmen?

Meine Antwort

Üblicherweise stellt Ihnen Ihr Arbeitgeber für die Arbeit im Homeoffice eine Arbeitsumgebung für Ihren privaten PC zur Verfügung, mit der Sie in Ihrer üblichen Netzwerkumgebung des Unternehmens arbeiten können. Genau darauf müssen Sie sich demnach auch beschränken. Eine Verarbeitung/Weiterleitung von betrieblichen Daten -insbesondere Personendaten- mit einer anderen Arbeitsumgebung, wie z. B. Ihrem Smartphone oder Tablet ist in der Regel verboten, da Sie so alle technischen Sicherheitsvorkehrungen umgehen.

Meine Antwort

Bewerbungen, die im Unternehmen eingehen, dürfen auch ohne Genehmigung der BewerberInnen zur Bearbeitung an die Personalabteilung und an weitere Personen, die am Einstellungs- oder Entscheidungsprozess beteiligt sind, weitergeleitet werden. Eine Weiterleitung an andere möglicherweise interessierte Unternehmen könnte zwar im Sinne der BewerberInnen sein, darf aber nur mit Genehmigung der BewerberInnen durchgeführt werden.

Meine Antwort

Ein Fax wird grundsätzlich nicht im gesicherten Format übertragen, so dass dieses Medium vor für die Weiterleitung von Personendaten an Einrichtungen und Unternehmen außerhalb Ihres Telefonnummernkreises ungeeignet ist. Ein Fax sollte daher nur in dringenden Notfällen (Gefahr für Gesundheit oder Leben eines Menschen) verwendet werden. Das Fax innerhalb Ihres Standortes an eine andere Nebenstelle ist grundsätzlich gestattet, sofern die Empfänger überhaupt berechtigt sind, auf diese Daten zuzugreifen. Ein Risiko besteht immer auch in der in der Unsicherheit über die Umgebungsbedingungen beim Empfänger. Sicherheitshalber sollte vorher immer geklärt werden, wo das Fax ankommt und wer ggf. Zugriff auf das Dokument haben könnte.

Meine Antwort

Wenn externe Dienstleister, wie z. B. Rechenzentren, Softwarehäuser und sonstige IT-Dienstleister oder auch niedergelasse Praxen, Labors etc. für Ihr Unternehmen Dienstleistungen erbringen und im Rahmen dieser Tätigkeit für Sie Daten verarbeiten oder nutzen, ist dazu der Abschluss einer gesonderten "Vereinbarung zur Auftragsverarbeitung" vorgeschrieben. Da an die Inhalte einer derartigen Vereinbarungen gesetzlich vorgeschriebene Anforderungen gestellt werden, existieren für derartige Fälle in der Regel Standardvertragsformulare Ihres Unternehmens. Sofern ein derartiger Vertrag zur "Aufragsverarbeitung" vorliegt, benötigen Sie für die Weitergabe von Daten an diese Dienstleister keine Genehmigung der betroffenen Personen. Für die Ausarbeitung derartiger Verträge sollte immer die/der Datenschutzbeauftragte hinzugezogen werden.

Meine Antwort

Wenn absehbar ist, dass die Daten von BewerberInnen nicht mehr benötigt werden, da es sicher nicht zu einer Einstellung dieser Person kommen wird, dürfen diese Bewerberdaten nur noch mit ausdrücklicher Genehmigung dieser Person gespeichert bleiben oder aufbewahrt werden.

Weiterführende Beiträge

• Blogbeitrag: Bewerberdaten: was Unternehmen wissen müssen

Meine Antwort

Verantwortliche sind gesetzlich verpflichtet, zu dokumentieren, wer wann welche Daten wie verarbeitet hat (erfassen, speichern, weiterleiten, offenbaren, drucken etc.). Dies soll natürlich nicht mit einem hangeschriebenen Logbuch der AnwenderInnen geschehen. Vielmehr erledigen dies Softwareprogramme im Hintergrund automatisch. Das ist allerdings nur möglich, wenn AnwenderInnen sich ordnungsgemäß mit einer persönlichen User-Id am System authentifizieren.

Meine Antwort

Passwörter müssen grundsätzlich so beschaffen sein, dass eine andere Person dieses Passwort nur mit außerordentlich hohem Zeitauf und unter Zuhilfenahme von Passworttools herausfinden kann. Wenn kürzere Passwörter verwendet werden, sollten diese möglichst komplex aufgebaut sein (grosse+kleine Buchstaben+Zahlen+Sonderzeichen). Aber auch einfacher zu merkende, sehr lange Sätze, die Dritte nicht nachvollziehen können, sind sehr schwer durch Dritte herauszufinden.

Meine Antwort

Für viele Dokumente und Daten gelten gesetzlich vorgeschriebene Aufbewahrungsfrsiten, die grundsätzlich einzuhalten sind. Darüber hinaus werden mit KundInnen oder PatientInnen, Betreuten, Klienten etc. ggf. auch längere Aufbewahrungsfristen vereinbart. Über den nachfolgenden Link kommen Sie auf eine Seite mit bekannten Aufbewahrungsfristen.

Meine Antwort

Datenträger wie z. B. CDs, DVDs, USB-Sticks, Speicherkarten, externe Festplatten etc., die vernichtet werden sollen, müssen grundsätzlich fachgerecht vernichtet werden. Daher sollten Sie dazu grundsätzlich Ihre IT-Verantwortlichen einbeziehen.

Meine Antwort

Wenn wir von externen Personen angerufen werden, dürfen wir grundsätzlich keine Personendaten telefonisch weitergeben. Anrufern sollten wir raten, ihre Nachfragen schriftlich oder per eMail einzureichen. Eine Weitergabe von Personendaten per Telefon darf nur erfolgen, wenn wir selbst als Anrufer ein Telefonat initiieren und wir sicher sind, dass wir mit einer Person telefonieren, die diese Informationen erhalten darf.

Meine Antwort

Angehörige von volljährigen Personen haben nicht grundsätzlich einen Anspruch auf Auskunft über ihre Angehörigen, deren Daten in Ihrem Unternehmen verarbeitet werden. Sie benötigen dazu immer eine entsprechende Einwilligungserklärung, Schweigepflichtentbindung oder auch eine Vorsorgevollmacht.

Meine Antwort

Wenn Personendaten die in einer Cloud gespeichert werden sollen, ist dies nur gestattet, wenn mit dem Dienstleister (Cloud-Anbieter) eine Vereinbarung zur Auftragsverarbeitung abgeschlossen wurde. Auskunft dazu erhalten Sie in der Regel bei Ihren IT-Verantwortlichen oder Ihrem/r Datenschutzbeauftragten.

Meine Antwort

Die Personendaten, die ich verwalte, dürfen innerhalb meines Unternehmens grundsätzlich nur von den Personen eingesehen werden, die diese Daten für die Wahrnehmung ihrer Aufgabe benötigen. Wenn ich mit KollegInnen in einem Raum zusammenarbeite, die keine Berechtigung haben, Einblick in meine Datene zu nehmen, muss ich auch entsprechende Schutzvorkehrungen gegen unberechtigte Einsichtnahme treffen (z. B. Einrichtung eines passwortgeschützten Bildschirmschoners, sichere Verwahrung meiner Dokumente etc.)

Meine Antwort

Grundsätzlich sollten alle Beschäftigten ihre Daten nicht auf einer lokalen Festplatte sondern auf einem Laufwerk oder einem Gruppenlaufwerk im Netzwerk des Arbeitgebers speichern. Wenn dies befolgt wird, werden diese Daten meist auch automatisch gesichert, so dass sie im Falle eines Datenverlustes ggf. wiederhergestellt werden können. Wenn dies nicht gewährleistet werden kann, sind alle Beschäftigten persönlich dafür verantwortlich, dass verarbeitete Personendaten ordnungsgemäß gesichert werden.

Meine Antwort

Wenn Sie Personendaten per Hauspost versenden, müssen Sie bitte sicherstellen, dass die Daten während des Transports von Unberechtigten nicht eingesehen werden können. Die Daten sollten dazu immer in einem verschlossen​ Briefumschlag transportiert werden.

Meine Antwort

Grundsätzlich gilt für viele Bereiche, dass Kunden vor Beginn der Verarbeitung ihrer Daten eine Einwilligungserklärung zum Datenschutz unterschreiben müssen. Wenn zur Verarbeitung ihrer Daten keine Einwilligungserklärung gefordert ist, müssen die Betroffenen jedoch immer eine Datenschutzerklärung erhalten, in der Sie über die Verabreitung ihrer Daten und ihre Rechte informiert werden.

Meine Antwort

Dies ist in den meisten Unternehmen grundsätzlich untersagt, da dadurch sowohl rechtliche als auch technische Probleme entstehen könnten, die Sie als AnwenderIn nicht einschätzen können. Dies gilt übrigens auch für die Nutzung von webbasierten Programmen oder webbasierten Dateneingaben in einem Webformular eines externen Dienstleisters. Auch in einem solchen Fall ist es ggf. erforderlich, dass Ihr Arbeitgeber vor Beginn Ihrer Arbeit mit diesem Diesntleister eine Vereinbarung abschließt. Wenden Sie sich in einem solchen Fall an IT-Verantwortliche oder den Datenschutzbeauftragten.

Meine Antwort

Wenn Sie unterwegs oder zuhause mit einem Dienstgerät des Arbeitgebers oder mit einem privaten Gerät dienstliche Daten verarbeiten, müssen Sie gewährleisten, dass ausreichende Sicherheitsvorkehrungen getroffen sind, um die dienstlichen Daten und Geräte zu schützen vor z.B. unberechtigtem Zugriff und Diebstahl. Bitte nutzen Sie in diesem Zusammenhang ausschließlich sichere Netzwerk- und WLAN-Verbindungen. und halten Sie die installierten bzw. vereinbarten Sicherheitsvorkehrungen aufrecht.

Meine Antwort

Wenn Polizeibeamte z.B. direkt in der Personalabteilung eines Unternehmens oder der Station eines Krankenhauses erscheinen und nach Namen oder Adressen von Personen fragen, da sie wegen eines Deliktes ermitteln müssten, sind wir nur in wenigen Ausnahmefällen befugt, diese Informationen herauszugeben. Im Gesundheitswesen dürfen wir derartig angeforderte Informationen keinesfalls ohne Zustimmung der Betroffenen herausgeben.

Meine Antwort

Wenn betroffene Personen (Kunden, Patienten, Klienten, Betreute, Schüler, Beschäftigte) Einsicht, Korrektur, Weitergabe oder Löschung Ihrer im Unternehmen verarbeiteten Daten verlangen, sollten Sie sich dieses Begehren grundsätzlich schriftlich oder per eMail geben lassen und leiten dies am besten an Ihre/n Datenschutzbeauftragte/n.

Meine Antwort

Dazu sollte immer eine schriftliche Erklärung der betroffenen Person eingeholt werden. Meist exisitieren dafür prozessorientierte Formulare im Unternehmen. Ansonsten sollten Sie diese von Ihrer/m Datenschutzbeauftragten anfordern.

Meine Antwort

Das Datenschutzgesetz gebietet, dass wir Personendaten grundsätzlich gesichert transportieren und Personendaten in eMails demnach versc​hlüsseln müssen. Falls also z. B. mit Outlook oder anderen elektronischen Hilfsmitteln Personendaten weitergeleitet werden sollen, sollten diese sich in gesonderten Dateien wie z. B. WORD-, PDF- oder ZIP-Dateien befinden und verschlüsselt werden. Die Mitteilung des zugehörigen Passworts der verschlüsselten Datei an den Empfänger der eMail sollte mit gesonderter eMail, SMS oder auch telefonisch oder schriftlich erfolgen.

Meine Antwort

Bei fast jedem Tool für Videokonferenzen, ob Skype, TEAMS oder sonstige spezielle Tools wie z. B. für Videosprechstunden, werden Daten über Server in ausländischen Staaten, oft auch außerhalb der EU, geleitet. Dabei gehen für die Teilnehmenden immer auch entscheidende Persönlichkeitsrechte verloren. Daher ist eine Teilnahme immer nur möglich, wenn die Teilnehmenden sich dessen bewusst sind und in diesem Bewusstsein einer Teilnahme zustimmen. Wenn Sie zu einem Termin für eine Videokonferenz einladen, sollte Sie der Einladung immer eine entsprechende Erklärung beifügen.

Meine Antwort

Grundsätzlich schulden wir jeder Person, deren Daten wir bei Ihnen direkt oder mittelbar bei anderen erheben, eine entsprechende Datenschutzerklärung, also auch den BewerberInnen.

Meine Antwort

Die verantwortlichen Unternehmen bzw. Inhaber von Personengesellschaften oder Einzelunternehmen (Verantwortliche) müssen in jedem der folgenden Fälle eine/n Datenschutzbeauftragte/n (DSB) bestellen:
- Wenn regelmäßig mindestens 20 Personen mit Personendaten umgehen oder
- Behörden (außer Gerichte) oder
- wenn die Kerntätigkeit aus einer Datenverarbeitung besteht, die eine regelmäßige, umfangreiche und systematische Überwachung von betroffenen Personen erforderlich macht und die Erreichung der Unternehmensziele oder der Ziele eines Unternehmensbereiches ohne den Einsatz von IT nicht möglich ist oder
- wenn die Kerntätigkeit aus einer umfangreichen Verarbeitung von z. B. Gesundheitsdaten besteht und ohne den Einsatz von IT nicht möglich ist oder
- wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat

Zusammenfassend kann also festgehalten werden:
Wenn die Unterstützung des Verantwortlichen bei Umsetzung und Einhaltung der DSGVO durch einen Datenschutzbeauftragten geboten ist, dann liegt auch eine Bestellpflicht vor. Ich habe z. B. medizinische Labore mit weniger als 20 Beschäftigten kennengelernt, die keine/n Datenschutzbeauftragte/n bestellt hatten. Diese wären aber aufgrund der anderen o. g. Kriterien dennoch zur Bestellung einer/s Datenschutzbeauftragten verpflichtet gewesen, da nicht eine einzige Laborleistung ohne Anwendung von IT möglich wäre.

Meine Antwort

Um einem weit verbreiteten Irrtum entgegenzutreten: Nur weil für ein verantwortliches Unternehmen bzw. für eine/n Inhaber/in von Personengesellschaften oder Einzelunternehmen (Verantwortliche) keine gesetzliche Pflicht zur Bestellung eines/r Datenschutzbeauftragten besteht, darf es die Datenschutzvorschriften der DSGVO nicht ignorieren. Die Praxis zeigt, dass insbesondere bei den Verantwortlichen, die keine/n Datenschutzbeauftragten bestellen müssen, die Umsetzung der DSGVO-Vorschriften am häufigsten und am meisten ignoriert wird. So besteht auch für kleinere Unternehmen die Möglichkeit, einmalig eine/n Datenschutzbeauftragte/n zu bestellen, um zumindest alle formalen Vorschriften zu erfüllen.

Gerade die externen Datenschutzbeauftragten, die sich beruflich auf diese Form der Beratung spezialisiert haben, besitzen umfangreiche Expertise in juristischen sowie technischen und organisatorischen Fragen. Externe Datenschutzbeauftragte sind kein verlängerter Arm des Gesetzes sondern Berater der Verantwortlichen. Sie können die Angemessenheit der Sicherheitsvorkehrungen in der IT genauso beurteilen wie knifflige juristische Fragen im Datenschutzrecht und sind zudem meist gut ausgebildet, um die Organisationsentwicklung im Unternehmen und die Awareness für Datenschutz effektiv zu unterstützen.