Unsere FAQ - Bibliothek
Fachwissen praxisnah und verständlich.

Meine Antwort

Warum diese Frage wichtig ist:

Eine fundierte Risikoanalyse ist die Grundlage für alle weiteren Sicherheitsmaßnahmen. Sie hilft, Risiken zu erkennen, zu bewerten und angemessen zu behandeln. Das BSIG fordert ein systematisches Vorgehen, das nicht nur technisch, sondern auch organisatorisch getragen wird.

Hilfreiche Antwort:

Wir haben ein dokumentiertes und etabliertes Verfahren zur Risikoanalyse, das mindestens jährlich durchgeführt wird. Es wird durch aktuelle Bedrohungsinformationen (beispielsweise CERT-Bund, BSI) ergänzt. Die Ergebnisse fließen direkt in unser ISMS ein und werden mit der Geschäftsführung abgestimmt.

Antworten, die weitere Nachfragen erfordern:

• „Das macht unsere IT, da haben wir keinen Überblick.“
• „Wir haben letztes Jahr mal eine Analyse gemacht, das sollte noch passen.“
• „Das ist mit unserer ISO-Zertifizierung schon abgedeckt.“

Meine Antwort

Warum diese Frage wichtig ist:

Risikomanagementmaßnahmen bilden das Herzstück der BSIG-Anforderungen. Ohne klare Strategien zur Behandlung von Risiken (Vermeidung, Minderung, Übertragung, Akzeptanz) und deren kontinuierliche Anpassung an neue Bedrohungen bleiben die Schutzmaßnahmen wirkungslos. Die Geschäftsleitung muss wissen, welche Maßnahmen existieren, wie sie wirken und wie sie dokumentiert werden.

Hilfreiche Antwort:

Wir setzen die in § 30 Absatz 2 BSIG genannten Mindestmaßnahmen um und ergänzen diese durch weitere, auf unsere Einrichtung zugeschnittene Maßnahmen. Alle Maßnahmen werden dokumentiert, auf Wirksamkeit überprüft und regelmäßig gegen den Stand der Technik validiert. Zielkonflikte (beispielsweise Sicherheit vs. Wirtschaftlichkeit) werden transparent gemacht und in der Geschäftsleitung entschieden.

Antworten, die weitere Nachfragen erfordern:

• „Wir wissen nicht, welche Mindestmaßnahmen nach § 30 Absatz 2 BSIG verpflichtend sind.“
• „Wir haben keinen Überblick über die Wirksamkeit oder den aktuellen Stand unserer Maßnahmen.“
• „Zielkonflikte zwischen Sicherheit und Geschäftsinteressen werden bei uns nicht systematisch betrachtet.“

Die einzelnen Risikomanagementmaßnahmen stehen im besonderen Fokus im Kontext der mit dem BSIG verbundenen Pflichten. Nachfolgend sind ebenfalls Leitfragen zu den einzelnen Cyberrisikomanagementmaßnahmen aufgeführt.

Meine Antwort

Warum diese Frage wichtig ist:

Die Geschäftsleitung trägt die rechtliche und persönliche Verantwortung für die Umsetzung der -Anforderungen des BSIG. Nur wenn diese Pflichten verstanden und aktiv wahrgenommen werden, können Haftungsrisiken vermieden und die Einrichtung rechtssicher gesteuert werden.

Hilfreiche Antwort:

Die Geschäftsleitung überprüft regelmäßig die Umsetzung von Risikomanagementmaßnahmen, nimmt selbst an verpflichtenden Schulungen teil und lässt sich über Risiken, Maßnahmen und deren Wirksamkeit berichten. Wir sind uns über die mögliche persönliche Haftung und über mögliche Sanktionen bewusst und berücksichtigen diese in unseren Entscheidungen.

Antworten, die weitere Nachfragen erfordern:

• „Das liegt vollständig in der Verantwortung der IT-Abteilung.“
• „Wir haben uns mit Haftung oder Sanktionen nicht beschäftigt.“
• „Schulungen für die Geschäftsleitung halten wir nicht für notwendig.“

Meine Antwort

Warum diese Frage wichtig ist:

Die Registrierung ist eine gesetzliche Pflicht und Voraussetzung für die Teilnahme am Informationsaustausch. Fehler oder Versäumnisse können Sanktionen nach sich ziehen und die Handlungsfähigkeit im Krisenfall einschränken.

Hilfreiche Antwort:

Die Registrierung wurde fristgerecht durchgeführt und ist dokumentiert. Änderungen bei Verantwortlichen oder Kontaktdaten werden durch einen festgelegten Prozess laufend aktualisiert und an das BSI übermittelt.

Antworten, die weitere Nachfragen erfordern:

• „Wir sind uns nicht sicher, ob die Registrierung abgeschlossen wurde.“
• „Es ist nicht festgelegt, wer für die Aktualisierung verantwortlich ist.“
• „Wir haben keine Übersicht, welche Angaben registriert sind und wann sie angepasst werden müssen.“

Meine Antwort

Warum diese Frage wichtig ist:

Das BSIG sieht ein verbindliches, fristgebundenes Meldesystem vor. Versäumnisse können zu Sanktionen führen und das Vertrauen von Partnern und Kunden beeinträchtigen. Nur wenn klar ist, welche Vorfälle meldepflichtig sind und wie das Melderegime funktioniert, kann die Einrichtung rechtssicher handeln.

Hilfreiche Antwort:

Wir haben Kriterien zur Einstufung erheblicher Sicherheitsvorfälle definiert und in unsere Prozesse integriert. Festgelegte Meldeabläufe stellen sicher, dass Erstmeldungen innerhalb von 24 Stunden sowie Folgeund Abschlussmeldungen nach definierten Fristen erfolgen. Zuständigkeiten, Eskalationsketten und Inhalte sind dokumentiert und in Notfallübungen erprobt. Rückmeldungen des BSI werden systematisch ausgewertet.

Antworten, die weitere Nachfragen erfordern:

• „Uns ist nicht klar, was als erheblicher Vorfall gilt.“
• „Die Verantwortung ist nicht eindeutig geklärt.“
• „Wir haben keinen Prozess, der regelt, wann und wie gemeldet werden muss.“

Meine Antwort

Warum diese Frage wichtig ist:

Die Umsetzung und Dokumentation von Risikomanagementmaßnahmen ist eine Kernpflicht. Ohne systematische Dokumentation können weder Nachweise gegenüber Aufsichtsbehörden geführt noch Verbesserungen im Sicherheitsniveau sichergestellt werden.

Hilfreiche Antwort:

Unsere Risikomanagementmaßnahmen decken alle relevanten Systeme, Prozesse und Komponenten ab, sind dokumentiert und werden regelmäßig gegen den Stand der Technik sowie gegen die Mindestanforderungen aus § 30 BSIG geprüft. Ergebnisse fließen in unser Informationssicherheitsmanagementsystem (ISMS) und in Geschäftsleitungsberichte ein.

Antworten, die weitere Nachfragen erfordern:

• „Wir haben keine systematische Dokumentation.“
• „Das erledigt die IT-Abteilung, wir haben keinen Überblick.“
• „Wir prüfen nicht regelmäßig gegen den Stand der Technik.“

Meine Antwort

Warum diese Frage wichtig ist:

Nur wenn die Inhalte und Ziele des BSIG verstanden werden, kann die Geschäftsleitung ihre Verantwortung strategisch einordnen und die Umsetzung der Pflichten steuern. Das Wissen um den Geltungsbereich ist entscheidend, um festzustellen, welche Teile der Regulierung für die eigene Einrichtung relevant sind. 3 Leitfragen für Geschäftsleitungen 16 Bundesamt für Sicherheit in der Informationstechnik

Hilfreiche Antwort:

Wir haben eine verständliche Übersicht erstellt, die die Ziele des BSIG sowie die für uns geltenden Pflichten erläutert. Diese Übersicht wird regelmäßig überprüft, in Schulungen vermittelt und mit branchenspezifischen Vorgaben abgeglichen.

Antworten, die weitere Nachfragen erfordern: 

• „Wir wissen nicht genau, was mit der Regulierung durch das BSIG erreicht werden soll.“ •
• „Der Geltungsbereich ist uns unklar.“ •
• „Wir verlassen uns darauf, dass nur die IT-Abteilung sich damit beschäftigt.“

Meine Antwort

Grundsätzlich ist jedes betriebliche Mail-Postfach eine Einrichtung des Unternehmens. Der Zugriff auf die Mailpostfächer der Beschäftigten hängt von einer Reihe verschiedener Faktoren ab. Die erste Prüfung in diesem Zusammenhang gilt den betrieblichen Vorschriften: Wenn im Unternehmen die private Nutzung des Mailsystems ausdrücklich verboten wurde und die Einhaltung des Verbots der betrieblichen Praxis entspricht, darf der Arbeitgeber grundsätzlich auf jedes Mailkonto zugreifen. Jedoch unterliegt der Zugriff auch datenschutzrechtlichen Regeln. Es muss also eine betriebliche Notwendigkeit bestehen, z. B. wenn Beschäftigte abwesend sind und keine Abwesenheitsmeldung oder betriebsinterne Umleitung eingerichtet haben.

Weiterführende Beiträge

• Arbeitgeber-Zugriff auf Mailpostfach

Meine Antwort

Datenschutz nach DSGVO regelt den Umgang mit personenbezogenen Daten in Unternehmen. Ziel ist es, die Privatsphäre von Personen zu schützen und Missbrauch zu verhindern. Unternehmen müssen transparent, sicher und zweckgebunden mit Daten arbeiten. Dabei wird die Verarbeitung von Personendaten zu privaten Zwecken durch die DS-GVO nicht berücksichtigt.

Meine Antwort

1. Ruhe bewahren – keine übereilten Zahlungen oder Reaktionen.

2. Schreiben prüfen lassen – durch Datenschutzbeauftragten oder spezialisierten Anwalt.

3. Eigene Website überprüfen – ob die genannten Punkte (z. B. Cookie-Einwilligungen, Analyse-Tools) tatsächlich korrekt umgesetzt sind.

4. Dokumentieren – Schreiben, Absender und alle Schritte festhalten.

In vielen Fällen handelt es sich nur um Druckversuche ohne rechtliche Grundlage. Eine sachliche Prüfung schützt Sie vor unüberlegten Schritten – und zeigt, dass Sie Datenschutz ernst nehmen, aber nicht auf jede Drohung reagieren.

Weiterführende Beiträge

• Wie erkenne ich fragwürdige Abmahnschreiben zu DS-GVO-Verstößen?

Meine Antwort

Ein seriöses Datenschutz-Schreiben kommt nicht per E-Mail mit Zahlungsaufforderung. Echte Mitteilungen von Aufsichtsbehörden enthalten:

• Ein Aktenzeichen,

• einen konkreten Ansprechpartner,

• eine klare Rechtsgrundlage,

• und eine Rechtsbehelfsbelehrung (z. B. Hinweis auf Widerspruchsrecht).

Fehlen diese Angaben oder ist das Schreiben mit kurzen Fristen, Drohungen oder Zahlungsforderungen versehen, ist Skepsis angebracht.
In solchen Fällen gilt: nicht zahlen, nicht unterschreiben, prüfen lassen.

Weiterführende Beiträge

• Wie erkenne ich fragwürdige Abmahnschreiben zu DS-GVO-Verstößen?

Meine Antwort

In den meisten Fällen nicht. Eine Abmahnung darf nur ausgesprochen werden, wenn der Absender dazu rechtlich befugt ist – zum Beispiel ein Wettbewerber bei einem tatsächlichen Wettbewerbsverstoß oder eine betroffene Person, die ihre eigenen Datenschutzrechte verletzt sieht.
Private Unternehmen oder Einzelpersonen, die sich selbst zum „Datenschutzhüter“ erklären, haben keine Befugnis, andere Unternehmen zur Zahlung oder Unterlassung zu zwingen.
Fehlt diese Grundlage, ist das Schreiben rechtlich bedeutungslos – auch wenn es offiziell oder juristisch klingt.

Weiterführende Beiträge

• Wie erkenne ich fragwürdige Abmahnschreiben zu DS-GVO-Verstößen?

Meine Antwort

• Bestehende Kameraüberwachung prüfen (Zweck, Dauer, Position).

• Dokumentieren, warum sie notwendig ist.

• Mitarbeitende informieren.

• Falls nötig: Konzept mit Datenschutzbeauftragtem überarbeiten.

➡️ Tipp:
Ein kurzer Datenschutz-Check durch einen Fachmann kostet weniger als ein Verfahren vor Gericht.

Fazit:

Videoüberwachung darf schützen – aber nicht kontrollieren.
Wer klare Grenzen beachtet und die Privatsphäre der Mitarbeitenden respektiert, vermeidet nicht nur Bußgelder, sondern stärkt auch Vertrauen und Sicherheit im Betrieb.

Weiterführende Beiträge

• Wann und wo dürfen Kameras im Unternehmen eingesetzt werden?

Meine Antwort

Damit ist gemeint, dass Beschäftigte sich ständig beobachtet fühlen und ihr Verhalten ändern – also immer korrekt und ohne Pause arbeiten, aus Angst, beobachtet oder kritisiert zu werden.
Das ist eine psychische Belastung und wird von Gerichten als Eingriff in das Persönlichkeitsrecht gewertet.

Weiterführende Beiträge

• Wann und wo dürfen Kameras im Unternehmen eingesetzt werden?

Meine Antwort

• Nur dort, wo sie zwingend notwendig ist (z. B. Eingangsbereiche, Außenflächen).

• Keine Aufzeichnung in Pausen-, Umkleide- oder Sozialräumen.

• Hinweisschilder anbringen.

• Löschung der Aufnahmen nach kurzer Zeit (z. B. 48 Stunden).

• Datenschutzbeauftragten in Planung und Kontrolle einbinden.

Weiterführende Beiträge

• Wann und wo dürfen Kameras im Unternehmen eingesetzt werden?

Meine Antwort

• Geldentschädigungen (wie im Fall des LAG Hamm: 15.000 €)

• Bußgelder nach der DSGVO

• Rufschaden und Vertrauensverlust im Unternehmen

Je länger und intensiver die Überwachung, desto höher fällt in der Regel die Entschädigung aus.

Weiterführende Beiträge

• Wann und wo dürfen Kameras im Unternehmen eingesetzt werden?

Meine Antwort

Nein. Eine im Arbeitsvertrag enthaltene Klausel wie „Der Arbeitnehmer willigt in die Verarbeitung personenbezogener Daten ein“ genügt nicht.
Die Einwilligung muss freiwillig, informiert und jederzeit widerrufbar sein – das ist im Arbeitsverhältnis kaum möglich, weil ein Abhängigkeitsverhältnis besteht.

Weiterführende Beiträge

• Wann und wo dürfen Kameras im Unternehmen eingesetzt werden?

Meine Antwort

Unzulässig ist eine permanente oder flächendeckende Überwachung, die Beschäftigte ständig beobachtet oder unter Druck setzt.
Das gilt auch, wenn keine Tonaufnahmen erfolgen.

➡️ Beispiel:
Wenn Kameras in der Produktionshalle jeden Winkel abdecken und 24 Stunden aufzeichnen, ist das ein klarer Verstoß gegen das Datenschutzrecht.

Weiterführende Beiträge

• Wann und wo dürfen Kameras im Unternehmen eingesetzt werden?

Meine Antwort

Ja – aber nur, wenn es einen konkreten, sachlichen Grund gibt. Zulässige Gründe können sein:

• Schutz vor Diebstahl oder Vandalismus,

• Sicherstellung von Arbeitssicherheit,

• Schutz sensibler Betriebsbereiche.

Eine allgemeine Kontrolle der Mitarbeitenden („um zu sehen, wie sie arbeiten“) ist nicht erlaubt.

Weiterführende Beiträge

• Wann und wo dürfen Kameras im Unternehmen eingesetzt werden?

Meine Antwort

Manchmal genügt auch eine Selbstauskunft oder eine Vertrauenserklärung, wenn kein gesetzlicher Nachweis gefordert ist.

Weiterführende Beiträge

• Was müssen Arbeitgeber zum Führungszeugnis wissen und beachten?

Meine Antwort

Dann ist individuell zu prüfen, ob die Eintragungen für die vorgesehene Tätigkeit relevant sind. Eine pauschale Ablehnung wäre unzulässig.

Weiterführende Beiträge

• Was müssen Arbeitgeber zum Führungszeugnis wissen und beachten?

Meine Antwort

Ja, die Beantragung erfolgt grundsätzlich durch die betroffene Person selbst beim Bundesamt für Justiz oder über die Meldebehörde.

Weiterführende Beiträge

• Was müssen Arbeitgeber zum Führungszeugnis wissen und beachten?

Meine Antwort

Gar nicht – nach der Einsichtnahme ist es sofort zurückzugeben oder zu vernichten.

Weiterführende Beiträge

• Was müssen Arbeitgeber zum Führungszeugnis wissen und beachten?

Meine Antwort

Nein. Zulässig ist lediglich die Einsichtnahme und die Dokumentation des Ergebnisses, nicht die dauerhafte Speicherung.

Weiterführende Beiträge

• Was müssen Arbeitgeber zum Führungszeugnis wissen und beachten?

Meine Antwort

Die Erhebung und Einsicht erfolgt in der Regel auf Grundlage von § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit für das Beschäftigungsverhältnis).

Weiterführende Beiträge

• Was muss der Arbeitgeber zum Führungszeugnis beachten und wissen?

Meine Antwort

Nein. Nur wenn die Tätigkeit ein besonderes Vertrauen erfordert oder gesetzlich vorgeschrieben ist, darf ein Führungszeugnis verlangt werden.

Weiterführende Beiträge

• Was muss der Arbeitgeber zum Führungszeugnis beachten und wissen?

Meine Antwort

Sprechen oder schreiben Sie mit der KI wie mit einen externen Menschen und berücksichtigen alle Datenschutzvorschriften für den Umgang mit unternehmensexternen Personen. Achten Sie darauf, dass Sie in Ihren Fragen, die Sie an die KI richten, weder direkt noch indirekt Bezug auf eine Person nehmen. Sie dürfen keinesfalls Fragen stellen, aus denen die KI Schlussfolgerungen auf Geschäftsgeheimnisse Ihres Arbeitgebers ziehen könnte.

Weiterführende Beiträge

• Hinweise zur Anwendung von KI-Tools im Unternehmen

Meine Antwort

Datenschutzfolgenabschätzungen sind zentrale Bestandteile eines effektiven Datenschutzmanagements. Ziel ist es, gesetzliche Anforderungen zuverlässig umzusetzen und bestehende Prozesse abzusichern. Durch professionelle Analyse, Dokumentation und Beratung wird Transparenz geschaffen, Risiken werden identifiziert und passende Maßnahmen erarbeitet. Die Umsetzung erfolgt praxisnah und orientiert sich an den individuellen Anforderungen des Unternehmens.

Weiterführende Beiträge

• Datenschutzfolgenabschätzung

Meine Antwort

IT-Security-Audit mit Erstellung der TOMs sind zentrale Bestandteile eines effektiven Datenschutzmanagements. Ziel ist es, gesetzliche Anforderungen zuverlässig umzusetzen und bestehende Prozesse abzusichern. Durch professionelle Analyse, Dokumentation und Beratung wird Transparenz geschaffen, Risiken werden identifiziert und passende Maßnahmen erarbeitet. Die Umsetzung erfolgt praxisnah und orientiert sich an den individuellen Anforderungen des Unternehmens.

Weiterführende Beiträge

• IT-Security-Audit

Meine Antwort

Ja, denn auch für solche schriftlichen Akten kann ein ein Löschanspruch gemäß Artikel 17 der DS-GVO in Betracht gezogen werden. Dabei hat z. B. das LAG BW betont, dass die DS-GVO keine ausdrückliche Anforderung an eine elektronische Datenverarbeitung stellt. Es reicht aus, dass eine strukturierte Sammlung personenbezogener Daten vorliegt, die nach bestimmten Kriterien zugänglich ist. In diesem Zusammenhang ist die einheitliche und gleiche Gestaltung der Akten von entscheidender Bedeutung, was in Akten, die nach Personen gegliedert sind, immer der Fall ist.

Weiterführende Beiträge

• Löschung von Personalakten in Papierform

Meine Antwort

Das Double-Opt-In-Verfahren ist ein Mechanismus, der häufig im E-Mail-Marketing und bei der Online-Registrierung verwendet wird, um sicherzustellen, dass eine Person wirklich den Wunsch hat, Informationen oder Dienstleistungen zu abonnieren. Es dient als zusätzliche Sicherheitsstufe, um sicherzustellen, dass Anmeldungen tatsächlich von der E-Mail-Inhaber:in gewünscht sind und um unerwünschte Anmeldungen oder Spam zu vermeiden.

Weiterführende Beiträge

• Darf mein/e Stellvertreter/in Einblick in „meine“ Daten nehmen?
• Darf ich Personendaten in einer Cloud speichern?
• Darf mein/e Stellvertreter/in Einblick in „meine“ Daten nehmen?

Meine Antwort

Üblicherweise stellt Ihnen Ihr Arbeitgeber für die Arbeit im Homeoffice eine Arbeitsumgebung für Ihren privaten PC zur Verfügung, mit der Sie in Ihrer üblichen Netzwerkumgebung des Unternehmens arbeiten können. Genau darauf müssen Sie sich demnach auch beschränken. Eine Verarbeitung/Weiterleitung von betrieblichen Daten -insbesondere Personendaten- mit einer anderen Arbeitsumgebung, wie z. B. Ihrem Smartphone oder Tablet ist in der Regel verboten, da Sie so alle technischen Sicherheitsvorkehrungen umgehen.

Weiterführende Beiträge

• Blogbeitrag zum Homeoffice

Meine Antwort

Bewerbungen, die im Unternehmen eingehen, dürfen auch ohne Genehmigung der BewerberInnen zur Bearbeitung an die Personalabteilung und an weitere Personen, die am Einstellungs- oder Entscheidungsprozess beteiligt sind, weitergeleitet werden. Eine Weiterleitung an andere möglicherweise interessierte Unternehmen könnte zwar im Sinne der BewerberInnen sein, darf aber nur mit Genehmigung der BewerberInnen durchgeführt werden.

Meine Antwort

Ein Fax wird grundsätzlich nicht im gesicherten Format übertragen, so dass dieses Medium vor für die Weiterleitung von Personendaten an Einrichtungen und Unternehmen außerhalb Ihres Telefonnummernkreises ungeeignet ist. Ein Fax sollte daher nur in dringenden Notfällen (Gefahr für Gesundheit oder Leben eines Menschen) verwendet werden. Das Fax innerhalb Ihres Standortes an eine andere Nebenstelle ist grundsätzlich gestattet, sofern die Empfänger überhaupt berechtigt sind, auf diese Daten zuzugreifen. Ein Risiko besteht immer auch in der in der Unsicherheit über die Umgebungsbedingungen beim Empfänger. Sicherheitshalber sollte vorher immer geklärt werden, wo das Fax ankommt und wer ggf. Zugriff auf das Dokument haben könnte.

Meine Antwort

Wenn externe Dienstleister, wie z. B. Rechenzentren, Softwarehäuser und sonstige IT-Dienstleister oder auch niedergelasse Praxen, Labors etc. für Ihr Unternehmen Dienstleistungen erbringen und im Rahmen dieser Tätigkeit für Sie Daten verarbeiten oder nutzen, ist dazu der Abschluss einer gesonderten "Vereinbarung zur Auftragsverarbeitung" vorgeschrieben. Da an die Inhalte einer derartigen Vereinbarungen gesetzlich vorgeschriebene Anforderungen gestellt werden, existieren für derartige Fälle in der Regel Standardvertragsformulare Ihres Unternehmens. Sofern ein derartiger Vertrag zur "Aufragsverarbeitung" vorliegt, benötigen Sie für die Weitergabe von Daten an diese Dienstleister keine Genehmigung der betroffenen Personen. Für die Ausarbeitung derartiger Verträge sollte immer die/der Datenschutzbeauftragte hinzugezogen werden.

Meine Antwort

Wenn absehbar ist, dass die Daten von BewerberInnen nicht mehr benötigt werden, da es sicher nicht zu einer Einstellung dieser Person kommen wird, dürfen diese Bewerberdaten nur noch mit ausdrücklicher Genehmigung dieser Person gespeichert bleiben oder aufbewahrt werden.

Weiterführende Beiträge

• Blogbeitrag: Bewerberdaten: was Unternehmen wissen müssen

Meine Antwort

Verantwortliche sind gesetzlich verpflichtet, zu dokumentieren, wer wann welche Daten wie verarbeitet hat (erfassen, speichern, weiterleiten, offenbaren, drucken etc.). Dies soll natürlich nicht mit einem hangeschriebenen Logbuch der AnwenderInnen geschehen. Vielmehr erledigen dies Softwareprogramme im Hintergrund automatisch. Das ist allerdings nur möglich, wenn AnwenderInnen sich ordnungsgemäß mit einer persönlichen User-Id am System authentifizieren.

Meine Antwort

Passwörter müssen grundsätzlich so beschaffen sein, dass eine andere Person dieses Passwort nur mit außerordentlich hohem Zeitauf und unter Zuhilfenahme von Passworttools herausfinden kann. Wenn kürzere Passwörter verwendet werden, sollten diese möglichst komplex aufgebaut sein (grosse+kleine Buchstaben+Zahlen+Sonderzeichen). Aber auch einfacher zu merkende, sehr lange Sätze, die Dritte nicht nachvollziehen können, sind sehr schwer durch Dritte herauszufinden.

Meine Antwort

Für viele Dokumente und Daten gelten gesetzlich vorgeschriebene Aufbewahrungsfrsiten, die grundsätzlich einzuhalten sind. Darüber hinaus werden mit KundInnen oder PatientInnen, Betreuten, Klienten etc. ggf. auch längere Aufbewahrungsfristen vereinbart. Über den nachfolgenden Link kommen Sie auf eine Seite mit bekannten Aufbewahrungsfristen.

Meine Antwort

Datenträger wie z. B. CDs, DVDs, USB-Sticks, Speicherkarten, externe Festplatten etc., die vernichtet werden sollen, müssen grundsätzlich fachgerecht vernichtet werden. Daher sollten Sie dazu grundsätzlich Ihre IT-Verantwortlichen einbeziehen.

Meine Antwort

Wenn wir von externen Personen angerufen werden, dürfen wir grundsätzlich keine Personendaten telefonisch weitergeben. Anrufern sollten wir raten, ihre Nachfragen schriftlich oder per eMail einzureichen. Eine Weitergabe von Personendaten per Telefon darf nur erfolgen, wenn wir selbst als Anrufer ein Telefonat initiieren und wir sicher sind, dass wir mit einer Person telefonieren, die diese Informationen erhalten darf.

Meine Antwort

Angehörige von volljährigen Personen haben nicht grundsätzlich einen Anspruch auf Auskunft über ihre Angehörigen, deren Daten in Ihrem Unternehmen verarbeitet werden. Sie benötigen dazu immer eine entsprechende Einwilligungserklärung, Schweigepflichtentbindung oder auch eine Vorsorgevollmacht.

Meine Antwort

Wenn Personendaten die in einer Cloud gespeichert werden sollen, ist dies nur gestattet, wenn mit dem Dienstleister (Cloud-Anbieter) eine Vereinbarung zur Auftragsverarbeitung abgeschlossen wurde. Auskunft dazu erhalten Sie in der Regel bei Ihren IT-Verantwortlichen oder Ihrem/r Datenschutzbeauftragten.

Meine Antwort

Die Personendaten, die ich verwalte, dürfen innerhalb meines Unternehmens grundsätzlich nur von den Personen eingesehen werden, die diese Daten für die Wahrnehmung ihrer Aufgabe benötigen. Wenn ich mit KollegInnen in einem Raum zusammenarbeite, die keine Berechtigung haben, Einblick in meine Datene zu nehmen, muss ich auch entsprechende Schutzvorkehrungen gegen unberechtigte Einsichtnahme treffen (z. B. Einrichtung eines passwortgeschützten Bildschirmschoners, sichere Verwahrung meiner Dokumente etc.)

Meine Antwort

Grundsätzlich sollten alle Beschäftigten ihre Daten nicht auf einer lokalen Festplatte sondern auf einem Laufwerk oder einem Gruppenlaufwerk im Netzwerk des Arbeitgebers speichern. Wenn dies befolgt wird, werden diese Daten meist auch automatisch gesichert, so dass sie im Falle eines Datenverlustes ggf. wiederhergestellt werden können. Wenn dies nicht gewährleistet werden kann, sind alle Beschäftigten persönlich dafür verantwortlich, dass verarbeitete Personendaten ordnungsgemäß gesichert werden.

Meine Antwort

Wenn Sie Personendaten per Hauspost versenden, müssen Sie bitte sicherstellen, dass die Daten während des Transports von Unberechtigten nicht eingesehen werden können. Die Daten sollten dazu immer in einem verschlossen​ Briefumschlag transportiert werden.

Meine Antwort

Grundsätzlich gilt für viele Bereiche, dass Kunden vor Beginn der Verarbeitung ihrer Daten eine Einwilligungserklärung zum Datenschutz unterschreiben müssen. Wenn zur Verarbeitung ihrer Daten keine Einwilligungserklärung gefordert ist, müssen die Betroffenen jedoch immer eine Datenschutzerklärung erhalten, in der Sie über die Verabreitung ihrer Daten und ihre Rechte informiert werden.

Meine Antwort

Dies ist in den meisten Unternehmen grundsätzlich untersagt, da dadurch sowohl rechtliche als auch technische Probleme entstehen könnten, die Sie als AnwenderIn nicht einschätzen können. Dies gilt übrigens auch für die Nutzung von webbasierten Programmen oder webbasierten Dateneingaben in einem Webformular eines externen Dienstleisters. Auch in einem solchen Fall ist es ggf. erforderlich, dass Ihr Arbeitgeber vor Beginn Ihrer Arbeit mit diesem Diesntleister eine Vereinbarung abschließt. Wenden Sie sich in einem solchen Fall an IT-Verantwortliche oder den Datenschutzbeauftragten.

Meine Antwort

Wenn Sie unterwegs oder zuhause mit einem Dienstgerät des Arbeitgebers oder mit einem privaten Gerät dienstliche Daten verarbeiten, müssen Sie gewährleisten, dass ausreichende Sicherheitsvorkehrungen getroffen sind, um die dienstlichen Daten und Geräte zu schützen vor z.B. unberechtigtem Zugriff und Diebstahl. Bitte nutzen Sie in diesem Zusammenhang ausschließlich sichere Netzwerk- und WLAN-Verbindungen. und halten Sie die installierten bzw. vereinbarten Sicherheitsvorkehrungen aufrecht.

Meine Antwort

Wenn Polizeibeamte z.B. direkt in der Personalabteilung eines Unternehmens oder der Station eines Krankenhauses erscheinen und nach Namen oder Adressen von Personen fragen, da sie wegen eines Deliktes ermitteln müssten, sind wir nur in wenigen Ausnahmefällen befugt, diese Informationen herauszugeben. Im Gesundheitswesen dürfen wir derartig angeforderte Informationen keinesfalls ohne Zustimmung der Betroffenen herausgeben.