Archiv für den Monat: Februar 2013

Alte Daten mit Löschkonzept löschen

Unter der Projektträgerschaft der Deutschen Instituts für Normung (DIN) wurden die Möglichkeit einer Standardisierung von Löschkonzepten untersucht. Vorteil eines solchen Konzeptes sind rechtskonforme Verfahren mit denen auch doppelte und veraltete Datenbestände vermieden werden können. Dazu wurden als wichtigstes Hilfsmittel standardisierte Löschklassen (10 Jahre, 6 Jahre, 1, …… sofort festgelegt. Das Konzept geht auch Sondefälle wie Backup, Archiven, Anonymisieren usw. ein.

Quelle:

 

Länder mit einem angemessenen Datenschutzniveau

In regelmäßigen Abständen überprüft die EU Kommission in welchen außereuropäischen Ländern ein Datenschutzniveau besteht, dass die Anforderungen im Sinne von Art. 25 Abs. 6 der  EU-Richtlinie (RL 95/46/EG) erfüllt. Zu diesen Staaten können Unternehmen Daten ohne weitere Garantien übermitteln. Dies sind zur Zeit (02/2013) folgende Staaten:

  • Andorra
  • Argentinien
  • Färöer
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Kanada
  • Schweiz
  • Uruguay

Quelle: http://europa/rapid/pressrelease_IP-12-1403_de.htm

 

 

Tresor für Passwörter

Jeder kennt das Problem. Aus Sicherheitsgründen soll man für jede Anwendung, für jede Webseite ein eigenes Passwort verwenden. Die Anforderungen an diese Passwörter werden dazu immer komplexer. Ein sicheres Passawort sollte mindestens 8 Stellen haben, Groß- und Kleinschreibung, Zahlen und Sonderzeichen berücksichtigen. Name und Begriffe, die auch im Duden stehen sollten nicht verwendet werden. Was dann herauskommt ist eine Zeichenkette, die kein Mensch im Kopf behalten kann.

Hier können für iOS Nutzer kleine, kostenlose Apps wie MiniKeePass von Flush Software hilfreich sein. Das Programm ermöglicht die verschlüsselte Speicherung aller Passwörter. Diese werden mittels AES-256 verschlüsselt. Man braucht sich nur noch ein Passwort merken. Das Programm gibt es auch in der Desktop Version. Ein Abgleich via Dropbox ist möglich.

Quelle: C’t 5/2013 S. 60 Hosentaschen-Tresor

Datenschutzbeauftragter; wer darf ernannt werden? Was sind seine Aufgaben?

Hat man sich entschlossen einen DSB zu bestellen (Beitrag BDSG; für wen gilt es und Beitrag Meldepflicht; Wer muß ihr nachkommen? ) muss jetzt die richtige Person dafür ermittelt werden.

Möglich sind sowohl interne betriebliche Datenschutzbeauftragte als auch externe betriebliche Datenschutzbeauftragte. Dabei gelten alle berufsspezifischen Verpflichtungen und Rechte (Geheimhaltungsvorschriften, Zeugnisverweigerungsrechte) sowohl für den internen als auch den externen DSB).

Qualifikation des DSB

Die Qualifikation richtet sich nach dem Umfang und den Ausprägungen der unternehmenrischen Tätigkeiten. Mindestens werden folgenende Kenntnisse erwartet:

  • grundsätzliches zum Datenschutzrecht
  • betriebswirtschaftliche Zusammenhänge
  • Zusammenhänge und Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung

Eine Fachausbildung in einem der genannten Gebiete ist sicher nützlich, jedoch nicht vorgeschrieben. Der Gesetzgeber hat §4 Abs 2 ein Verhältnismäßigkeitsprinzip eingeführt und dort klargestellt, dass der erforderliche Schulungsaufwand z.B. in einem Handwerksbetrieb anders aussieht  in einem Versicherungskonzern oder in einem Callcenter.

Unterschiede zwischen internem und externem DSB

Interner DSB

  • Rechtsanspruch auf Fort- und Weiterbildung im Fachgebiet mit Kostenübernahme
  • Sicherstellung, dass keine Interessenkollisionen auftreten
  • Sicherstellung der erforderlichen Zuverlässigkeit, Freiwilligkeit des Betroffenen
  • Bei nebendienstlichem DSB: Notwendige Freistellung von den Hauptarbeiten
  • Besondere Kündigungsschutz gemäß §4f Abs. 3 Satz 4

Externer DSB

  • ist für Fort- und Weiterbildung selber verantwortlich
  • keine Interessenkonflikte, da er keine Linienfunktionen inne hat
  • Interesse kann vorausgesetzt werden

 

Vorabkontrolle, wann ist die erforderlich? Wer muss sie durchführen?

Das BDSG verlangt die Vorabkontrolle in folgenden klar definierten Fällen:

  1. soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der betroffenen aufweisen
  2. bei Verarbeitung „besonderer Arten“ personenbezogener Daten §3 Abs. 9 BDSG
  3. wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten. Das bezieht eine Bewertung seiner Fähigkeiten, des Verhaltens oder der Leistung mit ein.
  4. vor der Einführung von Videoüberwachungen im öffentlichen und nicht-öffentlichen Bereichen

Nicht erforderlich ist die Vorabkontrolle unter folgenden Vorraussetzungen:

  1. wenn eine Einwilligung des Betroffenen für die Verarbeitung vorliegt oder
  2. die Verarbeitung auf Grund gesetzlicher Vorgaben erfolgt.
  3. oder die Verarbeitung für die Durchführung eines Rechtsgeschäftes erforderlich ist

Für die Vorabkontrolle ist immer der Beauftragte für den Datenzuschutz zuständig. Das Unternehmen ist verpflichtet den DSB über alle Vorhaben, die personenbezogene Daten betreffen zeitnah zu informieren (§ 4d BDSB, Abs. 6)

Rechtliche Rahmenbedingungen der Videoüberwachung am Arbeitsplatz

Die rechtlichen Rahmenbedingungen zur heimlichen Videoüberwachung am Arbeitsplatz sind durch eine Entscheidung des BAG v. 21.06.2012  2 AZR 153/11 neu bestimmt worden.

  • § 6b BDSG: Der Umstand der Videoüberwachung öffentlich zuänglicher Räume ist durch geeignete Maßnahmen erkennbar zu machen. Gemeint ist hier ein blaues Schild mit Videokamera-Pictogramm, dass gut sichtbar zu montieren ist.
  • Das allgemeine Persönlichkeitsrecht des Arbeitnehmers ist nicht schrankenlos gewährleistet.
  • Überwiegend schutzwürdige Interessen des Arbeitgebers können Eingriffe gerechtfertigen.Daraus folgt, dass eine heimliche Videoüberwachung unter folgenden Voraussetzungen zulässig ist:
  1. Es besteht ein konkreter Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers.
  2. Andere, weniger einschneidende Mittel zur Aufklärung des Verdachtes sind ergebnislos ausgeschöpft und die verdeckte Videoüberwachung ist damit das letzte verbleibende Mittel.
  3. Die Videoüberwachung insgesamt nicht unverhältnismäßig ist,
  4. und der Verdacht des Arbeitsgebers muss gegen einen funktional und räumlich abgegrenzten Kreis von Arbeitnehmern gerichtet sein (Keine Rasterfahndung)
  5. Beachtung der Mitbestimmungsregeln nach §87 Abs. 1 Nr. 6 BetrVG, §75 Abs. 3 Nr. 17 BPersVG und der Abschluss einer Betriebsvereinbarung zur Videoüberwachung als Erlaubnisnorm sind erforderlich bzw. zu empfehlen.

 

 

 

BDSG, für wen gilt es?

Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

  • öffentliche Stellen des Bundes,
  • öffentliche Stellen der Länder und
  • nicht-öffentliche Stellen (nur das ist hier und in den anderen Beiträgen beschrieben)

Der Gesetzgeber legt hier (§1 Abs. 2 BDSG) bewußt keine Größe des Unternehmens fest. Ausgenommen sind lediglich Daten der Nutzung ausschließlich im Rahmen persönlicher oder familiärer Tätigkeiten stattfindet. Daher: Das BDSG gilt für alle Unternehmen (vom 1 Mann Betrieb bis zum Großkonzern).

Alle nichtöffentlichen Stellen (z. B. alle Unternehmen der Privatwirtschaft, jedoch auch gGmbhs der Gemeinden), in der mehr als 9 Personen ständig mit der Bearbeitung personenbezogener Daten mittels IT beschäftigt sind, benötigen einen Beauftragten für den Datenschutz (DSB). Dies gilt auch wenn im Unternehmen 20 oder mehr Mitarbeiter mit der manuellen Verarbeitung personenbezogener Daten (Karteikarten, Akten) beschäftigt sind, wenn Verarbeitungen eine Vorabkontrolle erfordern oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymer Übermittlung (Meinungsforschung) verarbeitet werden.